新闻快讯
< >

矿工对矿工:某攻击脚本会搜索并摧毁竞争性采矿程序

E安全3月11日讯 加密货币采矿类恶意软件正快速演进,目前已经出现新的攻击手段,能够从受感染计算机当中清除同其竞争资源的其它采矿代码。

这款“非同一般”的采矿工具由SNS互联网风暴中心处理人员泽维尔·墨滕斯首先发现。墨滕斯在2017年3月4日发现了一套PowerShell脚本,并注意到其会关闭目标设备上任何其它疯狂攫取CPU资源的进程。他写道,“这是一场针对CPU周期的争夺战!”

矿工对矿工:某攻击脚本会搜索并摧毁竞争性采矿程序-E安全

在攻击之前,该脚本会检查目标设备属于32位抑或64位系统,并据此下载已被 VirusTotal 判明为 hpdriver.exe 或 hpw64 的已知文件(二者会将自身伪装为某种惠普驱动程序)。

一旦成功安装,攻击活动会列出当前正在运行的所有进程并根据自身需求关闭其中特定进程。墨滕斯指出,除了普通的 Windows 操作系统之外,这份进程列表当中还包含大量与密码生成器相关的信息,以下列出部分相关内容:

  • Silence;

  • Carbon;

  • xmrig32;

  • nscpucnminer64;

  • cpuminer;

  • xmr86;

  • xmrig;

  • xmr。

墨滕斯写道,这套脚本还会检查与各类安全工具相关的进程。

在参考ESET公司米甲·马利克发布的推文之后,墨滕斯还撰写了另一篇相关文章——如果您身为 Linux 管理员。

https://t.co/KjDgSgGz94 < 感染 Linux 服务器:

  • 向authorized_keys 当中添加公钥。

  • 运行加密货币采矿工具。

  • 生成IP范围,使用masscan。

a) 利用“永恒之蓝”漏洞以入侵Windows主机,而后通过下载一个PE文件获取其恶意payload。

b) 通过Redis入侵Linux主机,并经由pic.twitter.com/IvWzU1jBqy自行获取恶意payload。

—米甲·马利克 (@michalmalik) 2018年3月2日

这是一套 bash 脚本,用于将采矿程序推送至Linux设备当中,同时扫描互联网以寻找其它易受美国 NSA“永恒之蓝”安全漏洞影响的其它 Windows 计算机。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。