又有挖矿程式企图利用Windows伺服器。安全研究公司Proofpoint发现名为Smominru的僵尸网路程式感染超过50万台连网Windows伺服器,利用它们来挖Monero币。而台湾则名列三大节点集中区。
Smominru又被称为Ismo,它从2017年5月就开始在网路上利用美国国家安全局(NSA)外流的攻击工具EternalBlue,开采Windows漏洞CVE-2017-0144散布、入侵Windows伺服器,然后利用受害机器来挖Monero币。才不过一个月前国安局才被影子掮客骇入公布EternalBlue等多项攻击工具。而WannaCry也是约莫同时利用EternalBlue攻击全球上百万电脑。
ProofPoint研究人员指出,Smominru最特殊的是它使用Windows Management Infrastructure来散布。他们根据Monero币显示的挖矿算力(hash power)来判断,被Smominru收编到僵尸网路的机器约是去年5月为害的Adylkuzz的两倍之多。攻击者已经透过Smominru挖到将近8,900个Monero币,本周兑换美元价值约为280万到360万美元。它每天可以挖24个Monero币,等于每周赚进8,500美元。
研究人员利用sinkholing手法来分析僵尸网路规模及节点位置,判断Smominru感染了超过52.6万台Windows主机以建立僵尸网路,其中多半为伺服器,这些机器分布各地,但密度最高地区依序为俄罗斯、印度及台湾。(来源:ProofPoint)
ProofPoint相信至少有25座主机遭利用EternalBlue感染新节点以扩增僵尸网路,另外骇客也可能利用EsteemAudit (CVE-2017-0176 RDP)漏洞散播。除了Windows Server,另有研究人员发现SQL Server也遭感染。一家名为SharkTech的伺服器被用来代管僵尸网路的C&C伺服器,研究人员已经通知该公司。
同时间研究人员也通知矿池MineXMR封锁Smominru的Monero钱包地址。数天后,研究人员研判背后的骇客组织已经丧失1/3僵尸网路的控制权。
比特币及类似加密货币挖矿已经程式已经成为新一波安全危害。除了Adylkuzz 、Smominru外,去年底也有攻击者利用EternalBlue入侵 Apache Struts漏洞入侵Windows及Linux伺服器来挖Monero币。根据安全公司Malwarebytes上周报告,2017年起勒索软体变种速度趋缓,许多原本用来散布勒索软体的恶意网路开始改为散布金融木马及挖矿程式。
END
来源于ithome.com
深圳市极限网络科技有限公司专注于系统底层和网络攻防技术研究,是一家将网络安全与大数据人工智能运用相结合的信息安全运营服务商,成立至今为我国关键信息基础设施、政府部门、大中型企事业单位以及重点行业提供了全方位的网络安全解决方案以及专业的安全服务。
