专栏首页FreeBufRubyMiner挖矿程序24小时内影响全球30%的网络

RubyMiner挖矿程序24小时内影响全球30%的网络

近日,Check Point 的安全研究人员发现了 RubyMiner 恶意软件家族,针对全球的 web 服务器发起攻击,并试图利用这些服务器挖掘门罗币。24 小时内,全球 30% 的网络都受到影响。

上周,全球 web 服务器遭遇了一场大规模攻击,就在那时 RubyMiner 首次进入大众视野。专家认为,此次攻击背后的主要操控者只有一个人,尽在一天之内就尝试入侵了全球近三分之一的网络。

在过去的24小时内,全球 30% 的网络都遭遇了针对 web 服务器的加密货币挖矿攻击。在此期间,该攻击者试图扫描全球网络,从中找到易受攻击的 web 服务器用于挖矿。主要受影响的国家是美国、德国、英国、挪威和瑞典,但全球其他国家也未能幸免。

意大利安全公司 Certego 也注意到 RubyMiner 从 1 月 10 日就开始发起攻击:

从昨天(1月10日)23:00开始,我们的威胁情报平台就已经开始大规模报告关于 ruby http 的利用。令人惊讶的是,黑客大量使用 2012 年和 2013 年发布和修补的旧漏洞,而且似乎并不打算隐藏自己的踪迹,而是打算在最短的时间内感染大量的服务器。攻击者选择利用 HTTP Web 服务器中的多个漏洞,分发开源的 Monero 挖矿程序 XMRig。XMRig 在 2017 年 9 月利用 Microsoft IIS 6.0(Windows Server 2003 R2 中的 Web 服务器)中的漏洞进行攻击。XMRig 通常会向开源代码的作者捐赠 5% 的挖矿所得。然而,攻击者可能觉得 5% 也还是太多,因此从代码中删除了“捐赠元素”,将所有利润据为己有。

RubyMiner 影响范围包括 Windows 服务器也包括 Linux 服务器,主要利用 PHP、 Microsoft IIS 和 Ruby on Rails 中的漏洞来部署挖矿软件。Certego 的分析报告显示,恶意程序一直在利用 Ruby on Rails 中一个可造成远程代码执行的古老 CVE(CVE-2013-0156)漏洞。

PHP 服务器攻击向量

Ruby on Rails 攻击向量

RubyMiner 的具体攻击过程如下:

攻击者在 POST 请求内发送一个 base64 编码的有效载荷,并诱导解释器执行该有效载荷。这个恶意的有效载荷是一个 bash 脚本,其中添加了一个每小时运行一次的定时任务 cronjob,同时还下载了一个包含 shell 脚本的 robots.txt 文件,用于获取并执行挖矿软件。随后调度程序执行命令,运行整个过程(包括每小时从服务器下载文件)。

cron 是一个基于 UNIX 的调度程序,可以通过自己的语法在固定的时间运行计划好的任务。 使用 -r 参数运行 crontab 命令将删除现有 crontab 中的所有现有任务,并允授予矿工全部优先级。

攻击者可以使用”1 “将新任务注入到干净的 crontab 文件中,进而命令调度器每小时无限运行一分钟。新任务将下载并执行“internetresearch.is”上托管的“robots.txt”文件,进而开始挖掘。

正常的robots.txt

攻击活动中的 robots.txt

专家认为,robots.txt 文件也可以用作 RubyMiner 的 kill 开关,修改受感染 web 服务器上的 robots.txt 文件,进而关停 RubyMiner。

(关闭开关后)一分钟之内,所有重新下载文件的计算机都将收到没有加密挖矿软件信息的文件。

此外,攻击者所使用的一个域名“lochjol.com”在 2013 年也涉及到 Ruby on Rails 漏洞相关的攻击。

文章发布时,全球大约有 700 台服务器在 24 小时的攻击中彻底中招。

以下是 CheckPoint 发布的 RubyMiner 的 IOC 等相关信息:

IoC

攻击服务器及 Dropzones:

203.24.188[.]242 Internetresearch[.]is dgnfd564sdf[.]com lochjol[.]com

Payloads:

a6a57e6a216dff346a22f51639c4b99c 91d31ed8e569c0089fa070ed125e1fc5 761f5cfd0a3cddb48c73bc341a4d07a9

IPS 及反僵尸网络防护

我们的 IPS 和 AB 保护已经成功地阻止了从第 0 天开始的相关攻击。我们将继续监视和研究任何额外的野外攻击。

IPS 防护:

PHP php-cgi 查询字符串参数代码执行 Ruby on Rails XML 处理器 YAML 反序列化代码执行 Microsoft IIS ASP 脚本源代码泄露

AB 防护:

Linux.RubyMiner.A

本文分享自微信公众号 - FreeBuf(freebuf),作者:AngelaY

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-01-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 黑产军团控制四百万肉鸡集群,掘金区块链数字货币

    随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火...

    FB客服
  • SSH僵尸主机挖矿木马预警

    XMR(门罗币)是目前比特币等电子货币的一种,以其匿名性,支持CPU挖矿,以及不菲的价格等特点,得到了“黑产”的青睐。瀚思科技挖掘出黑产利用互联网服务器进行挖矿...

    FB客服
  • 高能预警!警惕EnMiner挖矿大开杀戒

    近日,深信服发现一种具有高强度病毒对抗行为的新型的挖矿病毒,其病毒机制与常规挖矿相差较大,一旦感染上,清理难度极大。目前该病毒处于爆发初期,深信服已将此病毒命名...

    FB客服
  • 安全报告 | SSH 暴力破解趋势:从云平台向物联网设备迁移

    云鼎实验室
  • 模拟挖矿黑客攻击过程

    眨眼间,2018 年的上半年就这样飞逝而过,在上半年的工作中,接触最常规的安全事件就是服务器或者办公主机被远控作为肉鸡挖矿来获取利益或者对其它网站进行 DDoS...

    信安之路
  • 高能预警!警惕EnMiner挖矿大开杀戒

    近日,深信服发现一种具有高强度病毒对抗行为的新型的挖矿病毒,其病毒机制与常规挖矿相差较大,一旦感染上,清理难度极大。目前该病毒处于爆发初期,深信服已将此病毒命名...

    FB客服
  • 浅谈最近流行的三起区块链51%算力攻击

    很多人可能早就听说过 51% 算力攻击,但更多的可能源于各种媒体渠道中“比特币的缺陷”文章之流。实际上,这个说法并不准确,根据比特币百科上所描述,这种攻击被称为...

    FB客服
  • 腾讯云学生优惠套餐-腾讯云学生服务器优惠券

    腾讯云学生优惠服务器一个月只需要10元,一年需要114元。如果学生优惠价格有变动,以腾讯云官网为准。

    好好的生活吧
  • 不开口就能说话,脑波直接转语音,实现每分钟150词

    是的,不必动手,也不必开口,只要你的脑波流转,AI就能以每分钟150个词的速度帮你说出心声。

    量子位
  • Docker技术三大要点:cgroup, namespace和unionFS的理解

    从这张gif图片,我们不难看出Docker网站想传达这样一条信息, 使用Docker加速了build,ship和run的过程。

    Jerry Wang

扫码关注云+社区

领取腾讯云代金券