当心!Cerber勒索软件已经开始利用Struts 2漏洞CVE-2017-5638 攻击者已经捞到84比特赎金 约合10万美金

一方面最近刚刚爆出的struts2 漏洞CVE-2017-5638 S2-046 ,而另一方面已经有领导的电脑中了Cerber勒索软件 ,今天这两个鬼终于碰到一起了。Cerber勒索软件开始利用Struts2 的漏洞发动攻击。

F5的安全专家监测到攻击者利用Struts2漏洞上传Cerber勒索软件

自三月以来, F5的安全专家们观察到有攻击者利用这个漏洞向 windows 服务器上传 Cerber 勒索软件。

"这次攻击开始于2017年3月10日,漏洞被公开后的几天。攻击者似乎对 CVE-2017-5638 漏洞利用进行了轻微的修改。

此漏洞利用通过内容类型的头部值触发, 如果被攻击的服务器有效,攻击者可以使用 shell 命令行自定义执行动作。

SANS研究机构也监测到勒索软件利用Struts 2漏洞

该研究机构的专家表示

一个月以来, 我们正在跟踪许多利用 java Struts2 漏洞的尝试 (cve 2017-5638)。以前经常看到攻击者利用简单的 perl 后门和僵尸来攻击 unix 系统. 。但是最近, 我看到了一些利用 Cerber 勒索软件变体来攻击 windows 系统的尝试。

骗子利用 CVE-2017-5638 漏洞来运行windows 工具,例如 shell 命令和 ITSAdmin 之类的东西,来下载并执行 Cerber 恶意软件。

以下是 SANS 研究人员观察到的攻击步骤

  1. 脚本使用 BITSAdmin 下载恶意软件 (笔者混淆了上面的URL)
  2. 恶意软件 (“UnInstall.exe”) 保存在 %TEMP% 目录里面
  3. 最后,恶意软件就被执行了

在受害者的勒索信息中,F5的专家发现了比特币的地址,在分析之后发现其中已经有84比特币, 当前市值大致 $100,000 。

F5在其blog中评论到

"apache struts 中的新漏洞给攻击者提供了一个新的市场, 面对这么多有漏洞的服务器很容易扩展自己的业务"

"瞄准服务器, 而不是个人, 勒索者有更好的机会赚钱,因为这些服务器通常由更大的组织运营,没准其中的数据对他们的业务至关重要。

发表评论