利用CVE-2020-14882的加密矿工

admin

138674
文章

114
评论

2020年11月25日11:46:58评论8 views字数 1725阅读5分45秒阅读模式

文章源自-投稿

作者-Jadore

扫描下方二维码进入社区：

Weblogic REC CVE-2020-14882描述：

存在于Oracle Fusion Middleware（组件：控制台）的Oracle WebLogic Server产品中的漏洞。利用该漏洞，未授权攻击者可以通过HTTP访问网络，从而破坏Oracle WebLogic Server。成功攻击此漏洞可能导致Oracle WebLogic Server被接管，达到命令执行的目的。

利用WebLogic RCE CVE-2020-14882的加密矿工：

来源：

https://thedfirreport.com/2020/11/12/cryptominers-exploiting-weblogic-rce-cve-2020-14882/?subscribe=pending#blog_subscription-2

[Author]：The DFIR Report [译]：J'adore

10月底，我们开始看到有攻击者利用了WebLogic RCE漏洞（CVE-2020-14882）。最近，SANS ISC（SysAdmin审计网络安全协会）讨论了关于该漏洞被广泛利用的情况，他们表示该漏洞非常容易利用，并认为勒索软件使用者目前正在利用此漏洞来传播勒索病毒

案例摘要：

威胁人员通过调用images目录来利用CVE-2020-14882，这使他们可以在服务器上执行任意命令。他们利用此漏洞下载并执行了一个xml文件，其中包括一个用于下载和执行脚本的PowerShell命令。该脚本执行多项操作，例如下载XMRig及其配置文件，并将XMRig重命名为sysupdate，为更新过程安排任务，并确认矿机正在运行。

MITRE ATT&CK攻击流程：

1、初始访问

威胁人员利用CVE-2020-14882执行了一个名为wbw的xml文件，该文件托管在IP为95.142.39.135处：

利用CVE-2020-14882的加密矿工

通过微步平台，可以发现该IP已被打上恶意软件及kinsing挖矿僵尸网络的标签，如图所示：

利用CVE-2020-14882的加密矿工

2、执行过程

在1的请求包中，威胁人员执行了wbw.xml文件，该文件会下载并执行1.ps1文件：

利用CVE-2020-14882的加密矿工

PowerShell命令如下：

利用CVE-2020-14882的加密矿工

该脚本通过初始化miner_url等参数来确定xmrig文件及其配置文件config.json的下载位置，如图所示：

利用CVE-2020-14882的加密矿工

接着，脚本下载并执行xmrig，将其重命名为sysupdate，并利用SchTasks来设置计划任务来运行update.ps1，遗憾的是，在目录中并未发现该脚本，但是假设威胁人员会重新访问，则在需要时他们将会再次下载该脚本：

利用CVE-2020-14882的加密矿工

执行的命令如下：

利用CVE-2020-14882的加密矿工

3、逃避防御性检测：

上文我们提到，该脚本会将xmrig.exe重命名为sysupdate，以试图隐藏自身来逃避防御性检测，如图所示：

利用CVE-2020-14882的加密矿工

4、影响：

服务器的CPU已达到100%的极限，会对系统环境造成非常严重的影响，在撰写本文时，用于采矿的钱包几乎没有东西。

OCs情报：

https://misppriv.circl.lu/events/view/81020

https://otx.alienvault.com/pulse/5fac81c53f59e8b0157fca9f

网络：

1、利用CVE-2020-14882的IP：

利用CVE-2020-14882的加密矿工

2、矿工关联：

利用CVE-2020-14882的加密矿工

文件：

利用CVE-2020-14882的加密矿工

检测

网络：

利用CVE-2020-14882的加密矿工

Sigma（SIEM系统的通用签名格式）

https://github.com/Neo23x0/sigma/blob/de5444a81e770ec730aa5e3af69781ab222f021a/rules/windows/powershell/powershell_suspicious_invocation_specific.yml