JenkinsMiner加密货币挖矿软件攻击我国某机构 18个月非法盈利300多万美元

近日,研究人员发现“迄今为止最大的 加密货币 挖矿恶意软件事件之一”。攻击者JenkinsMiner利用 软件集成平台Jenkins 远程代码执行漏洞 CVE-2017-1000353 , 通过安装 门罗币 Monero挖矿恶意软件,18个月非法获利300多万美元。

推荐阅读:

软件集成平台Jenkins爆出4个漏洞 攻击者可能实施深度攻击 绿盟科技发布安全威胁通告

软件集成平台Jenkins爆出高危远程代码执行漏洞CVE-2017-1000353

2.5万软件集成平台Jenkins暴露在互联网 大量敏感证书及日志泄露

18个月非法盈利1万多门罗币 时价300多万美元

安全公司Check Point透露, “该操作使用了能够在多种平台和Windows版本上运行的 远程访问木马 (RAT)和 加密货币挖矿软件XMrig 的混合” 。 迄今为止,大多数受害者都是“个人电脑”。伴随攻击过程,恶意软件历经几次更新,而且用于转移利润的采矿池也发生了变化。在过去的18个月中,黑客累积了10,800个Monero,目前价值3,436,776美元。

“攻击者已经在许多Windows版本上运行XMRig矿工,并且已经为他提供了价值超过300万美元的门罗币Monero加密货币。”

“虽然这还不够,但他现在通过瞄准强大的 Jenkins CI服务器来提升他的攻击能力,让他能够挖到更多的加密货币。”

Jenkins软件集成平台是一种用Java编写的开源自动化服务器,估计有100万用户被称为 “最广泛部署的自动化服务器”。Check Point 称Jenkins为“去CI'和' DevOps '编排工具。不幸的是,由于其强大的功能,通常托管在大型服务器上,这也使其成为加密货币挖矿攻击的主要目标。

攻击行为中利用的是Jenkins远程代码执行漏洞 CVE-2017-1000353 ,该漏洞在2017年4月发布 的Jenkins安全公告中披露。此外,“JenkinsMiner”还可能通过降低服务器性能并发出 DoS攻击 来影响服务器

JenkinsMiner利用CVE-2017-1000353攻击我国某机构

据CheckPoint称,JenkinsMiner攻击活动涉及向CLI界面发送两个“请求”,以便“加密货币挖矿恶意软件可以利用Jenkins Java反序列化实现中已知的CVE-2017-1000353漏洞。 该漏洞是由于缺少对序列化对象的验证,任何序列化对象都会被接受。“

发送第一个会话请求后,立即发出第二个请求,其中 包含“两个带注入PowerShell代码的序列化对象来执行JenkinsMiner”

据该报告称,JenkinsMiner挖矿恶意软件下载IP来自我国,关联到组织为“淮安电子政务信息中心”。 尽管存在多个采矿池,但攻击仅使用一个钱包。 Check Point解释说:

“攻击行为目前运行良好并得到维护,并且许多采矿池用于从受感染的机器中收集利润,但似乎攻击者对所有存款只使用一个钱包,并且不会将其从一个活动更改为下一个活动。 到目前为止,已经开采了300万美元。

JenkinsMiner IoC

Domain and IP:

  • 222[.]184[.]79[.]11
  • 183[.]136[.]202[.]244
  • btc[.]poolbt[.]com
  • shell[.]poolbt[.]com
  • xmr[.]btgirl[.]com[.]cn
  • btc[.]btgirl[.]com[.]cn

File:

  • 0bb4503cc52530ddadb102fa4010fb4d89af88aca846d4b16f601d0702134246
  • 06f8eda46fd6bdc11b8ec4d18a0f0afbf3d47f82cea8363d342975896582a715
  • f0430130a2f3549b1aeff0a9fb2246f68f585a7c1d312c7be385a1cf5f37e70d
  • c87d294cb0384cb56f4829d58cdd3f53572d3f95c2133a9b1da5f5bc1710f22f
  • f750d6da918a5f2f2c442a339821ffebcad4b61e4ca1684bac0e7df98416a794
  • 3002551eebaf486d77a2b81d87db553ad8632bb132553e306395c5da589171fe
  • 213a23219ff89c412f92aa1fdf7152178a81514014ee1cc4ffee97e725ee63a3
  • ff8c97cd55523cbdceef80407269d35bbf78abcbf807426c12d9debe1ce498d9
  • 2beaa23907c40cfcb705844f4f515ff81a788abe1aed2c8d23626d9d735968ae
  • b22fa98c3ee99222c4e827a9745.206ccf7cd40530459a92f183e148b0df5ce9

JenkinsMiner防护措施

IPS protections:

  • Command Injection Over HTTP
  • Jenkins CI Unauthenticated Remote Code Execution

Anti-Bot protections:


  • WIN32.XMRig.A
  • 本文由:csoonline 发布,版权归属于原作者。 
  • 本文地址http://toutiao.secjia.com/jenkinsminer-cve-2017-1000353


分享本文至:


发布时间:2018-2-26 15:14 Monday
  • 版权声明:除非注明,文章均为【石家庄SEO】原创,欢迎转载!转载请注明本文地址,谢谢!

  • 作者:石家庄SEO

    东轩,IT专业,主攻网站前端设计制作方面以及seo技术。博主现在单身哦。有单身的小姐姐可以私信博主。

    返回列表
    上一篇:
    下一篇:

    发表评论

    快捷回复: