最新 Smominru 僵尸網絡變種揭密
作者:星期二, 九月 24, 20190

研究人員觸及 Smominru 命令與控制 (C2) 服務器,獲取被黑設備信息,探索攻擊規模。

最新 Smominru 迭代變種,一款帶蠕蟲功能的加密貨幣挖礦僵尸網絡,于今年 8 月席卷全球 4,900 家企業網絡。多數受影響主機為運行 Windows Server 2008 或 Windows 7 的小型服務器。

Smominru 是可追溯至 2017 年的一個僵尸網絡,其變種也會被稱為 Hexmen、Mykings 等。這款僵尸網絡以投送的攻擊載荷之多而聞名,包括憑證竊取腳本、后門、木馬和一款加密貨幣挖礦機。

Carbon Black 在今年 8 月記錄了 Smominru 的最新變種,稱該變種運用了多種傳播手段,包括 2017 年肆虐全球的 NotPetya 和 WannaCry 等勒索軟件蠕蟲用過的永恒之藍 (EternalBlue) 漏洞利用程序。該僵尸網絡還采用暴力破解和憑證填充攻擊各類協議,比如 MS-SQL、RDP 和 Telnet,目的是獲得新機器的訪問權。

最近,安全公司 Guardicore 的研究人員得以訪問 Smominru 的一臺核心 C2 服務器。該服務器上存有受害者信息和憑證,使研究人員能夠收集有關被黑主機及網絡的信息,評估該僵尸網絡的影響。

數據揭示,Smominru 感染了全球超過 4,900 個網絡中的約 9 萬臺主機,感染速率 4,700 臺/天。很多受害網絡中都有數十臺機器被黑。

受感染計算機數量最多的國家是中國、中國臺灣地區、俄羅斯、巴西和美國。據 Guardicore 介紹,Smominru 攻擊不針對特定公司或行業,但美國受害者包含高等教育機構、醫療企業,甚至網絡安全公司。

超半數 (55%) 受感染主機運行的是 Windows Server 2008,約 1/3 (30%) 運行的是 Windows 7。這就比較有趣了,因為這些版本的 Windows 系統仍受微軟支持,還在接收安全更新。

既然用了永恒之藍漏洞利用程序,一般人都會認為運行老版本或不受支持版本 Windows 的主機更容易受影響。然而,到底多少系統是通過永恒之藍入侵的,又有多少主機是因弱憑證而被感染,如今仍未可知。

福彩3d百位杀号:未打補丁的系統送出助攻

2011年福彩3d走势 www.oykik.tw 9 月 18 日發布的報告中,Guardicore 的研究人員寫道:未打補丁的系統使攻擊行動感染了全球無數主機,并在內部網絡中擴散。因此,操作系統很有必要及時跟進當前可用軟件更新。

然而,打補丁說起來容易做起來難。所以,數據中心或公司內部多應用一些安全措施就非常重要了。想要維持良好的安全態勢,最好用網絡微分隔檢測潛在的惡意互聯網流量,以及限制暴露在互聯網上的服務器。

另外,受害主機中有 1/4 都被 Smominru 反復感染,反映出很多網絡的糟糕安全狀態。這表明很多企業試圖清除感染,但沒能恰當地截斷攻擊途徑,沒從根源上解決問題。

多數遭感染主機的 CPU 核心數量在一到四個之間,屬于小型服務器行列。但其中 200 多臺擁有八個及以上核心,有一臺機器甚至有 32 個之多。

很不幸,這說明很多公司雖然花錢購置昂貴硬件,卻沒采取基本的安全措施,比如修復操作系統。

多個攻擊載荷的嚴重感染

由于該僵尸網絡具備蠕蟲功能,任何感染了 Smominru 的主機都可能對企業網絡造成嚴重威脅,而且,還不僅僅是加密貨幣挖礦。該威脅可部署大量攻擊載荷,并在受感染系統上創建多個后門以維持長期駐留,包括新的管理員用戶、計劃任務、Windows 管理規范 (WMI) 對象、開機自啟服務和主引導記錄 (MBR) rootkit。

根據 Guardicore 的分析,Smominru 可下載并執行近 20 個不同腳本和二進制攻擊載荷。該公司公布了詳細的入侵指標 (IoC) 列表,包括文件散列值、服務器 IP 地址、用戶名、注冊表鍵值等,還發布了用以檢測受感染主機的 PowerShell 腳本。

Carbon Black 報告:

https://www.carbonblack.com/2019/08/12/cb-tau-threat-intelligence-notification-smominru-botnet-leverages-new-attack-techniques/

Guardicore 報告:

https://www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit

Smominru GitHub 頁面:

https://github.com/guardicore/labs_campaigns/tree/master/Smominru

相關閱讀

 

訪問控制的定義及五大實現挑戰

訪問控制之于物聯網設備的重要性

訪問控制是什么?數據安全的關鍵組成

 

 

 


相關文章

寫一條評論

 

 

0條評論