东欧黑客向中美ISP发起攻击安装门罗币挖矿软件 超过4000 IP对应服务器被感染
山外的鸭子哥
据网络安全威胁研究团队 SPLUNK 发布的分析报告,来自东欧的黑客团伙正在面向中国和美国的 ISP (互联网服务提供商) 发起攻击,此次攻击直接目的就是获得经济利益,因为黑客在服务器上部署挖矿脚本用来挖掘加密货币门罗币 (XMR)。
扫描显示被攻击的大约有 4000 个 IP 地址,这些 IP 地址对应的服务器被暴力破解,这些服务器基本都是 Windows Server 系统,开启 RDP 后黑客通过暴力破解获得服务器访问权限。
具体来说黑客利用 Windows NT 远程管理 (WINRM) 来访问目标服务器并执行恶意软件,在初始阶段,当密码未知或已获得哈希值的密码后黑客就会通过暴力破解找出用户名和密码。
当找出用户名和密码后再通过 WINRM 服务部署恶意软件,被部署的恶意软件主要包括 MIG.RDP.EXE、Migrate.exe 和 X64.EXE,这些恶意软件会通过执行 PowerShell 命令加载更多恶意负载。
不过核心还是门罗币的挖矿脚本,例如 Migrate.exe 会在 C:\Windows\Tasks\ 目录下释放多个文件,释放的文件就是门罗币挖矿脚本,因此在脚本运行后服务器 CPU 资源会以接近 100% 的使用率运行,导致服务器变得卡顿甚至无法提供正常服务。
在目标选择方面这个黑客团伙选取了中国和美国 ISP 的特定 CIDR (无类别域间路由,IP 地址分配方法),选取后使用 MasScan 工具进行扫描,如果特定 IP 地址开放了 RDP 端口那么就会被收集用于后续的暴力破解。
要判断服务器是否被感染 SPLUNK 也提供了部分参考指标:
黑客会在不常见的目录里释放 exe、ps1 脚本、dll 控件,这些目录包括 C:\Windows\fonts\、C:\Users\Public\ 等,正常情况下微软和其他软件开发商不会将 exe 和 ps1 脚本等放到字体目录和用户公共目录中。
但这种方式只能用于简单判断,如果要详细检测的话需要使用安全软件进行扫描,考虑到门罗币挖矿脚本的普遍性,多数安全软件应该可以比较轻松地检测出威胁。
