當前位置:
首頁 > 最新 > RubyMiner挖礦程序24小時內影響全球30%的網路

RubyMiner挖礦程序24小時內影響全球30%的網路

最新 01-19

近日,Check Point 的安全研究人員發現了 RubyMiner 惡意軟體家族,針對全球的 web 伺服器發起攻擊,並試圖利用這些伺服器挖掘門羅幣。24 小時內,全球 30% 的網路都受到影響。

上周,全球 web 伺服器遭遇了一場大規模攻擊,就在那時 RubyMiner 首次進入大眾視野。專家認為,此次攻擊背後的主要操控者只有一個人,盡在一天之內就嘗試入侵了全球近三分之一的網路。

在過去的24小時內,全球 30% 的網路都遭遇了針對 web 伺服器的加密貨幣挖礦攻擊。在此期間,該攻擊者試圖掃描全球網路,從中找到易受攻擊的 web 伺服器用於挖礦。主要受影響的國家是美國、德國、英國、挪威和瑞典,但全球其他國家也未能倖免。

義大利安全公司 Certego 也注意到 RubyMiner 從 1 月 10 日就開始發起攻擊:

從昨天(1月10日)23:00開始,我們的威脅情報平台就已經開始大規模報告關於 ruby http 的利用。令人驚訝的是,黑客大量使用 2012 年和 2013 年發布和修補的舊漏洞,而且似乎並不打算隱藏自己的蹤跡,而是打算在最短的時間內感染大量的伺服器。攻擊者選擇利用 HTTP Web 伺服器中的多個漏洞,分發開源的 Monero 挖礦程序 XMRig。XMRig 在 2017 年 9 月利用 Microsoft IIS 6.0(Windows Server 2003 R2 中的 Web 伺服器)中的漏洞進行攻擊。XMRig 通常會向開源代碼的作者捐贈 5% 的挖礦所得。然而,攻擊者可能覺得 5% 也還是太多,因此從代碼中刪除了「捐贈元素」,將所有利潤據為己有。

RubyMiner 影響範圍包括 Windows 伺服器也包括 Linux 伺服器,主要利用 PHP、 Microsoft IIS 和 Ruby on Rails 中的漏洞來部署挖礦軟體。Certego 的分析報告顯示,惡意程序一直在利用 Ruby on Rails 中一個可造成遠程代碼執行的古老 CVE(CVE-2013-0156)漏洞。

PHP 伺服器攻擊向量

Ruby on Rails 攻擊向量

RubyMiner 的具體攻擊過程如下:

攻擊者在 POST 請求內發送一個 base64 編碼的有效載荷,並誘導解釋器執行該有效載荷。這個惡意的有效載荷是一個 bash 腳本,其中添加了一個每小時運行一次的定時任務 cronjob,同時還下載了一個包含 shell 腳本的 robots.txt 文件,用於獲取並執行挖礦軟體。隨後調度程序執行命令,運行整個過程(包括每小時從伺服器下載文件)。

cron 是一個基於 UNIX 的調度程序,可以通過自己的語法在固定的時間運行計劃好的任務。 使用 -r 參數運行 crontab 命令將刪除現有 crontab 中的所有現有任務,並允授予礦工全部優先順序。

攻擊者可以使用」1 「將新任務注入到乾淨的 crontab 文件中,進而命令調度器每小時無限運行一分鐘。新任務將下載並執行「internetresearch.is」上託管的「robots.txt」文件,進而開始挖掘。

正常的robots.txt

攻擊活動中的 robots.txt

專家認為,robots.txt 文件也可以用作 RubyMiner 的 kill 開關,修改受感染 web 伺服器上的 robots.txt 文件,進而關停 RubyMiner。

(關閉開關後)一分鐘之內,所有重新下載文件的計算機都將收到沒有加密挖礦軟體信息的文件。

此外,攻擊者所使用的一個域名「lochjol.com」在 2013 年也涉及到 Ruby on Rails 漏洞相關的攻擊。

文章發布時,全球大約有 700 台伺服器在 24 小時的攻擊中徹底中招。

以下是 CheckPoint 發布的 RubyMiner 的 IOC 等相關信息:


攻擊伺服器及 Dropzones:

203.24.188[.]242

Internetresearch[.]is

dgnfd564sdf[.]com

lochjol[.]com

Payloads:

a6a57e6a216dff346a22f51639c4b99c

91d31ed8e569c0089fa070ed125e1fc5

761f5cfd0a3cddb48c73bc341a4d07a9


我們的 IPS 和 AB 保護已經成功地阻止了從第 0 天開始的相關攻擊。我們將繼續監視和研究任何額外的野外攻擊。


PHP php-cgi 查詢字元串參數代碼執行

Ruby on Rails XML 處理器 YAML 反序列化代碼執行

Microsoft IIS ASP 腳本源代碼泄露


Linux.RubyMiner.A


喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 FreeBuf 的精彩文章:

機器學習對抗案例 | 愚弄Google圖像識別演算法

TAG:FreeBuf |