原文来自微信公众号:云头条(ID: yuntoutiao)
编写恶意软件以挖矿加密货币的不法分子已开始编写代码,将竞争对手赶出已中了招的计算机。
SANS互联网风暴中心的安全顾问泽维尔•默滕斯(Xavier Mertens)最先注意到了这个矿工(https://isc.sans.edu/forums/diary/The+Crypto+Miners+Fight+For+CPU+Cycles/23407/)。Martens在3月4日发现了PowerShell脚本,注意到它杀死了在目标机器上发现的其他任何耗用CPU资源的进程,他写道:“争夺CPU周期的好戏开始上演了!”
在感染机器之前,脚本检查目标机器是32位系统还是64位系统,然后下载名为hpdriver.exe或hpw64的文件(它们佯称是某种惠普驱动程序)。这两个文件已被查毒网站VirusTotal识破,标为是恶意文件。
如果安装成功,攻击脚本会列出正在运行的进程,杀死它不喜欢的任何进程。
默滕斯特别指出,除了普通的Windows进程外,被打有死亡标记的进程列表还包括与加密货币矿工有关的许多进程,下面列出了其中一些进程。
默滕斯写道,该脚本还检查与安全工具有关的进程。
如果你是Linux管理员,默滕斯的下一篇文章(https://isc.sans.edu/forums/diary/Malicious+Bash+Script+with+Multiple+Features/23411/)也值得一看。他关注了ESET的迈克尔•马利克(Michal Malik)发布的这则推文。
配图文字:
… <感染Linux服务器
1)将公钥添加到authorized_keys(授权的密钥)
2)运行加密货币矿工
3)生成IP地址范围,使用海量端口扫描工具masscan
3a)攻击易受EternalBlue攻击的Windows主机,然后有效载荷下载一个PE文件
3b)通过Redis及安装到目标系统上的下载文件攻击Linux主机
这是一个bash脚本,试图将矿工植入到Linux机器上,并且扫描互联网,寻找易受NSA EternalBlue攻击的Windows机器。
本文链接:http://www.yunweipai.com/25279.html