RubyMiner恶意软件 -- 针对Linux和Windows服务器

Posted 2021-04-28 看雪学院

安全研究人员发现一种新的在线部署的恶意软件--RubyMiner（加密货币挖矿机）被部署在过时的webserver上。攻击事件发生在1月9日至10日。

攻击者针对Linux和Windows服务器

Ixia安全研究员称，RubyMiner小组使用名为p0f的网络服务器指纹识别工具来扫描和识别正在使用过时软件的Linux和Windows服务器。

 

一旦识别到未打补丁的服务器，攻击者就可以利用已知的漏洞控制服务器，并用RubyMiner感染它们。

 

攻击者在最近的攻击浪潮中部署了以下漏洞：

◍  Ruby on Rails XML Processor YAML Deserialization Code Execution (CVE-2013-0156) [1]

◍  php php-cgi Query String Parameter Code Execution (CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878) [1, 2, 3, 4]

◍  Microsoft IIS ASP Scripts Source Code Disclosure (CVE-2005-2678) [1]

攻击者将恶意代码隐藏在robots.txt文件中

在上周发布的一份报告中，Check Point根据从蜜罐服务器收集的数据，在Linux系统上破解了RubyMiner的感染例程。攻击过程开始展现出来：

• 利用代码包含一系列shell命令

• 攻击者清除所有的cron(计划任务)作业

• 攻击者添加一个小时的cron作业

• 新的cron作业下载在线托管的脚本

• 该脚本托管在各个域中的robots.txt文件中

• 该脚本下载并安装合法的XMRig Monero挖矿应用程序的修改版本。

Check Point安全研究员称，攻击者针对Windows IIS服务器，但是还不能获得这个恶意软件的Windows版本的副本。

 

这种攻击也是不可靠的，因为在之前的恶意软件攻击中，也有一个域名攻击者用来隐藏robots.txt文件（lochjol.com）中的恶意命令1、2。

 

该恶意软件活动也利用了RubyMiner攻击中部署的Ruby on Rails漏洞，这表明与攻击团体现在很可能正在试图传播RubyMiner。

Monero采矿恶意软件的发展趋势日益明显

总体而言，近几个月来传播加密货币挖掘恶意软件的数量有所增加，尤其是Monero挖矿恶意软件。

 

2018年刚过两周，我们已经发现针对Linux服务器的pycryptominer和另一组针对Oracle WebLogic服务器的僵尸网络。

 

在上面提到的大多数针对Web服务器的事件中，攻击者都试图利用最新的漏洞攻击，这样的话可以提高感染几率。

 

rubyminer的攻击特别是因为攻击者使用很老的漏洞，大多数安全软件能够探测到，并会通知主服务器。

安全研究员称攻击者可能一直在寻找“被遗忘”的机器，比如“被遗忘的个人电脑和旧版操作系统的服务器”，系统管理员忘记他们还在工作。“成功感染它们，便可以长时间挖矿。”

RubyMiner感染了700台服务器

 

许多人会认为，如果他们使用最近的漏洞利用而不是十年的漏洞，那么这个团队会赚更多的钱。例如，一个从2017年10月开始攻击Oracle WebLogic服务器的组织获利已经高达226,000美元。

 

有关RubyMiner攻击的更多信息请参考Check Point和Certego发布的报告。

来源：bleepingcomputer

本文由看雪翻译小组 fyb波 编译

往期热门内容推荐

更多安全资讯，戳左下角“阅读原文”查看！