欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Apache Struts2高危漏洞致企业服务器被入侵安装KoiMiner挖矿木马

来源:本站整理 作者:佚名 时间:2018-07-10 TAG: 我要投稿

0×1 概述
许多企业的网站使用Apache的开源项目搭建http服务器,其中又有很大部分使用了Apache子项目Struts。但由于Apache Struts2产品代码存在较多隐患,从2007年开始Struts2就频频爆出多个高危漏洞。
从Apache官方公布的数据来看,从2007年至2018年共公布了编号S2-001至S2-056共56个漏洞,其中仅远程代码执行漏洞(Remote Code Execution)就有9个。

2017年3月被报出的S2-045(CVE-2017-5638)高危漏洞,基于Jakarta Multipart解析器执行文件上传时可能导致RCE,影响范围为Struts 2.3.5 – Struts 2.3.31,以及Struts 2.5 – Struts 2.5.10版本,持续存在被利用进行攻击的情况。
2018年4月腾讯御见威胁情报中心曾监测到黑客组织利用该漏洞批量入侵web服务器植入挖矿木马(详情见《企业未修复Apache Struts 2漏洞致Web服务器被批量入侵》一文),近期御见威胁情报中心再次监测到类似的攻击。
此次攻击中,黑客利用攻击工具WinStr045检测网络上存在漏洞的web服务器,发现存在漏洞的机器后通过远程执行各类指令进行提权、创建账户、系统信息搜集,然后将用于下载的木马mas.exe植入,进而利用mas.exe这个木马下载器从多个C&C地址下载更多木马:利用提权木马o3/o6.exe、挖矿木马netxmr4.0.exe。
由于挖矿木马netxmr解密代码后以模块名“koi”加载,因此腾讯御见威胁情报中心将其命名为KoiMiner。有意思的是,入侵者为确保自己挖矿成功,会检查系统进程中CPU资源消耗,如果CPU资源占用超过40%,就会将其结束运行,将省下来的系统资源用于挖矿。
根据代码溯源分析,腾讯御见威胁情报中心研究人员认为,本次KoiMiner系列挖矿木马可能是某些黑客论坛、地下挖矿组织交流社区里多人合作的“练习”作品。

攻击流程
注:Struts是一个基于MVC设计模式的Web应用框架,用户使用该框架可以将业务逻辑代码从表现层中清晰的分离出来,从而把重点放在业务逻辑与映射关系的配置文件上。Struts2是Struts与WebWork的结合,综合了Struts和WebWork的优点,采用拦截器的机制来处理用户的请求,使业务逻辑能与ServletAPI完全脱离开。
0×2 详细分析
0×2.1 入侵
检测目标系统是否存在S2-045漏洞

对存在漏洞的系统进行攻击

入侵工具中供选择的渗透命令

入侵时可以选择执行的命令(也可自定义),供选择的命令是Windows、linux渗透中常用的命令,包括查看系统版本信息、网络连接状态、端口开放状态以及向系统添加具有管理员权限的新用户、打开远程连接服务等操作。

通过目录查看命令确认C:\Windows\Help目录和C:\ProgramData目录是否已经植入木马,若没有则将mas.exe木马植入。植入时先创建C#代码文本mas.cs,然后使用.NET程序将其编译为可执行文件mas.exe。
首先执行命令创建mas.cs并写入用于下载的代码。

然后执行命令将mas.cs通过.NET程序编译为mas.exe。

命令中利用mas.exe下载挖矿木马netxmr4.0。

部分受攻击目标如下:

植入的mas.exe大小只有4k,存放在目录ProgramData下。从御见威胁情报中心的监控记录可以看到,mas.exe从多个C2地址下载了netxmr4.exe(挖矿木马)、o3.exe/o6.exe(提权木马)等多个木马。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载