E安全1月17日讯 Check Point和Certego发布报告指出，近期新型加密货币挖矿恶意软件“RubyMiner”使用多项漏洞利用，在网上搜寻老旧的Web服务器，企图感染目标。

攻击者瞄准Linux和Windows服务器

Ixia的安全研究人员斯蒂芬·塔纳斯向外媒表示，RubyMiner组织使用Web服务器识别工具“p0f”扫描识别运行过时软件的Linux和Windows服务器。一旦识别出未打补丁的服务器，攻击者会利用已知的漏洞利用实施入侵，并利用RubyMiner进一步感染目标。

Check Point和Ixia公司称，它们发现攻击者在近期这起攻击活动中部署以下漏洞利用：

• Ruby on Rails XML处理器YAML反序列化代码执行漏洞 (CVE-2013-0156)
  

• PHP php-cgi 查询字符串参数代码执行漏洞 (CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、 CVE-2013-4878)

• 微软IIS ASP 脚本源代码泄露漏洞(CVE-2005-2678)
  

RubyMiner显然以Windows和Linux系统为目标。

攻击者将恶意代码隐藏在robots.txt文件中

Check Point根据其蜜罐收集的数据破解了RubyMiner在Linux系统上的感染程序，从而得出以下结论：

• 漏洞利用包含一系列Shell命令；
  

• 攻击者清除了所有Cron定时任务；
  

• 攻击者新增每小时要执行的Cron定时任务；
  

• 新的Cron定时任务下载在线托管的脚本；
  

• 脚本藏在各个域名的robots.txt文件内；
  

• 脚本下载并安装篡改版的XMRig门罗币挖矿应用。
  

Check Point的安全研究人员勒特姆·芬克尔斯坦向外媒表示，他们发现攻击者以Windows IIS服务器为目标，但尚未能获取这款恶意软件的Windows版副本。

这起攻击之所以被发现，部分原因在于攻击者用来将恶意命令隐藏到robots.txt（lochjol[.]com）的其中一个域名曾在2013年的一起恶意软件攻击活动中使用过。后者也使用了RubyMiner部署的Ruby on Rails漏洞利用，这说明这些攻击活动是同一组织所为。

RubyMiner已感染700台服务器

据Check Point预估，RubyMiner感染的服务器数量大约有700台。从RubyMiner部署的自定义挖矿程序中发现的钱包地址来看，攻击者赚取了约540美元。

由研究人员认为，如果攻击者使用最近的漏洞利用，而非十年前的漏洞，其成功率会更高。比如，最近媒体报道称，2017年10月攻击者曾利用Oracle WebLogic服务器赚取了22.6万美元。

门罗币挖矿恶意软件不断增多

近几个月，加密货币挖矿攻击企图猖獗，尤其是门罗币挖矿恶意软件。除了门罗币劫持事件，2017年出现了众多门罗币挖矿恶意软件，包括Digmine、 Hexmen、Loapi、Zealot、WaterMiner、CodeFork和Bondnet。研究人员在2018年初的两周就已经发现针对Linux服务器的恶意软件PyCryptoMiner，此外有黑客还利用Oracle WebLogic漏洞开采门罗币。

上述提到的大多数瞄准Web服务器的挖矿攻击事件中，攻击者尝试利用最近的漏洞利用。但是，RubyMiner较特殊，因为攻击者使用的是非常老旧的漏洞利用。芬克尔斯坦表示，攻击者可能一直在故意搜寻系统管理员遗忘在网络上的PC以及使用老旧版本的服务器。感染这些设备意味着能长期潜伏进行挖矿。

注：本文由E安全编译报道,转载请注明原文地址

https://www.easyaq.com/news/979366979.shtml

▼点击“阅读原文” 查看更多精彩内容