聲明：該文章來(lái)自（藍(lán)點(diǎn)網(wǎng)）版權(quán)由原作者所有，K2OS渲染引擎提供網(wǎng)頁(yè)加速服務(wù)。

據(jù)網(wǎng)絡(luò)安全威脅研究團(tuán)隊(duì) SPLUNK 發(fā)布的分析報(bào)告，來(lái)自東歐的黑客團(tuán)伙正在面向中國(guó)和美國(guó)的 ISP (互聯(lián)網(wǎng)服務(wù)提供商) 發(fā)起攻擊，此次攻擊直接目的就是獲得經(jīng)濟(jì)利益，因?yàn)楹诳驮诜?wù)器上部署挖礦腳本用來(lái)挖掘加密貨幣門(mén)羅幣 (XMR)。

掃描顯示被攻擊的大約有 4000 個(gè) IP 地址，這些 IP 地址對(duì)應(yīng)的服務(wù)器被暴力破解，這些服務(wù)器基本都是 Windows Server 系統(tǒng)，開(kāi)啟 RDP 后黑客通過(guò)暴力破解獲得服務(wù)器訪問(wèn)權(quán)限。

具體來(lái)說(shuō)黑客利用 Windows NT 遠(yuǎn)程管理 (WINRM) 來(lái)訪問(wèn)目標(biāo)服務(wù)器并執(zhí)行惡意軟件，在初始階段，當(dāng)密碼未知或已獲得哈希值的密碼后黑客就會(huì)通過(guò)暴力破解找出用戶名和密碼。

當(dāng)找出用戶名和密碼后再通過(guò) WINRM 服務(wù)部署惡意軟件，被部署的惡意軟件主要包括 MIG.RDP.EXE、Migrate.exe 和 X64.EXE，這些惡意軟件會(huì)通過(guò)執(zhí)行 PowerShell 命令加載更多惡意負(fù)載。

不過(guò)核心還是門(mén)羅幣的挖礦腳本，例如 Migrate.exe 會(huì)在 C:\Windows\Tasks\ 目錄下釋放多個(gè)文件，釋放的文件就是門(mén)羅幣挖礦腳本，因此在腳本運(yùn)行后服務(wù)器 CPU 資源會(huì)以接近 100% 的使用率運(yùn)行，導(dǎo)致服務(wù)器變得卡頓甚至無(wú)法提供正常服務(wù)。

在目標(biāo)選擇方面這個(gè)黑客團(tuán)伙選取了中國(guó)和美國(guó) ISP 的特定 CIDR (無(wú)類別域間路由，IP 地址分配方法)，選取后使用 MasScan 工具進(jìn)行掃描，如果特定 IP 地址開(kāi)放了 RDP 端口那么就會(huì)被收集用于后續(xù)的暴力破解。

要判斷服務(wù)器是否被感染 SPLUNK 也提供了部分參考指標(biāo)：

黑客會(huì)在不常見(jiàn)的目錄里釋放 exe、ps1 腳本、dll 控件，這些目錄包括 C:\Windows\fonts\、C:\Users\Public\ 等，正常情況下微軟和其他軟件開(kāi)發(fā)商不會(huì)將 exe 和 ps1 腳本等放到字體目錄和用戶公共目錄中。

但這種方式只能用于簡(jiǎn)單判斷，如果要詳細(xì)檢測(cè)的話需要使用安全軟件進(jìn)行掃描，考慮到門(mén)羅幣挖礦腳本的普遍性，多數(shù)安全軟件應(yīng)該可以比較輕松地檢測(cè)出威脅。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級(jí)服務(wù)市場(chǎng)：https://www.ijiandao.com/