RubyMiner挖礦程序24小時內影響全球30%的網絡

2021-01-21 FreeBuf

近日,Check Point 的安全研究人員發現了 RubyMiner 惡意軟體家族,針對全球的 web 伺服器發起攻擊,並試圖利用這些伺服器挖掘門羅幣。24 小時內,全球 30% 的網絡都受到影響。

上周,全球 web 伺服器遭遇了一場大規模攻擊,就在那時 RubyMiner 首次進入大眾視野。專家認為,此次攻擊背後的主要操控者只有一個人,盡在一天之內就嘗試入侵了全球近三分之一的網絡。

在過去的24小時內,全球 30% 的網絡都遭遇了針對 web 伺服器的加密貨幣挖礦攻擊。在此期間,該攻擊者試圖掃描全球網絡,從中找到易受攻擊的 web 伺服器用於挖礦。主要受影響的國家是美國、德國、英國、挪威和瑞典,但全球其他國家也未能倖免。

義大利安全公司 Certego 也注意到 RubyMiner 從 1 月 10 日就開始發起攻擊:

從昨天(1月10日)23:00開始,我們的威脅情報平臺就已經開始大規模報告關於 ruby http 的利用。令人驚訝的是,黑客大量使用 2012 年和 2013 年發布和修補的舊漏洞,而且似乎並不打算隱藏自己的蹤跡,而是打算在最短的時間內感染大量的伺服器。攻擊者選擇利用 HTTP Web 伺服器中的多個漏洞,分發開源的 Monero 挖礦程序 XMRig。XMRig 在 2017 年 9 月利用 Microsoft IIS 6.0(Windows Server 2003 R2 中的 Web 伺服器)中的漏洞進行攻擊。XMRig 通常會向開原始碼的作者捐贈 5% 的挖礦所得。然而,攻擊者可能覺得 5% 也還是太多,因此從代碼中刪除了「捐贈元素」,將所有利潤據為己有。

RubyMiner 影響範圍包括 Windows 伺服器也包括 Linux 伺服器,主要利用 PHP、 Microsoft IIS 和 Ruby on Rails 中的漏洞來部署挖礦軟體。Certego 的分析報告顯示,惡意程序一直在利用 Ruby on Rails 中一個可造成遠程代碼執行的古老 CVE(CVE-2013-0156)漏洞。

PHP 伺服器攻擊向量

Ruby on Rails 攻擊向量

RubyMiner 的具體攻擊過程如下:

攻擊者在 POST 請求內發送一個 base64 編碼的有效載荷,並誘導解釋器執行該有效載荷。這個惡意的有效載荷是一個 bash 腳本,其中添加了一個每小時運行一次的定時任務 cronjob,同時還下載了一個包含 shell 腳本的 robots.txt 文件,用於獲取並執行挖礦軟體。隨後調度程序執行命令,運行整個過程(包括每小時從伺服器下載文件)。

cron 是一個基於 UNIX 的調度程序,可以通過自己的語法在固定的時間運行計劃好的任務。 使用 -r 參數運行 crontab 命令將刪除現有 crontab 中的所有現有任務,並允授予礦工全部優先級。

攻擊者可以使用」1 「將新任務注入到乾淨的 crontab 文件中,進而命令調度器每小時無限運行一分鐘。新任務將下載並執行「internetresearch.is」上託管的「robots.txt」文件,進而開始挖掘。

正常的robots.txt

攻擊活動中的 robots.txt

專家認為,robots.txt 文件也可以用作 RubyMiner 的 kill 開關,修改受感染 web 伺服器上的 robots.txt 文件,進而關停 RubyMiner。

(關閉開關後)一分鐘之內,所有重新下載文件的計算機都將收到沒有加密挖礦軟體信息的文件。

此外,攻擊者所使用的一個域名「lochjol.com」在 2013 年也涉及到 Ruby on Rails 漏洞相關的攻擊。

文章發布時,全球大約有 700 臺伺服器在 24 小時的攻擊中徹底中招。

以下是 CheckPoint 發布的 RubyMiner 的 IOC 等相關信息:

IoC

攻擊伺服器及 Dropzones:

203.24.188[.]242

Internetresearch[.]is

dgnfd564sdf[.]com

lochjol[.]com

Payloads:

a6a57e6a216dff346a22f51639c4b99c

91d31ed8e569c0089fa070ed125e1fc5

761f5cfd0a3cddb48c73bc341a4d07a9

IPS 及反殭屍網絡防護

我們的 IPS 和 AB 保護已經成功地阻止了從第 0 天開始的相關攻擊。我們將繼續監視和研究任何額外的野外攻擊。

IPS 防護:

PHP php-cgi 查詢字符串參數代碼執行

Ruby on Rails XML 處理器 YAML 反序列化代碼執行

Microsoft IIS ASP 腳本原始碼洩露

AB 防護:

Linux.RubyMiner.A

點擊閱讀原文可以獲取 CheckPoint  的完整分析內容。

*參考來源:SecurityAffairs,AngelaY 編譯,轉載請註明來自 FreeBuf.COM。

相關焦點

  • BTCM比特礦機(bitminer)為區塊鏈挖礦賦能
    時至今日,由於數字貨幣種類的不斷增加,區塊鏈生態系統不斷升級、完善,比特礦機(bitminer)BTCM不僅僅作為一種數字貨幣的存在,它的最終目的是打造全球首創智能雲管理平臺,從而逐漸轉向數字貨幣實現自身應用場景。BMR致力於通過底層網絡的構建,打造信任價值傳輸機器,並根據該網絡的技術特性進一步改造社區生態,最終實現整個社區環境的透明、安全、共識、共建和共享。
  • 萊特幣ltc挖礦教程:cpu挖礦與gpu挖礦(詳細圖文)
    比起比特幣的專業礦機,萊特幣挖礦比較平民化,用普通的電腦就可以。小編特整理了萊特幣ltc挖礦教程,用詳細的圖文介紹萊特幣的兩種挖礦方法:cpu挖礦與gpu挖礦。  >>>萊特幣錢包下載安裝教程第二步 下載萊特幣挖礦軟體1、CPU挖礦  首先你需要下載pooler-cpuminer來進行CPU挖礦。下面的列表中有各個作業系統的版本下載。選擇適合你的版本,下載並解壓縮。
  • 萊特幣挖礦教程之cpu挖礦教程
    下面介紹一下萊特幣挖礦的其中一種方法。下載萊特幣客戶端,也就是萊特幣錢包這個可以參考我的百度經驗:萊特幣錢包教程下載挖礦軟體這個可以百度一下萊特幣的挖礦軟體。一般網絡是太好的同學可以選擇Stratum mining proxy這個。
  • 看完這5本Ruby書目,目標找到Ruby工作
    Ruby於1993年2月24日開始編寫Ruby,直至1995年12月才正式公開發布。        Ruby的命名靈感來自於Perl,與Perl發音來自於6月誕生石pearl一樣,Ruby是以7月的誕生石紅寶石的英文來命名。1. Ruby程式設計師修煉之道(第2版)評價:★★★★★ 5.0/5.0星
  • 狗狗幣(DOGECOIN)挖礦教程
    今天小編就來給大家分享一下我的狗幣挖礦經驗。下載狗幣錢包,一般在狗幣官方網站上面就有,下載好狗幣錢包之後,安裝狗幣錢包,然後設置顯示語言為中文。下載狗幣挖礦軟體,具體挖礦軟體大家可以在百度裡面搜索「cudaminer-2014-02-09」,這個軟體。具體針對的顯卡不同,挖礦軟體也不相同。而且還分 CPU 挖礦和 GPU 挖礦。
  • Ractor 下多線程 Ruby 程序指南
    基於 Actor 的並發模型在 Ruby 中有很多應用,比如 concurrent-ruby 中的 Concurrent::Actor。Concurrent Ruby 雖然引入了大量的抽象模型,允許開發高並發的應用,但是它並不能擺脫 Ruby 的 GIL (Global Interpreter Lock),這使得同一時間,只有一個線程是活躍的。
  • 南寧開通"網絡110" 網警30分鐘內處理並給予答覆
    廣西新聞網南寧1月10日訊(記者梁凱昌)今天是「110」宣傳日,南寧市公安局召開新聞發布會,對外宣布南寧「網絡110」正式開通。據介紹,「網絡110」全天24小時接受南寧市民對11類違法信息的報警,對市民的報警信息,南寧網絡警察將在30分鐘內處理並給予答覆。  南寧「網絡110」主要受理南寧轄區內網際網路的11類違法信息的報警。
  • Daputs+雲挖礦 | 環保、節能、可持續才是未來挖礦的最強共識
    很多人認為,比特幣挖礦獎勵減半是影響其價格走勢的最重要因素,在此期間和之後,歷來比特幣的價格都出現了飆升。按照以往的規律來說,本次減半也同樣勢必帶來一波大的行情。而從價格走勢來看,從 2019 年底至今年 1 月,行情有增長的勢頭。而進入 2 月後,走勢放緩,波動起伏較大,整體呈現垂勢,後勁不足。
  • 螞蟻比特幣挖礦機s9_螞蟻礦機s9怎麼設置_比特幣礦機螞蟻s9挖礦教程
    2、登錄礦機後,點擊網絡 接口,可以看到 LAN 和 WAN ,其中 LAN為工廠調試使用,用戶挖礦,應修改WAN口 特別注意:   LAN和WAN 不能在同一IP段! WAN 這個連結,不能刪除!
  • 奶牛鎮的小時光挖礦全攻略 怎麼挖礦賺錢?
    奶牛鎮的小時光挖礦全攻略,怎麼挖礦賺錢?奶牛鎮的小時光挖礦攻略,奇異空間挖礦攻略。在農場生活中挖礦也是一個日常活動了,那麼下面就來看看奶牛鎮的小時光挖礦攻略吧!
  • Ruby CGI 編程
    使用Ruby您不僅可以編寫自己的SMTP伺服器,FTP程序,或Ruby Web伺服器,而且還可以使用Ruby進行CGI編程。接下來,讓我們花點時間來學校Ruby的CGI編輯。CGI程序可以是 Ruby 腳本,Python 腳本,PERL 腳本,SHELL 腳本,C 或者 C++ 程序等。CGI架構圖Web伺服器支持及配置在你進行CGI編程前,確保您的Web伺服器支持CGI及已經配置了CGI的處理程序。
  • Ruby 3.0發布,比 Ruby2快3倍
    RBSRBS 是一種描述 Ruby 程序類型的語言。類型檢查器(包括類型分析器和其他支持 RBS 的工具)將通過 RBS 定義更好地理解 Ruby 程序。開發者可以寫下類和模塊的定義:類中定義的方法、實例變量及其類型以及繼承/混合關係。
  • 數學極差的程式設計師-ruby之父
    松本行弘大學裡面研究的是程序設計語言和編譯器。大學畢業後他曾經讀了一段時間的博士班,可是後來他放棄了。和現在很多的大學生不同的是,松本行弘並沒有選擇大城市,而是回到了小城市工作。在那裡可想而知,機會很少,不過慶幸地是,他找到了一份軟體開發的工作,那是一份做OA軟體的工作。那時候公司對軟體並沒有太多細緻要求,這就讓他有了很大的發揮空間。
  • 通過開源書籍學習 Ruby 編程
    使用 mocks 和 stubs◈ 通過利用 Ruby 神秘的力量來設計漂亮的 API:靈活的參數處理和代碼塊◈ 利用動態工具包向開發者展示如何構建靈活的界面,實現單對象行為,擴展和修改已有代碼,以及程序化地構建類和模塊◈ 文本處理和文件管理集中於正則表達式,文件、臨時文件標準庫以及文本處理策略實戰◈ 函數式編程技術優化了模塊代碼組織、存儲、無窮目錄以及更高順序程序。
  • Weminer專訪螞蟻礦業實錄:群雄礦工決戰豐水期
    Weminer市場合伙人菲菲(主持人):有請螞蟻礦業唐總介紹一下自己以及當前螞蟻礦業、多挖科技的主要業務吧。螞蟻礦業唐萬龍:大家好,非常感謝主辦方的邀請。我叫唐萬龍,也是一名資深的礦工。從2016年開始用顯卡挖以太坊進入這個領域,記得當時一臺機器一天能挖一個以太坊。後來轉去BTC挖礦,到目前為止擁有300P的自有算力。
  • Ruby一行式命令總結和常用技巧
    # 及時使用exit是很有必要的,可以避免花時間處理不必要的數據$ seq 1 10 | ruby -ne'(print;exit) if /3/'3「ruby一行式中,$*是ARGV的別名,ARGV保存ruby腳本程序(不是ruby程序自身
  • 雷蛇推挖礦軟體SoftMiner 想利用玩家閒置電腦資源挖礦
    首頁 > 見聞 > 關鍵詞 > 雷蛇最新資訊 > 正文 雷蛇推挖礦軟體SoftMiner 想利用玩家閒置電腦資源挖礦
  • OKEx動作頻出 上線Uniswap一鍵挖礦或成為下一個熱點
    OKEx全球首家接入Uniswap開啟一鍵挖礦 據報導,UNI發布後24小時內,支持挖礦的四個流動性池累計吸金超7.5億美元。其價格從最初的1美金迅速躥升之4.8美金左右,並於19日進一步躥升至8.755美金。
  • 一個比特幣6萬塊 電腦24小時連續不停挖礦能挖多少?網友:可以試試
    現在比特幣的價格是在6萬多,要是用電腦24小時不間斷挖礦,到底能挖多少?簡單來說,每個人都有權利也有能力去擁有比特幣,就目前即便是國內頂尖的家用計算機算力也不過是1000H/s,即使在家24小時不間斷運行,也是需要近800天才能挖出一枚。考慮到電腦成本消耗,電腦運行損耗再加上電費,要想靠這來發家致富,顯然是不靠譜的。比特幣雖然是產自網際網路,但他沒有發行商,而他的總數也是有限的,也只有2100萬枚。
  • 挖礦耗電量巨大 人們卻依舊不停的挖 挖1枚比特幣究竟需要耗多少電呢
    每天大約產生3600個新的比特幣,這個過程被稱為挖礦。挖礦機通過運行專門的運算程序,獲得比特幣的獎勵。全球有大量的比特幣挖掘不分晝夜的運行,那會帶來巨大的電力消耗。隨著比特幣熱度越來越大,用來挖礦的機器也越來越多,各種各樣的機器參與到挖礦當中。挖1枚比特幣究竟需要耗多少電呢?