RubyMiner挖矿程序24小时内影响全球30%的网络

2018 年 1 月 18 日 FreeBuf AngelaY

近日,Check Point 的安全研究人员发现了 RubyMiner 恶意软件家族,针对全球的 web 服务器发起攻击,并试图利用这些服务器挖掘门罗币。24 小时内,全球 30% 的网络都受到影响。

上周,全球 web 服务器遭遇了一场大规模攻击,就在那时 RubyMiner 首次进入大众视野。专家认为,此次攻击背后的主要操控者只有一个人,尽在一天之内就尝试入侵了全球近三分之一的网络。

在过去的24小时内,全球 30% 的网络都遭遇了针对 web 服务器的加密货币挖矿攻击。在此期间,该攻击者试图扫描全球网络,从中找到易受攻击的 web 服务器用于挖矿。主要受影响的国家是美国、德国、英国、挪威和瑞典,但全球其他国家也未能幸免。

意大利安全公司 Certego 也注意到 RubyMiner 从 1 月 10 日就开始发起攻击:

从昨天(1月10日)23:00开始,我们的威胁情报平台就已经开始大规模报告关于 ruby http 的利用。令人惊讶的是,黑客大量使用 2012 年和 2013 年发布和修补的旧漏洞,而且似乎并不打算隐藏自己的踪迹,而是打算在最短的时间内感染大量的服务器。攻击者选择利用 HTTP Web 服务器中的多个漏洞,分发开源的 Monero 挖矿程序 XMRig。XMRig 在 2017 年 9 月利用 Microsoft IIS 6.0(Windows Server 2003 R2 中的 Web 服务器)中的漏洞进行攻击。XMRig 通常会向开源代码的作者捐赠 5% 的挖矿所得。然而,攻击者可能觉得 5% 也还是太多,因此从代码中删除了“捐赠元素”,将所有利润据为己有。

RubyMiner 影响范围包括 Windows 服务器也包括 Linux 服务器,主要利用 PHP、 Microsoft IIS 和 Ruby on Rails 中的漏洞来部署挖矿软件。Certego 的分析报告显示,恶意程序一直在利用 Ruby on Rails 中一个可造成远程代码执行的古老 CVE(CVE-2013-0156)漏洞。

PHP 服务器攻击向量

Ruby on Rails 攻击向量

RubyMiner 的具体攻击过程如下:

攻击者在 POST 请求内发送一个 base64 编码的有效载荷,并诱导解释器执行该有效载荷。这个恶意的有效载荷是一个 bash 脚本,其中添加了一个每小时运行一次的定时任务 cronjob,同时还下载了一个包含 shell 脚本的 robots.txt 文件,用于获取并执行挖矿软件。随后调度程序执行命令,运行整个过程(包括每小时从服务器下载文件)。

cron 是一个基于 UNIX 的调度程序,可以通过自己的语法在固定的时间运行计划好的任务。 使用 -r 参数运行 crontab 命令将删除现有 crontab 中的所有现有任务,并允授予矿工全部优先级。

攻击者可以使用”1 “将新任务注入到干净的 crontab 文件中,进而命令调度器每小时无限运行一分钟。新任务将下载并执行“internetresearch.is”上托管的“robots.txt”文件,进而开始挖掘。

正常的robots.txt

攻击活动中的 robots.txt

专家认为,robots.txt 文件也可以用作 RubyMiner 的 kill 开关,修改受感染 web 服务器上的 robots.txt 文件,进而关停 RubyMiner。

(关闭开关后)一分钟之内,所有重新下载文件的计算机都将收到没有加密挖矿软件信息的文件。

此外,攻击者所使用的一个域名“lochjol.com”在 2013 年也涉及到 Ruby on Rails 漏洞相关的攻击。

文章发布时,全球大约有 700 台服务器在 24 小时的攻击中彻底中招。

以下是 CheckPoint 发布的 RubyMiner 的 IOC 等相关信息:

IoC

攻击服务器及 Dropzones:

203.24.188[.]242

Internetresearch[.]is

dgnfd564sdf[.]com

lochjol[.]com

Payloads:

a6a57e6a216dff346a22f51639c4b99c

91d31ed8e569c0089fa070ed125e1fc5

761f5cfd0a3cddb48c73bc341a4d07a9

IPS 及反僵尸网络防护

我们的 IPS 和 AB 保护已经成功地阻止了从第 0 天开始的相关攻击。我们将继续监视和研究任何额外的野外攻击。

IPS 防护:

PHP php-cgi 查询字符串参数代码执行

Ruby on Rails XML 处理器 YAML 反序列化代码执行

Microsoft IIS ASP 脚本源代码泄露

AB 防护:

Linux.RubyMiner.A

点击阅读原文可以获取 CheckPoint  的完整分析内容。

*参考来源:SecurityAffairs,AngelaY 编译,转载请注明来自 FreeBuf.COM。

登录查看更多
0

相关内容

【2020新书】使用高级C# 提升你的编程技能,412页pdf
专知会员服务
57+阅读 · 2020年6月26日
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
已删除
AI掘金志
7+阅读 · 2019年7月8日
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
2018年低轨通信卫星行业研究报告
行业研究报告
8+阅读 · 2019年4月25日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
Google 开源机器学习算法;2018 年 SO 数据库调查
技术最前线
4+阅读 · 2018年3月14日
Arxiv
8+阅读 · 2019年2月15日
Arxiv
3+阅读 · 2018年6月14日
Arxiv
8+阅读 · 2018年5月21日
Arxiv
7+阅读 · 2018年1月21日
Arxiv
4+阅读 · 2017年11月4日
VIP会员
相关VIP内容
【2020新书】使用高级C# 提升你的编程技能,412页pdf
专知会员服务
57+阅读 · 2020年6月26日
深度神经网络实时物联网图像处理,241页pdf
专知会员服务
76+阅读 · 2020年3月15日
相关资讯
已删除
AI掘金志
7+阅读 · 2019年7月8日
用Now轻松部署无服务器Node应用程序
前端之巅
16+阅读 · 2019年6月19日
渗透某德棋牌游戏
黑白之道
12+阅读 · 2019年5月17日
2018年低轨通信卫星行业研究报告
行业研究报告
8+阅读 · 2019年4月25日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
如何用GitLab本地私有化部署代码库?
Python程序员
9+阅读 · 2018年12月29日
Google 开源机器学习算法;2018 年 SO 数据库调查
技术最前线
4+阅读 · 2018年3月14日
Top
微信扫码咨询专知VIP会员