甲骨文服务器漏洞CVE-2017-10271被用于散布双重门罗币矿工
CVE-2017-10271是Oracle WebLogic Server 12.2.1.2.0及更高版本中WebLogic Server安全服务(WLS安全性)中存在的输入验证漏洞,允许攻击者利用该漏洞远程执行任意代码。
该漏洞的概念验证代码(POC)于2017年12月份由中国安全研究人员公布,趋势科技的安全团队近日发现,它已经被滥用来提供两种不同的加密货币矿工:门罗币(Monero)矿工XMRig的64位和32位变体。Windows操作系统的体系结构(32位或64位)决定了哪一个矿工执行,如果其中一个版本与受感染的Windows计算机系统不兼容,则另一个版本将运行。
趋势科技检测到的恶意软件被称为“Coinminer_MALXMR.JL-PS”,一旦执行,它将下载三个文件到受感染设备中:挖掘组件javaupd.exe(检测为Coinminer_TOOLXMR.JL-WIN64)、自启动组件startup.cmd(检测为Coinminer_MALXMR.JL-BAT)以及另一个挖掘组件3.exe(检测为Coinminer_MALXMR.JLT-WIN32)。
整个过程从安装自启动组件开始,恶意软件通过将startup.cmd复制到受感染设备的Startup文件夹来完成此操作。cmd文件在系统启动时打开,然后执行Powershell命令。
同时,两个不同的计划任务将被创建:一个用于下载矿工;另一个用于终止挖掘。创建这些计划任务后,Coinminer_MALXMR.JL-PS将执行第一个有效载荷,即挖掘组件javaupd.exe,从而允许挖掘过程启动。
第二个有效载荷,即下载的3.exe文件,将检查系统是否正运行在32位平台上。如果是,它将下载并执行一个新文件LogonUI.exe(检测为COINMINER_MALXMR.JL-WIN32)。LogonUI将注册为一个名为“ Microsoft Telemetry”的服务,并创建一个每日执行的计划任务。同时,最终的挖掘组件sqlservr.exe(检测为COINMINER_TOOLXMR. JL-WIN32)将按照此计划任务执行。
趋势科技的研究人员表示,该恶意软件会占用系统的中央处理器(CPU)以及图形处理器(GPU)资源来挖掘门罗币,进而使系统运行异常缓慢以及性能下降。