Kryptowährungs-Miner verwenden Struts- und DotNetNuke-Server Exploits

Originalbeitrag von Hubert Lin

Mining von Kryptogeld ist für Cyberkriminelle zu einer zuverlässigen Geldquelle avanciert. Kryptowährungs-Miner nutzen die Rechenleistung anderer, um Coins verschiedener Art zu schürfen. Dies setzen sie meistens über Schadsoftware oder kompromittierte Websites um. In den letzten Wochen gab es eine signifikante Zunahme bei den Exploits, die zwei bestimmte Sicherheitslücken im Visier hatten: CVE-2017-5638 (Lücke in Apache Struts) und CVE-2017-9822 (Lücke in DotNetNuke). Patches für diese Sicherheitslücken sind bereits verfügbar. Die Webanwendungen werden von Entwicklern häufig für die Erstellung von Websites genutzt und sind somit natürlich auf vielen Servern vorhanden. Die Struts-Sicherheitslücke war auch an dem massiven Equifax-Einbruch 2017 beteiligt.

Trend Micro geht davon aus, dass es sich um das Werk eines einzelnen Bedrohungsakteurs handelt, denn die Sites zeigen alle auf eine einzige bösartige Domäne für das Herunterladen von Monero-Miners (die auch alle auf eine einzige Monero-Adresse zeigen). Es wurden bereits 30 XMR geschürft, das sind etwa 12.000 US-$.

Analyse

Es werden bösartige HTTP-Anfragen an die Zielserver gesendet, die diese Sicherheitslücken ausnützen. Die Anfragen enthalten codierten Scripting Code, wobei die Lücken dazu verwendet werden, um den Code auf den betroffenen Servern auszuführen. Es werden mehrere Schichten getarnten Codes verwendet, um die Erkennung und Analyse zu erschweren. Sowohl Windows- als auch Linux-Systeme sind betroffen. Die letzte Code-Schicht führt dann letztendlich zum Download der bösartigen Payload: einem Monero-Miner. Weitere Einzelheiten liefert der Originalbeitrag.

Umfang

Die Daten lassen vermuten, dass diese Kampagne seit Mitte Dezember läuft. Die Grafik zeigt die Anzahl der Feedback-Vorfälle, die die Struts-Lücke im Visier hatten:


Bild. Zahl der Hits im November und Dezember

Nach der Spitze Mitte Dezember fiel die Zahl der Feedbacks wieder ab. Dennoch läuft die Kampagne weiter – Systemadministratoren müssen sich darauf einstellen, dass Struts-Angriffe nun ein regelmäßiger Bestandteil der Bedrohungslandschaft sein werden.

Lösungen

Es gibt mehrere Methoden, um dieser Bedrohung entgegenzutreten. Eine Sofortmaßnahme besteht im Patchen obiger Schwachstellen.

Trend Micro™ TippingPoint™ liefert virtuelles Patching und breit angelegten Zero-Day-Schutz über DigitalVaccine™-Filter vor angreifbaren Netzwerkschwachstellen. Trend Micro Deep Security™ und Vulnerability Protection bietet ebenfalls virtuelles Patching, das Server und Endpunkte vor Bedrohungen schützen kann, die Sicherheitslücken in kritischen Anwendungen ausnützen. OfficeScan Vulnerability Protection schirmt Endpoints vor bekannten und unbekannten Schwachstellen-Exploits ab, bevor Patches verfügbar sind.

Trend Micro Deep Discovery™ liefert Erkennung, tiefgehende Analysen und proaktive Reaktionen auf Angriffe sowie eine nahtlose Korrelation über den gesamten Angriffszyklus hinweg Spezielle Erkennungs-Engines und benutzerdefiniertes Sandboxing entdecken und analysieren Malware.

Deep Security schützt über die folgende Regel:

  • 1008207 – Apache Struts2 Remote Code Execution vulnerability (CVE-2017-5638)

Deep Discovery Inspector schützt Kunden über folgende Regeln:

  • 2348: CVE-2017-5638 – APACHE STRUTS EXPLOIT – HTTP (Request)
  • Beta Rule 3781: CVE-2017-9822 DotNetNuke Remote Code Execution Exploit – HTTP (Request)

Trend Micro™ TippingPoint™-Kunden können den folgenden MainlineDV-Filter anwenden:

  • 27410: HTTP: Apache Struts Content-type Command Injection Vulnerability

Trend Micro Smart Home Network™-Kunden nutzen die folgenden Regeln:

  • 1132543 WEB Apache Struts Dynamic Method Invocation Remote Code Execution -1.h
  • 1134304 WEB DotNetNuke Deserialization Vulnerability (CVE-2017-9822)

Indicators of Compromise umfasst der Originalbeitrag.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.