黑吃黑:CPU窃贼之间毫无道义可言

运维派——国内最大的IT运维社区,欢迎关注运维派微信公众号(ID: yunweipai),获取更多资讯

原文来自微信公众号:云头条(ID: yuntoutiao)

编写恶意软件以挖矿加密货币的不法分子已开始编写代码,将竞争对手赶出已中了招的计算机。

SANS互联网风暴中心的安全顾问泽维尔•默滕斯(Xavier Mertens)最先注意到了这个矿工(https://isc.sans.edu/forums/diary/The+Crypto+Miners+Fight+For+CPU+Cycles/23407/)。Martens在3月4日发现了PowerShell脚本,注意到它杀死了在目标机器上发现的其他任何耗用CPU资源的进程,他写道:“争夺CPU周期的好戏开始上演了!”

在感染机器之前,脚本检查目标机器是32位系统还是64位系统,然后下载名为hpdriver.exe或hpw64的文件(它们佯称是某种惠普驱动程序)。这两个文件已被查毒网站VirusTotal识破,标为是恶意文件。

如果安装成功,攻击脚本会列出正在运行的进程,杀死它不喜欢的任何进程。

默滕斯特别指出,除了普通的Windows进程外,被打有死亡标记的进程列表还包括与加密货币矿工有关的许多进程,下面列出了其中一些进程。

默滕斯写道,该脚本还检查与安全工具有关的进程。

如果你是Linux管理员,默滕斯的下一篇文章(https://isc.sans.edu/forums/diary/Malicious+Bash+Script+with+Multiple+Features/23411/)也值得一看。他关注了ESET的迈克尔•马利克(Michal Malik)发布的这则推文。

配图文字:

… <感染Linux服务器

1)将公钥添加到authorized_keys(授权的密钥)

2)运行加密货币矿工

3)生成IP地址范围,使用海量端口扫描工具masscan

3a)攻击易受EternalBlue攻击的Windows主机,然后有效载荷下载一个PE文件

3b)通过Redis及安装到目标系统上的下载文件攻击Linux主机

这是一个bash脚本,试图将矿工植入到Linux机器上,并且扫描互联网,寻找易受NSA EternalBlue攻击的Windows机器。

网友评论comments

发表评论

电子邮件地址不会被公开。 必填项已用*标注

暂无评论

Copyright © 2012-2017 YUNWEIPAI.COM - 运维派 - 粤ICP备14090526号-3
扫二维码
扫二维码
返回顶部