1. 威客安全首页
  2. 安全资讯

Smominru僵尸网络迅速传播

在过去的一个月中,网络安全研究人员已经发现Smominru僵尸网络感染了将近9万台计算机,用于挖掘Monero加密货币。

Smominru僵尸网络迅速传播

概览

据研究人员称,Smominru僵尸网络至少从2017年5月开始活跃,在发现它的时候,已经感染了52.6万台Windows电脑。该僵尸网络主要利用EternalBlue漏洞,并且还对MS-SQL、RDP和Telnet服务执行暴力攻击。

研究人员指出,每天受感染率的设备约为4700台,其中受影响最大的国家地区包括美国、俄罗斯、中国、巴西和台湾。大多数被感染的系统是Windows 7和Windows Server 2008。

Smominru僵尸网络迅速传播

Smominru的全球感染分布(深色代表受感染程度越高)

研究发现

Guardicore实验室近日发布了一份有关Smominru僵尸网络大规模传播的研究报告。他们观察到,许多受感染的设备即使在移除Smominru之后仍无法避免再次被攻击,这可能表明系统未打补丁,并且容易受到类似攻击。

a

Smominru僵尸网络迅速传播

在8月份攻击中受感染的网络设备跨越各个行业部门,包括医疗公司、教育机构和网络安全行业。这表明攻击并非针对特定行业,而是针对任何可用的易受攻击的服务器。

“一旦立足,Smominru就会尝试横向移动并感染组织内部尽可能多的设备。在一个月内,其感染了4900多个网络系统,”报告中表示。

运作模式

一旦被感染,Smominru将下载一个名为““blueps.txt”的Powershell脚本,该脚本将在系统上创建新的管理员,执行二进制文件,并将其他恶意脚本下载到系统中。

然后,它为多项操作行动(例如新创建的用户和计划的任务)创建多个后门。

值得一提的是,Smominru非常“霸道”,绝不允许其他恶意软件来分享其“战利品”。通过杀死进程、删除可执行文件、删除其他参与者的后门凭据以及删除可能属于其他参与者的计划任务等,来消除系统中的其他恶意参与者。各种TCP端口被阻挡,以防止其他恶意行为者感染已经被Smominru感染的系统。

该僵尸网络的当前迭代运行近二十个恶意脚本和二进制有效负载。

研究人员观察到,大多数使用的计算机都是专用服务器,而不是通常在此类攻击中存在的专用服务器。

保护措施

有一些Powershell脚本可用来检测Smominru僵尸网络的存在。研究人员建议,Smominru僵尸网络利用弱密码和EternalBlue漏洞进行传播。因此,必须使用可用的最新安全修复程序修补计算机。

原文链接:http://www.mottoin.com/detail/4198.html

本站声明:网站内容来源于mottoin,如有侵权,请联系我们,我们将及时处理。

本文转为转载文章,本文观点不代表威客安全立场。

联系我们

15110186328

在线咨询:点击这里给我发消息

邮件:zhanglei@jinlongsec.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code
X