新聞來源連結:
https://times.hinet.net/news/21421511
新聞本文:
ITHOME 2018/02/05 11:02
逾50萬台Windows伺服器淪為Monero挖礦機,台灣為第三大受災區
又有挖礦程式企圖利用Windows伺服器。安全研究公司名為Smominru
的殭屍網路程式感染超過50萬台連網Windows伺服器,利用它們來挖
Monero幣。而台灣則名列三大節點集中區。
Smominru又被稱為Ismo,它從2017年5月就開始在網路上利用美國國
家安全局(NSA)外流的攻擊工具EtnernalBlue,開採Windows漏洞
CVE-2017-0144散佈、入侵Windows 伺服器,然後利用受害機器來挖
Monero幣。才不過一個月前國安局才被影子掮客駭入公佈EnternalBlue
等多項攻擊工具。而WannaCry也是約莫同時利用EnternalBlue攻擊
全球上百萬電腦。
ProofPoint研究人員指出,Smominru最特殊的是它使用Windows
Management Infrastructure來散佈。他們根據Monero幣顯示的挖礦
算力(hash power)來判斷,被Smominru收編到殭屍網路的機器約是
去年5月為害的。攻擊者已經透過Smominru挖到將近8,900個Monero幣
,本周兌換美元價值約為280萬到360萬美元。它每天可以挖24個Monero
幣,等於每周賺進8,500美元。
研究人員利用sinkholing手法來分析殭屍網路規模及節點位置,
判斷Smominru感染了超過52.6萬台Windows主機以建立殭屍網路,
其中多半為伺服器,這些機器分佈各地,但密度最高地區依序為
俄羅斯、印度及台灣。(來源:ProofPoint)
ProofPoint相信至少有25座主機遭利用EnternalBlue感染新節點以
擴增殭屍網路,另外駭客也可能利用EsteemAudit (CVE-2017-0176 RDP)
漏洞散播。除了Windows Server,另有研究人員發現SQL Server也遭感染。
一家名為SharkTech的伺服器被用來代管殭屍網路的C&C伺服器,研究人員
已經通知該公司。
同時間研究人員也通知礦池MineXMR封鎖Smominru的Monero錢包地址。
數天後,研究人員研判背後的駭客組織已經喪失1/3殭屍網路的控制權。
比特幣及類似加密貨幣挖礦已經程式已經成為新一波安全危害。
除了Adylkuzz 、Smominru外,去年底也有攻擊者利用Apache Struts
漏洞入侵Windows及Linux伺服器來挖Monero幣。根據安全公司,2017年
起勒索軟體變種速度趨緩,許多原本用來散布勒索軟體的惡意網路開始
改為散佈金融木馬及挖礦程式。
評論:
不管你有沒有在挖礦,都可能正在挖礦
台灣資安千瘡百孔,到處都是洞。