僵尸網(wǎng)絡(luò)越來越成為傳播加密挖掘惡意軟件的首選工具。通過感染服務(wù)器和物聯(lián)網(wǎng)設(shè)備等各種企業(yè)資產(chǎn)，網(wǎng)絡(luò)犯罪分子可以利用數(shù)百或數(shù)千臺(tái)機(jī)器的集體處理能力來挖掘加密貨幣并傳播到更多設(shè)備。

該博客探討了新加坡一家公司的面向 Internet 的服務(wù)器是如何遭到破壞的。威脅參與者使用該設(shè)備橫向移動(dòng)并部署加密挖掘軟件。兩天之內(nèi)，該公司的幾臺(tái)設(shè)備就開始了加密貨幣挖礦。

創(chuàng)建僵尸網(wǎng)絡(luò)

在價(jià)值證明 (POV) 試用中安裝僅幾天后，它檢測到公司的一臺(tái)服務(wù)器從一個(gè)罕見的端點(diǎn) 167.71.87[.]85下載惡意可執(zhí)行文件。

觀察到服務(wù)器在沒有用戶代理標(biāo)頭的情況下與一系列罕見的外部端點(diǎn)建立 HTTP 連接。主要主機(jī)名是 t[.]amynx[.]com，這是一個(gè)與加密挖掘特洛伊木馬相關(guān)的開源情報(bào) (OSINT) 域。

該設(shè)備通過 TCP 端口 445 (SMB) 向一系列外部 IP 發(fā)起重復(fù)的外部連接。緊隨其后的是對(duì)各種設(shè)備的異常大量內(nèi)部連接嘗試，表明存在掃描活動(dòng)。

發(fā)展僵尸網(wǎng)絡(luò)

惡意軟件開始從最初受感染的服務(wù)器橫向移動(dòng)，主要是通過建立不正常的 RDP 連接鏈。隨后，服務(wù)器開始與 Internet 上的稀有端點(diǎn)建立外部 SMB 和 RPC 連接，以試圖找到更多易受攻擊的主機(jī)。

其他橫向移動(dòng)活動(dòng)包括通過 SMB 文件共享協(xié)議使用一系列不同的用戶名訪問多個(gè)內(nèi)部設(shè)備的反復(fù)嘗試失敗。這意味著暴力網(wǎng)絡(luò)訪問，因?yàn)橥{者試圖通過反復(fù)試驗(yàn)來猜測正確的帳戶詳細(xì)信息。

RDP和 Windows 服務(wù)控制等現(xiàn)有工具表明攻擊者正在使用“離地而生”技術(shù)。這使得系統(tǒng)管理員的工作變得更加困難，因?yàn)樗麄儽仨殔^(qū)分惡意使用內(nèi)置工具和合法應(yīng)用程序。

加密挖掘開始

最后，受感染的服務(wù)器通過 SMB 將可疑的可執(zhí)行文件傳輸?shù)蕉鄠€(gè)內(nèi)部設(shè)備來完成橫向移動(dòng)，這些文件的名稱似乎是隨機(jī)生成的（例如 gMtWAvEc.exe、daSsZhPf.exe），以使用 Minergate 協(xié)議部署加密挖掘惡意軟件。

Minergate 是一個(gè)公共礦池，用于多種類型的加密貨幣，包括比特幣、門羅幣、以太坊、Zcash 和 Grin。最近幾個(gè)月，勒索軟件參與者已經(jīng)開始從比特幣轉(zhuǎn)向門羅幣和其他更匿名的加密貨幣——但加密礦工多年來一直在使用山寨幣。

加密挖掘惡意軟件：風(fēng)靡一時(shí)

加密挖掘攻擊非常普遍。雖然不像勒索軟件那樣具有破壞性，但它們會(huì)對(duì)網(wǎng)絡(luò)延遲產(chǎn)生嚴(yán)重影響，并且需要很長時(shí)間才能檢測和清理。雖然感染仍未引起注意，但它為受害者組織提供了一個(gè)后門——并且可以隨時(shí)從進(jìn)行加密貨幣挖掘轉(zhuǎn)換為提供勒索軟件。在這種情況下，很明顯，攻擊者的目的是通過將惡意軟件與內(nèi)部服務(wù)器和域控制器等目標(biāo)一起傳輸來制造最大的破壞。

在不依賴已知威脅指標(biāo)的情況下檢測到攻擊的每一步。Cyber?? AI Analyst 將整個(gè)調(diào)查過程自動(dòng)化，從而節(jié)省了安全團(tuán)隊(duì)在現(xiàn)場事件中的關(guān)鍵時(shí)間。

特別是隨著最近中國對(duì)比特幣農(nóng)場的打擊，地下僵尸網(wǎng)絡(luò)和基于云的加密采礦可能會(huì)變得更加突出。隨著我們?cè)诓痪玫膶砜吹礁啻祟惾肭郑斯ぶ悄茯?qū)動(dòng)的檢測、調(diào)查和響應(yīng)將證明在任何時(shí)候都對(duì)保護(hù)各種規(guī)模的組織至關(guān)重要。