电子说
3月11日讯 加密货币采矿类恶意软件正快速演进,目前已经出现新的攻击手段,能够从受感染计算机当中清除同其竞争资源的其它采矿代码。
这款“非同一般”的采矿工具由SNS互联网风暴中心处理人员泽维尔·墨滕斯首先发现。墨滕斯在2017年3月4日发现了一套PowerShell脚本,并注意到其会关闭目标设备上任何其它疯狂攫取CPU资源的进程。他写道,“这是一场针对CPU周期的争夺战!”
在攻击之前,该脚本会检查目标设备属于32位抑或64位系统,并据此下载已被 VirusTotal 判明为 hpdriver.exe 或 hpw64 的已知文件(二者会将自身伪装为某种惠普驱动程序)。
一旦成功安装,攻击活动会列出当前正在运行的所有进程并根据自身需求关闭其中特定进程。墨滕斯指出,除了普通的 Windows 操作系统之外,这份进程列表当中还包含大量与密码生成器相关的信息,以下列出部分相关内容:
Silence;
Carbon;
xmrig32;
nscpucnminer64;
cpuminer;
xmr86;
xmrig;
xmr。
墨滕斯写道,这套脚本还会检查与各类安全工具相关的进程。
在参考ESET公司米甲·马利克发布的推文之后,墨滕斯还撰写了另一篇相关文章,,其中涉及采矿工具感染 Linux 服务器的相关细节:
向authorized_keys 当中添加公钥。
运行加密货币采矿工具。
生成IP范围,使用masscan。
a) 利用“永恒之蓝”漏洞以入侵Windows主机,而后通过下载一个PE文件获取其恶意payload。
b) 通过Redis入侵Linux主机,并经由pic.twitter.com/IvWzU1jBqy自行获取恶意payload。
这是一套 bash 脚本,用于将采矿程序推送至Linux设备当中,同时扫描互联网以寻找其它易受美国 NSA“永恒之蓝”安全漏洞影响的其它 Windows 计算机。
全部0条评论
快来发表一下你的评论吧 !