趋势科技：网络犯罪分子使用混淆技巧来安装加密挖掘恶意软件

 
最近，网络安全公司趋势科技已经证实，攻击者利用Oracle WebLogic服务器中的漏洞安装monero(XMR)挖掘恶意软件，同时使用证书文件作为混淆技巧。该消息在6月10日发布的趋势科技博客文章中披露。
正如之前报道的那样，隐形加密挖掘的形式也被称为行业术语cryptojacking – 安装恶意软件的做法，该恶意软件使用计算机的处理能力在未经所有者同意或知情的情况下挖掘加密货币。
根据趋势科技的帖子，针对Oracle WebLogic漏洞(“CVE-2019-2725”)的安全补丁 – 据报道由反序列化错误引起 – 在今年春季早些时候在国家漏洞数据库中发布。
但是，趋势科技引用了SANS ISC InfoSec论坛上出现的报告，声称该漏洞已经被用于加密劫持目的，并确认其已经验证并分析了这些指控。
该公司指出，已识别的攻击部署了它所描述的“有趣的转折” – 即“恶意软件将其恶意代码隐藏在证书文件中作为混淆策略”：
“使用证书文件来隐藏恶意软件的想法不是一个新的[…]通过使用证书文件进行混淆，一个恶意软件可能会逃避检测，因为下载的文件是证书文件格式，被视为正常 – 特别是在建立HTTPS连接时。“
趋势科技的分析首先要注意恶意软件利用CVE-2019-2725执行PowerShell命令，提示从命令和控制服务器下载证书文件。
在继续追踪其步骤和特征(包括安装XMR矿工有效载荷)后，Micro Trend注意到其当前部署中存在明显的异常现象：
“[O]足够，在从解码的证书文件执行PS命令时，下载其他恶意文件而不通过前面提到的证书文件格式隐藏。这可能表明混淆方法目前正在测试其有效性，并将其扩展到其他日后挂起的恶意软件变种。“
该帖最后向使用WebLogic Server的公司推荐使用安全补丁将其软件更新到最新版本，以降低加密劫持的风险。