據網絡安全威脅研究團隊 SPLUNK 發(fā)布的分析報告，來自東歐的黑客團伙正在面向中國和美國的 ISP (互聯(lián)網服務提供商) 發(fā)起攻擊，此次攻擊直接目的就是獲得經濟利益，因為黑客在服務器上部署挖礦腳本用來挖掘加密貨幣門羅幣 (XMR)。

掃描顯示被攻擊的大約有 4000 個 IP 地址，這些 IP 地址對應的服務器被暴力破解，這些服務器基本都是 Windows Server 系統(tǒng)，開啟 RDP 后黑客通過暴力破解獲得服務器訪問權限。

具體來說黑客利用 Windows NT 遠程管理 (WINRM) 來訪問目標服務器并執(zhí)行惡意軟件，在初始階段，當密碼未知或已獲得哈希值的密碼后黑客就會通過暴力破解找出用戶名和密碼。

當找出用戶名和密碼后再通過 WINRM 服務部署惡意軟件，被部署的惡意軟件主要包括 MIG.RDP.EXE、Migrate.exe 和 X64.EXE，這些惡意軟件會通過執(zhí)行 PowerShell 命令加載更多惡意負載。

不過核心還是門羅幣的挖礦腳本，例如 Migrate.exe 會在 C:\Windows\Tasks\ 目錄下釋放多個文件，釋放的文件就是門羅幣挖礦腳本，因此在腳本運行后服務器 CPU 資源會以接近 100% 的使用率運行，導致服務器變得卡頓甚至無法提供正常服務。

在目標選擇方面這個黑客團伙選取了中國和美國 ISP 的特定 CIDR (無類別域間路由，IP 地址分配方法)，選取后使用 MasScan 工具進行掃描，如果特定 IP 地址開放了 RDP 端口那么就會被收集用于后續(xù)的暴力破解。

要判斷服務器是否被感染 SPLUNK 也提供了部分參考指標：

黑客會在不常見的目錄里釋放 exe、ps1 腳本、dll 控件，這些目錄包括 C:\Windows\fonts\、C:\Users\Public\ 等，正常情況下微軟和其他軟件開發(fā)商不會將 exe 和 ps1 腳本等放到字體目錄和用戶公共目錄中。

但這種方式只能用于簡單判斷，如果要詳細檢測的話需要使用安全軟件進行掃描，考慮到門羅幣挖礦腳本的普遍性，多數安全軟件應該可以比較輕松地檢測出威脅。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關注數據與安全，洞悉企業(yè)級服務市場：https://www.ijiandao.com/