2018-01-16 セキュリティニュースまとめ: パッチの適用されていない Web サーバーを狙う新種の暗号通貨のマイニングマルウェア RubyMiner が確認される
パッチの適用されていない Web サーバーを狙う新種の暗号通貨のマイニングマルウェア RubyMiner が確認される
元記事
一次ソース
- ‘RubyMiner’ Cryptominer Affects 30% of WW Networks - Check Point Research
- Ruby RCE pushing Monero Coinminer | Certego
RubyMiner の概要
| 項目 | 説明 |
|---|---|
| 攻撃の開始が確認された日 | 2018-01-09 ~ 2018-01-10 |
| 攻撃対象 | Linux および Windows サーバー |
| 攻撃手法 | Web サーバーのフィンガープリンティングツール p0f を使いパッチ未適用の Linux / Windows の Web サーバーをスキャン・同定、既知のエクスプロイトを利用し RubyMiner に感染させる |
| 感染台数 | 700 台程度 |
攻撃に利用される脆弱性
| 項目 | CVE |
|---|---|
| Ruby on Rails XML Processor YAML Deserialization Code Execution | CVE-2013-0156 |
| PHP php-cgi Query String Parameter Code Execution | CVE-2012-1823; CVE-2012-2311; CVE-2012-2335; CVE-2012-2336; CVE-2013-4878 |
| Microsoft IIS ASP Scripts Source Code Disclosure | CVE-2005-2678 |
当該マルウェアの Linux 版で確認された特徴
- 悪意のあるコードは robots.txt ファイルに隠蔽
- エクスプロイトコードにはシェルコマンドを含む
- 攻撃者は cron ジョブをすべて削除し、1 時間おきに実行するジョブを新規に追加
- 当該ジョブでオンライン上にホスティングしたスクリプトをダウンロード
- 当該スクリプトは様々なドメインの robots.txt ファイル内に格納されている
- スクリプトは正当な XMRig Monero マイニングアプリケーションを修正したものをダウンロード・インストールする
- 「Windows IIS サーバー用の検体は未入手で解析されていない」
攻撃グループについて
- robots.txt が置かれたドメインは、2013 年に別のマルウェア攻撃キャンペーンに使われたドメインと同一 (lochjol[.]com)
- 同じ Ruby on Rails のエクスプロイトを RubyMiner 攻撃でも利用しようとしたことから、2013 年の攻撃と同一のグループが背後におり、今回は RubyMiner を拡散しようとしたと推測される
暗号通貨 Monero の採掘を行うマルウェアが増加傾向
- 最近は全体に暗号通貨のマイニングを狙ったマルウェアの拡散が目立つが、Monero をマイニング(採掘)しようとするマルウェアがとくに増加傾向
- 2017 年に見つかった Monero のマイニングを行うマルウェア
- 2018 年以降に見つかった Monero のマイニングを行うマルウェア (~ 2018 年 1 月 14 日まで)
まとめ
- パッチ未適用のサーバーが多いゼロデイに近い脆弱性を狙われることが多い
- RubyMinder は 2013 年の古い脆弱性を使っている点が特徴的で、既存のセキュリティ対策で検出できる可能性が高く、Web サーバーの所有者に攻撃に気づかれる可能性が高い
- 攻撃者は古い OS 上で稼働し、オンラインになっていることが忘れ去られた状態で放置されているWebサーバーを故意に狙ったのか?
- そうしたサーバーであれば、長期間気づかれることなくマイニングに悪用できると考えた?
- XMRig マイナーの攻撃者がもつウォレットアドレスから確認できたマイニング額は 540 ドル程度 (日本円で6万円弱) しかない
- より新しい脆弱性を悪用するほど利益を拡大できたのではないか?
