“數(shù)字貨幣”有多熱？

看看去年“數(shù)字貨幣”的驚人漲勢(shì)，你就能有所了解，認(rèn)知度較高的“比特幣”擁有高達(dá)1318%的全年回報(bào)率，卻沒(méi)能躋身回報(bào)率前十的數(shù)字貨幣之列。NO.1則是瑞波幣，回報(bào)率高達(dá)36018%，排在第十位的OmiseGo回報(bào)率也有3315%。這還不算完，僅從去年到今年，短短的時(shí)間內(nèi)已經(jīng)有三大美國(guó)交易所選擇擁抱數(shù)字貨幣。雖然，2018年初數(shù)字貨幣整體有所下滑，但近兩日似乎已從上兩周的“屠殺”中恢復(fù)過(guò)來(lái)，整體總市值又上升了500億美元。

 

對(duì)于如此熱門(mén)、暴利的市場(chǎng)，全球掀起了聲勢(shì)浩大的“炒幣熱”，當(dāng)然黑客也不例外。近幾個(gè)月來(lái)，這些浪跡網(wǎng)絡(luò)的不法分子已經(jīng)將數(shù)字貨幣挖礦視作可行的賺錢方式。而挖礦攻擊正是利用使用者的電腦運(yùn)算能力來(lái)挖掘各種數(shù)字貨幣，最常見(jiàn)的是利用惡意軟件或被黑網(wǎng)站。透過(guò)入侵服務(wù)器來(lái)執(zhí)行挖礦程序可以讓不法分子得到更多的運(yùn)算能力，并從非法挖礦中實(shí)現(xiàn)“一夜暴富”。

 

亞信安全網(wǎng)絡(luò)監(jiān)測(cè)實(shí)驗(yàn)室發(fā)現(xiàn)，近期針對(duì)CVE-2017-5638（Apache Struts的漏洞）和CVE-2017-9822（DotNetNuke的漏洞）的攻擊次數(shù)大幅增長(zhǎng)。由于這些漏洞存在于開(kāi)發(fā)者構(gòu)建網(wǎng)站的常用Web應(yīng)用程序內(nèi)，所以可能導(dǎo)致大量服務(wù)器中招。2017年的大規(guī)模Equifax數(shù)據(jù)外泄事件就和Struts漏洞有關(guān)。

亞信安全剖詳解新晉熱門(mén)“挖礦攻擊”

 

 

 

 

 

 

 

亞信安全通過(guò)分析發(fā)現(xiàn)，近期發(fā)生的這些攻擊來(lái)自同一個(gè)“幕后黑手”，因?yàn)檫@些網(wǎng)站都指向同個(gè)網(wǎng)域來(lái)下載門(mén)羅幣挖礦程序，也都指向同一個(gè)門(mén)羅幣地址。該地址已經(jīng)收到了30個(gè)門(mén)羅幣（XMR），價(jià)值約12,000美元。

 

攻擊上述漏洞的惡意HTTP請(qǐng)求被發(fā)送到目標(biāo)服務(wù)器，這些HTTP請(qǐng)求包含編碼過(guò)的腳本程序。上述漏洞被利用來(lái)在受影響的Web服務(wù)器執(zhí)行這些程序，并使用多層混淆技術(shù)的代碼讓分析和偵測(cè)變得更加困難。Windows和Linux系統(tǒng)都成為了這波攻擊的目標(biāo)。

 

一旦將混淆過(guò)的代碼完全譯碼后就會(huì)找到這波攻擊活動(dòng)的最終目標(biāo)，代碼最終會(huì)下載惡意軟件：一個(gè)門(mén)羅幣挖礦程序。

 

【針對(duì)Struts和DotNetNuke漏洞的HTTP請(qǐng)求】

 

被用來(lái)下載門(mén)羅幣挖礦程序的網(wǎng)址在Windows和Linux上各自不同，不過(guò)Struts攻擊和DotNetNuke攻擊的網(wǎng)址是共享的，如下所示：

• Windows–hxxp://eeme7j.win/scv.ps1leading to the download of a miner from hxxp://eeme7j.win/mule.exe（偵測(cè)為JU）

• Linux–hxxp://eeme7j.win/larva.shleading to the download of a miner from hxxp://eeme7j.win/mule（偵測(cè)為AK）

 

 

亞信安全的監(jiān)測(cè)數(shù)據(jù)顯示，這波攻擊自12月中以來(lái)就一直沒(méi)結(jié)束，下面的圖表顯示在11-12月針對(duì)Struts漏洞的反饋事件數(shù)量：

【11-12月針對(duì)Struts漏洞的攻擊次數(shù)】

 

雖然反饋數(shù)量在12月中下旬達(dá)到高峰后就開(kāi)始滑落，但它們?nèi)匀贿€在活躍。系統(tǒng)管理員必須進(jìn)行調(diào)整來(lái)應(yīng)對(duì)Struts攻擊已經(jīng)成為常態(tài)威脅的這一現(xiàn)實(shí)，顯然幕后的攻擊者還沒(méi)有打算收手的跡象。

 

 

亞信安全教你如何防范

 

 

 

 

 

 

 

系統(tǒng)管理員有幾種方法可以用來(lái)緩解該威脅？最直接的是修補(bǔ)上述漏洞。Struts漏洞在2017年3月被修補(bǔ)；DotNetNuke漏洞也已經(jīng)在2017年8月被修補(bǔ)。安裝補(bǔ)丁程序可以消除遭受此特定攻擊的風(fēng)險(xiǎn)。

 

亞信安全Deep Discovery透過(guò)特制引擎、定制化沙盒和橫跨整個(gè)攻擊生命周期的無(wú)縫關(guān)聯(lián)技術(shù)來(lái)對(duì)漏洞攻擊進(jìn)行偵測(cè)、深入分析和主動(dòng)響應(yīng)，所以即使在沒(méi)有更新引擎或特征碼的情況下也能夠偵測(cè)可能攻擊Struts漏洞的威脅。OfficeScan的Vulnerability Protection也可防御已知和未知的漏洞攻擊，即便是在部署修補(bǔ)程序之前。

 

DeepSecurity透過(guò)以下規(guī)則來(lái)抵御可能針對(duì)此漏洞的威脅：

• 1008207–Apache Struts2 RemoteCode Execution vulnerability（CVE-2017-5638）

 

DeepDiscovery Inspector透過(guò)以下規(guī)則來(lái)保護(hù)客戶：

• 2348:CVE-2017-5638–APACHE STRUTS EXPLOIT–HTTP（Request）

• BetaRule 3781: CVE-2017-9822 DotNetNuke Remote Code Execution Exploit–HTTP（Request）

 

 

入侵指標(biāo)（IOC）

 

下列文檔跟此波攻擊有關(guān)：

• 0f80fd6e48121961c8821ad993b3e5959a6646ac0f0ed636560659f55879c551（detected as TROJ_BITMIN.JU）

• b3377097c8dcabd0d3dd5ee35bcf548f9906a34b9d3c0169b27f17eb015cf0be（detected asELF_BITMIN.AK）

 

下列網(wǎng)址跟此波攻擊有關(guān)：

• eeme7j.win/larva.sh

• eeme7j.win/mule

• eeme7j.win/mule.exe

• eeme7j.win/scv.ps1

 

數(shù)字貨幣利用區(qū)塊鏈技術(shù)來(lái)保障其匿名性、安全性以及交易不可篡改性，這本來(lái)是一件好事，但同樣也是它獲得黑客如此青睞的重要原因。亞信安全提醒，越來(lái)越多的勒索病毒采用數(shù)字貨幣支付贖金，而此類的“挖礦攻擊”在2018也會(huì)有大幅增長(zhǎng)的趨勢(shì)，我們?cè)谙硎鼙憷膊粦?yīng)該放松警惕，讓不法分子趁機(jī)而入。