研究人员检测数据发现，近几个月来越来越多的攻击者转向加密货币挖矿来获取暴利。加密货币挖矿机利用恶意软件和被黑的网站，利用终端用户的计算能力来挖不同种类的加密货币。通过黑掉服务器来运行加密货币矿机，攻击者可以获取等多的计算能力，并增加挖矿的获利。

最近几周，研究人员发现CVE-2017-5638 (Apache Struts远程代码执行漏洞) 和 CVE-2017-9822 (DotNetNuke任意代码执行漏洞)这两个漏洞的利用数量不断增长。但是，这两个漏洞的补丁都已经发布了。这两个漏洞是web应用中开发者常用来建站的，所以存在于很多服务器中。2017年的Equifax大规模数据泄露中就有Struts漏洞。

因为所有的被黑网站都指向同一个下载Monero挖矿机的恶意域名（Monero地址也只有一个），所以研究人员相信这是攻击者只有一个。目前，该Monero地址已经收到30XMR，相当于12000美元（约为77000人民币）。

分析

利用了上述漏洞多恶意HTTP请求发送给目标服务器。这些HTTP请求含有经过编码的脚本代码。有上述漏洞的服务器会运行这些恶意代码。这些恶意代码还用了多次那个的混淆技术来避免分析和检测。Windows和Linux系统都会受该攻击的影响。

混淆代码的最后一层，一旦解码，就完成了攻击的最终目标。恶意代码会下载恶意的payload：Monero加密货币挖矿机。

图1、2. 发送给目标服务器的HTTP请求

下载Monero加密货币挖矿机的URL根据系统的不同会有所不同，在Struts 和DotNetNuke

攻击者的URL是一样的，如下所示：

Windows – http://eeme7j.win/scv.ps1 从http://eeme7j.win/mule.exe下载加密货币挖矿机 (文件名 TROJ_BITMIN.JU)

Linux – http://eeme7j.win/larva.sh从 http://eeme7j.win/mule下载加密货币挖矿机 (文件名ELF_BITMIN.AK)

范围

检测数据表明，该攻击活动从2017年12月中旬开始，下图是12月Struts漏洞反馈数据：

图 3. 11-12月的攻击数量

攻击数在12月中下旬到达一个峰值，随后回落。但攻击仍在进行中，系统管理员必须意识到Struts攻击现在是威胁图谱中的一个常规部分了。

受害设备把所有挖到的Monero都发给同一个帐号（地址），获利大约1.2万美元。目前，攻击活动仍在进行中，并且没有停止的信号。

解决方案

系统管理员有很多方法来解决这一威胁。最好的办法就是对上述漏洞打补丁。Struts漏洞补丁在2017年3月就发布了，DotNetNuke漏洞补丁也在2017年8月修复。安装补丁可以减小此类攻击的风险。

IoC

文件hash

URL

eeme7j.win/larva.sh

eeme7j.win/mule

eeme7j.win/mule.exe

eeme7j.win/scv.ps1