F5 Networks在上周三发文称，他们自2017年7月以来一直在追踪利用Apache Struts 2远程代码执行（RCE）漏洞CVE-2017-5638发起的恶意活动。在最初的活动中，攻击者主要利用这个漏洞来感染运行在Linux操作系统上的Struts框架，以挖掘以太币Electroneum （ETN）加密货币。

随着时间的推移，攻击者似乎决定将他们的采矿业务扩大到新的目标。在最新的活动中，F5 Networks的研究人员发现利用CVE-2017-5638的挖矿活动仍在进行，虽然其最终目标仍然是挖掘以太币，但攻击范围已经扩大到了Windows系统，而不仅仅是Linux系统。

新的目标针对了Windows系统

Apache Struts是美国阿帕奇（Apache）软件基金会负责维护的一个开源项目，是一套用于创建企业级Java Web应用的开源MVC框架。

漏洞CVE-2017-5638则是一个在2017年3月份被公开披露漏洞 ，影响Struts 2.3.5到Struts 2.3.31以及Struts 2.5到Struts 2.5.10的所有版本，在基于Jakarta Multipart解析器执行文件上传时，攻击者通过恶意的Content-Type值，可导致远程代码执行。

在最初的活动中，攻击者主要通过使用Linux系统内置的“ wget ”和“ curl ”工具注入Linux shell有效载荷，以下载挖矿恶意软件，并将其添加为持久性的“cron”任务。

在2018年3月中旬，F5 Networks的研究人员观察到最近进行的活动发生了变化，其中注入的有效荷载改为了针对基于Windows系统的Struts服务器。

使用Windows certutil工具下载恶意软件

由于Windows系统并不像Linux系统那样配备有内置命令行HTTP客户端工具（如“curl”和“wget”），常见的选择是编写Visual Basic或PowerShell脚本或使用Windows BITSAdmin工具（该工具通常被用于下载和上传）。

不过，在F5 Networks观察到的活动中，攻击者并没有使用这些方法或工具，而是使用了名为“certutil”的命令行工具来下载用于安装挖矿恶意软件的安装脚本文件。

certutil是Windows操作系统内置的一个命令行工具，能够使用“ urlcache ”标志从远程主机获取和缓存证书文件以及使用base64编码证书格式提供简单的规避功能。

在脚本文件被下载后，攻击者利用certutil对其进行了base64解码，保存为update.exe并执行。该文件的元数据表明，它很可能是在2018年1月30日被创建的。

安装程序几乎与所有版本的Windows系统兼容，并包含有三个负责执行不同功能的DLL文件。

检测是否安装ESET防病毒软件

在安装程序执行时，它将休眠16秒钟并检查受感染设备上是否安装有ESET防病毒软件。如果有，安装程序将使用nsisdl.dll下载名为nod.lock的文件并停止安装过程。

如果受感染设备没有安装ESET防病毒软件，安装程序将使用system.dll插件检查操作系统体系结构，并相应地下载“msi32.zip”或“msi64.zip”。

文件被下载到％appdata％/ MSSearchIndexer文件夹中，并使用ZipDLL.dll进行解压，然后将zip文件从受感染设备中删除。

挖矿程序（mssearch.exe）就包含在解压后的文件中，这是挖矿工具CPUMiner-Multi的一个分支版本，用于挖掘以太币。

活动极具隐蔽性 但并不赚钱

我们知道，由于挖矿进程会占用大量的CPU资源，因此受感染用户通常会通过打开Windows任务管理器来查看CPU和内存性能，以此来确定其计算机运行速度变慢的原因。

作为加密货币挖矿恶意软件的开发者而言，他们自然也知道这一点。因此，像其他一些加密矿工一样，当受害者打开任务管理器时，mssearch.exe会自动终止其自身进程。而一旦受害者关闭任务管理器，mssearch.exe又会重新自行启动。

这种机制使得挖矿活动能够很好地保持隐蔽性，不过根据F5 Networks的说法，他们最近发现的这场挖矿活动证实，Windows操作系统似乎并不是那么有利可图。

F5 Networks表示，这场活动至少已经持续了好几天的时间，但从开采的以太币数量来看，攻击者仅赚到了20美元左右。

F5 Networks认为，加密货币挖矿活动因为有利可图现在正在变得越来越流行，虽然从目前看来，这起挖矿活动的组织者在决策方面似乎存在重大失误。但还是证实了，针对已公开披露的漏洞安装安全补丁是何等重要。为例避免自己成为他人的赚钱工具，修补Apache Struts 2漏洞并部署防火墙策略会是当前所应该尽快完成的事情。