2018-01-08 セキュリティニュースまとめ
マイクロソフト、決済手段としてのビットコイン利用を停止「通貨として不安定なため」
元記事
概要
- Microsoft は 2014年に決済手段としてビットコインを追加、過去にも一時停止
- Steamも「手数料高騰と貨幣価値の乱高下」を理由に2017年12月に同様の停止判断
- 貨幣価格の乱高下でタイミングに依存し多額の損失を被りうるための措置/Microsoft はアカウントにドル建てで現金をチャージする手段としてのビットコインは受け入れ
Oracle WebLoic Server の脆弱性を悪用した攻撃キャンペーンが確認される
元記事
https://isc.sans.edu/diary.html?date=2018-01-04
概要
- Oracle WebLogic Server の脆弱性を悪用して Monero 暗号通貨の採掘を行うマイニングスクリプトを埋め込む攻撃が確認される
- 悪用される脆弱性はCVE-2017-10271
- Oracle からのパッチおよびセキュリティアドバイザリ
- 影響を受けるバージョン (以下は Oracle アドバイザリでのサポート対象製品のみ。サポート対象外では 10.3.3.0 にも影響)
- 10.3.6.0.0
- 12.1.3.0.0
- 12.2.1.1.0
- 12.2.1.2.0
確認された攻撃の内容
- Bash スクリプトで URL 「
/wls-wsat/CoordinatorPortType」に対してアクセスし、文字列「Web Services」を含む応答が返ってくるかどうかをチェックすることで脆弱なシステムを探す - 脆弱なシステムが見つかると次にドロッパースクリプトが Monero のマイニングスクリプトをドロップする
- WebLogic の停止記録によって WebLogic Server ユーザーが攻撃に気づくこともある
これまでに確認されている IOC
ネットワーク
- hxxp://165.227.215.25/
- hxxp://165.227.215.25/xmrig-y
- hxxps://165.227.215.25/xmrig-y
- hxxp://165.227.215.25/java_infected
- hxxp://165.227.215.25/xmrig-y%20$mName
- hxxp://165.227.215.25/5555
- hxxp://165.227.215.25/xmrig-aeon.exe
- hxxp://165.227.215.25/xmrig-y.exe
- hxxp://165.227.215.25/xmrig-y%20$
- hxxp://165.227.215.25/xmrig
IP アドレス
- IP アドレス 165[.]227.215.25 が攻撃にも、暗号通貨マイナーのバイナリ用リポジトリとしても利用されている
ハッシュ値 (MD5)
0e0ad37bc72453e4ec2a6029517a8edd 44d3ea4f3542f246a5535c9f114fbb09
謝辞: 分析時の協力者
- Diego Piffaretti 氏
- Victor Matuk 氏
参考文献
[1] http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.htm [2] https://isc.sans.edu/api/threatlist/miner