加密挖掘攻击全球目标Web服务器

时间：2019-01-14 点击：0 次来源：管理员作者：小乐 - 小 + 大

安全研究人员已经发现，一个新的恶意软件家族瞄准全球的网络服务器，试图将其加入到一个加密挖掘僵尸网络中。

加密挖掘攻击全球目标Web服务器

被称为RubyMiner的威胁是在上周发现的，当时它开始在美国，德国，英国，挪威和瑞典发起对网络服务器的大规模攻击。Check Point 在上周透露，在一天之内，这个恶意软件背后的攻击者企图破坏全球近三分之一的网络。

针对Windows和Linux服务器的攻击的目的是通过利用在2012年和2013年发布和修补的旧漏洞来安装Monero矿工。攻击者并没有寻求隐形的妥协，而是试图妥协大量易受攻击的HTTP网页服务器尽可能快。

感染活动针对PHP，Microsoft IIS和Ruby on Rails中的漏洞。尽管观察到了大量的折衷尝试，但是在24小时的攻击中，全世界只有700台服务器已经成功地被奴役了。

对Ruby on Rails的攻击尝试利用CVE-2013-0156，一个远程代码执行漏洞。在POST请求中传递一个base64编码的有效载荷，期望服务器上的Ruby解释器执行它。

有效载荷是一个bash脚本，用来添加一个每小时运行一次的cronjob，并下载一个包含shell脚本的robots.txt文件，该文件旨在获取并执行加密矿工，而不是在检查主机上是否已经激活之前。不仅挖掘过程，而且整个下载和执行操作每小时运行一次。

“这可能会让攻击者立即启动杀毒软件。如果攻击者想要在被感染的机器上结束进程，那么所有需要做的事情就是将受感染的web服务器上的robots.txt文件修改为非活动状态。一分钟之内，所有重新下载文件的计算机都将在没有加密矿工的情况下接收文件，“Check Point说。

已部署的恶意软件 - 在所有受感染的服务器上 - 是XMRig，这是一款Monero矿工，于2017年9月利用Microsoft IIS 6.0（Windows Server 2003 R2中的Web服务器）中的漏洞进行攻击。

新近观察到的感染运动中使用的一个领域是lochjol.com，该领域以前曾在2013年的一次攻击中使用。该攻击也滥用了Ruby on Rails漏洞，并且还具有当前事件的一些共同特征，但研究人员无法确定两者之间的进一步联系，特别是他们的目的看似不同。