第121期安全事件


英文标题 RubyMiner Monero Cryptominer affected 30% of networks worldwide in just 24h
中文标题 RubyMiner Monero Cryptominer 仅在 24 小时内就影响了全球 30%的网络
作者及单位 Pierluigi Paganini; SecurityAffairs
内容概述
RubyMiner 上周首次被发现是在全球范围内针对网络服务器进行的大规模活动,其中大部分是在美国、德国、英国、挪威和瑞典。 专家们认为,攻击的幕后主使是一个单独的攻击者,就在一天之内,他试图对全球近三分之一的网络进行破坏。该恶意软件 针对 Windows 和 Linux 服务器,试图利用 PHP,Microsoft IIS 和 Ruby on Rails 中的旧漏洞来部署 Monero 矿工。 攻击者在 POST 请求内发送一个 base64 编码的有效载荷,企图诱骗解释器执行它。 恶意负载是一个 bash 脚本,它添加一个每小时运行一次的 cronjob,并下载一个包含 shell 脚本的 robots.txt 文件,用于获取并 执行 cryptominer。调度程序被告知运行整个过程,包括每小时从服务器下载文件。 专家认为,robots.txt 文件也可以用作 RubyMiner 的 kill 开关,修改受感染的 web 服务器上的 robots.txt 文件,可以停用恶意软件。
新闻链接
http://securityaffairs.co/wordpress/67865/malware/rubyminer-monero-cryptominer.html