MassMiner攻击具有多个漏洞的Web服务器

最近发现的加密货币挖掘恶意软件家族正在使用多种漏洞攻击，试图增加成功攻击Web服务器的可能性，AlienVault发现。

被称为MassMiner 的恶意软件包括一个互联网扫描工具MassScan的分支，在这种情况下，它会传递一个私有和公有IP范围列表，以便在执行过程中进行扫描。攻击目标后，恶意软件首先尝试传播到本地网络上的其他主机，然后尝试通过Internet传播。

AlienVault观察MassMiner的多个版本，并表示，该恶意软件继续蔓延。该安全公司确定了亚洲，拉丁美洲和欧洲的受损系统，但尚未确定感染的全部范围。

在利用MassScan进行侦察之后，恶意软件尝试利用CVE-2017-10271 WebServer Exploit，CVE-2017-0143与NSA相关的 SMB Exploit（EternalBlue，用于安装DoublePulsar）和CVE-2017-5638 Apache Struts漏洞利用。它还尝试使用SQLck强制使用Microsoft SQL Server 。

一旦Microsoft SQL服务器遭到破坏，将执行一个安装MassMiner的脚本，后面是一个1000+行SQL脚本，用于禁用服务器上的重要安全功能，例如防病毒保护。

在Weblogic服务器上，使用PowerShell脚本下载MassMiner恶意软件，并将VisualBasic脚本部署到Apache Struts服务器上。

部署后，恶意软件实现持久性，安排任务执行其组件，修改访问控制列表（ACL）以授予对系统中某些文件的完全访问权限，并杀死Windows防火墙。

MassMiner从远程服务器下载配置文件。该文件包含服务器上下载更新的信息，可执行文件传染其他机器，以及Monero钱包和采矿池发送矿产币。

“但是，如果配置文件的http请求从未得到响应，恶意软件就能够使用默认配置成功运行Miner，”Alien Vault指出。

除了加密矿工之外，恶意软件还会尝试将经典的Gh0st后门安装到受感染的机器上。这表明恶意软件运营商可能正在设置进一步的攻击，就像最近的PyRoMine恶意软件一样。

AlienVault已经确定了属于MassMiner运营商的两款Monero钱包。