Smominru的殭屍網路程式感染超過50萬台Windows伺服器淪為Monero挖礦機,台灣為第三大受災區

逾50萬台Windows伺服器淪為Monero挖礦機,台灣為第三大受災區

又有挖礦程式企圖利用Windows伺服器。安全研究公司Proofpoint發現名為Smominru的殭屍網路程式感染超過50萬台連網Windows伺服器,利用它們來挖Monero幣。而台灣則名列三大節點集中區。
 
Smominru又被稱為Ismo,它從2017年5月就開始在網路上利用美國國家安全局(NSA)外流的攻擊工具EtnernalBlue,開採Windows漏洞CVE-2017-0144散佈、入侵Windows 伺服器,然後利用受害機器來挖Monero幣。才不過一個月前國安局才被影子掮客駭入公佈EnternalBlue等多項攻擊工具。而WannaCry也是約莫同時利用EnternalBlue攻擊全球上百萬電腦。
 
ProofPoint研究人員指出,Smominru最特殊的是它使用Windows Management Infrastructure來散佈。他們根據Monero幣顯示的挖礦算力(hash power)來判斷,被Smominru收編到殭屍網路的機器約是去年5月為害的Adylkuzz的兩倍之多。攻擊者已經透過Smominru挖到將近8,900個Monero幣,本周兌換美元價值約為280萬到360萬美元。它每天可以挖24個Monero幣,等於每周賺進8,500美元。
 
研究人員利用sinkholing手法來分析殭屍網路規模及節點位置,判斷Smominru感染了超過52.6萬台Windows主機以建立殭屍網路,其中多半為伺服器,這些機器分佈各地,但密度最高地區依序為俄羅斯、印度及台灣。

ProofPoint相信至少有25座主機遭利用EnternalBlue感染新節點以擴增殭屍網路,另外駭客也可能利用EsteemAudit (CVE-2017-0176 RDP)漏洞散播。除了Windows Server,另有研究人員發現SQL Server也遭感染。一家名為SharkTech的伺服器被用來代管殭屍網路的C&C伺服器,研究人員已經通知該公司。
 
同時間研究人員也通知礦池MineXMR封鎖Smominru的Monero錢包地址。數天後,研究人員研判背後的駭客組織已經喪失1/3殭屍網路的控制權。
 
比特幣及類似加密貨幣挖礦已經程式已經成為新一波安全危害。除了Adylkuzz 、Smominru外,去年底也有攻擊者利用EternalBlue入侵Apache Struts漏洞入侵Windows及Linux伺服器來挖Monero幣。根據安全公司Malwarebytes上周報告,2017年起勒索軟體變種速度趨緩,許多原本用來散布勒索軟體的惡意網路開始改為散佈金融木馬及挖礦程式。

「Smominru」門羅幣挖礦病毒已感染50萬台Windows伺服器,台灣受感染數量為全球前三大受災戶

你在不知不覺變成礦工的機會可能要比你想像的來得高。根據最新消息,全球已經有超過50萬台裝置被「Smominru」礦工殭屍軟體劫持,目前該軟體已經挖到了近9000個門羅幣(價值約合360萬美元)。

ZDNet 報導,自從去年五月首次被發現以來,這款名為「Smominru」的殭屍軟體在高峰時期感染了大約52.6萬台 Windows 伺服器,並且挖到8900個門羅幣。這款殭屍軟體利用了 Windows 漏洞「永恆之藍(EternalBlue)」——值得一提的是,此前臭名昭著的勒索軟體「WannaCry」也是利用了美國國家安全局洩露的危險漏洞「永恆之藍」。

殭屍軟體最喜歡攻擊的對象就是 Windows 伺服器,因為它是市場上最理想的受害主機之一,不僅總是處於「開啟」狀態,而且擁有比個人電腦更強的處理能力。儘管 Smominru 惡意軟體攻擊範圍遍及全球,但主要受害的國家地區在俄羅斯、印度和台灣。

目前,來自 Proofpoint,abuse.ch 和 ShadowServer Foundation 的網路安全工作人員試圖用一種叫做「sinkholing」的技術來消滅這個殭屍軟體,但結果並不成功,Smominru 惡意軟體在短暫停止之後,很快又恢復了。

另一方面,如今越來越多的數位貨幣網路犯罪都和門羅幣相關,主要原因就是門羅幣相關交易、以及交易歷史都是全加密且很難追蹤的。


入侵Windows伺服器,然後利用受害機器來挖Monero幣?think這樣實在是太麻煩!微軟應該要把全世界、全部的Windows 10全部都內藏「挖礦機」功能才對!yell

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏