Zweifache Monero Miner Payload über Oracle Server-Lücke

Originalbeitrag von Johnlery Triunfante und Mark Vicente

Der steile Aufschwung von Kryptowährung in der letzten Zeit hatte einen Schwenk in der Cyberangriffslandschaft zur Folge. Kriminelle passen ihre Ressourcen an den Trend an und setzen sie dafür ein, um Kryptowährung zu verdienen, sei es über Angriffe auf Repositories wie Bitcoin-Wallets oder über die Kompromittierung von Netzwerken und Geräten, um damit digitale Währungen zu schürfen. Dies ist nicht ganz neu – Ransomware-Autoren nutzten bereits seit Jahren vorzugsweise Bitcoin als Zahlungsmittel. Doch in letzter Zeit sind Kryptowährungs-Miner im Kommen. Ende Oktober 2017 tauchte mobile Malware für Mining in beliebten App Stores auf, und im Dezember 2017 verbreitete sich der Digmine Kryptowährungs-Miner über Messaging Apps in den sozialen Medien.

Jetzt wurde CVE-2017-10271, eine gepatchte Sicherheitslücke in Oracle WebLogic WLS-WSAT, über die remote beliebiger Code ausgeführt werden kann, missbraucht. Darüber werden zwei verschiedene Kryptowährungs-Miner abgelegt: eine 64-Bit-Variante und eine 32-Bit Variante eines XMRig Monero Miners. Ist eine Version nicht kompatibel mit dem infizierten Windows Computer, so läuft die andere Version.

Trend Micro hat die Payload als Coinminer_MALXMR.JL-PS identifiziert. Wird sie erfolgreich ausgeführt, so setzt sich auf der infizierten Maschine ein doppelter Monero Miner fest. Technische Details liefert der Originalbeitrag.

Eine Coin-Mining Malware versucht, so viele Geräte wie möglich zu infizieren, denn es bedarf erheblicher Leistung, um Kryptowährung zu schürfen. Mit zwei Payload-Systemen, die beide in der Lage sind, automatisch täglich zu starten, haben die Entwickler dieser Malware bessere Chancen, Maschinen zu infizieren und sie zum Schürfen zu missbrauchen. Auch ist dieser Miner speziell darauf zugeschnitten, das Meiste aus seiner „Wirtmaschine“ heraus zu holen, indem er andere Schadsoftware abschaltet. Er deaktiviert spoosvc.exe und löscht den angesetzten Task “Spooler SubSystem Service”. Dieses Verhalten ist von einem anderen Kryptowährungs-Miner bekannt, den Trend Micro als TROJ_DLOADR.AUSUHI identifiziert hat.

Mögliche Gegenmaßnahmen

Diese Malware nutzt die CPU- und/oder GPU-Ressourcen, sodass das System verdächtig langsam wird. Nutzer sollten dabei misstrauisch werden, denn Mining-Schadsoftware verbreitet sich immer mehr.

Regelmäßiges Patchen und Aktualisieren der Software können die Auswirkungen von Kryptowährungs-Schadsoftware, welche die Systemlücken ausnützt, minimieren helfen. IT/Systemadministratoren können auch Application Whitelisting oder ähnliche Sicherheitsmechanismen, die verdächtige Binärdateien an der Ausführung hindern, in einsetzen. Proaktives Monitoring des Netzwerkverkehrs hilft dabei, Warnzeichen für Malware-Infektionen zu identifizieren. Die Trend Micro Endpoint-Lösung Smart Protection Suites und Trend Micro Worry-Free Services Advanced können über Verhaltensmonitoring, Applikationskontrolle und Shielding von Sicherheitslücken die Ausführung von bösartigen Routinen verhindern. Zusätzlich kann Trend Micro Deep Discovery Inspector Kunden über folgende DDI-Regel schützen:

  • DDI Rule ID 3874:CVE-2017-10271 – Oracle Weblogic Exploit – http (Request)

Indicators of Compromise finden Interessierte im Originalbeitrag.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.