新闻来源连结:
https://times.hinet.net/news/21421511
新闻本文:
ITHOME 2018/02/05 11:02
逾50万台Windows服务器沦为Monero挖矿机,台湾为第三大受灾区
又有挖矿程式企图利用Windows服务器。安全研究公司名为Smominru
的僵尸网络程式感染超过50万台连网Windows服务器,利用它们来挖
Monero币。而台湾则名列三大节点集中区。
Smominru又被称为Ismo,它从2017年5月就开始在网络上利用美国国
家安全局(NSA)外流的攻击工具EtnernalBlue,开采Windows漏洞
CVE-2017-0144散布、入侵Windows 服务器,然后利用受害机器来挖
Monero币。才不过一个月前国安局才被影子掮客骇入公布EnternalBlue
等多项攻击工具。而WannaCry也是约莫同时利用EnternalBlue攻击
全球上百万电脑。
ProofPoint研究人员指出,Smominru最特殊的是它使用Windows
Management Infrastructure来散布。他们根据Monero币显示的挖矿
算力(hash power)来判断,被Smominru收编到僵尸网络的机器约是
去年5月为害的。攻击者已经透过Smominru挖到将近8,900个Monero币
,本周兑换美元价值约为280万到360万美元。它每天可以挖24个Monero
币,等于每周赚进8,500美元。
研究人员利用sinkholing手法来分析僵尸网络规模及节点位置,
判断Smominru感染了超过52.6万台Windows主机以建立僵尸网络,
其中多半为服务器,这些机器分布各地,但密度最高地区依序为
俄罗斯、印度及台湾。(来源:ProofPoint)
ProofPoint相信至少有25座主机遭利用EnternalBlue感染新节点以
扩增僵尸网络,另外骇客也可能利用EsteemAudit (CVE-2017-0176 RDP)
漏洞散播。除了Windows Server,另有研究人员发现SQL Server也遭感染。
一家名为SharkTech的服务器被用来代管僵尸网络的C&C服务器,研究人员
已经通知该公司。
同时间研究人员也通知矿池MineXMR封锁Smominru的Monero钱包地址。
数天后,研究人员研判背后的骇客组织已经丧失1/3僵尸网络的控制权。
比特币及类似加密货币挖矿已经程式已经成为新一波安全危害。
除了Adylkuzz 、Smominru外,去年底也有攻击者利用Apache Struts
漏洞入侵Windows及Linux服务器来挖Monero币。根据安全公司,2017年
起勒索软件变种速度趋缓,许多原本用来散布勒索软件的恶意网络开始
改为散布金融木马及挖矿程式。
评论:
不管你有没有在挖矿,都可能正在挖矿
台湾资安千疮百孔,到处都是洞。