僵尸网络越来越成为传播加密挖掘恶意软件的首选工具。通过感染服务器和物联网设备等各种企业资产,网络犯罪分子可以利用数百或数千台机器的集体处理能力来挖掘加密货币并传播到更多设备。
该博客探讨了新加坡一家公司的面向 Internet 的服务器是如何遭到破坏的。威胁参与者使用该设备横向移动并部署加密挖掘软件。两天之内,该公司的几台设备就开始了加密货币挖矿。
创建僵尸网络
在价值证明 (POV) 试用中安装仅几天后,它检测到公司的一台服务器从一个罕见的端点 167.71.87[.]85下载恶意可执行文件。
观察到服务器在没有用户代理标头的情况下与一系列罕见的外部端点建立 HTTP 连接。主要主机名是 t[.]amynx[.]com,这是一个与加密挖掘特洛伊木马相关的开源情报 (OSINT) 域。
该设备通过 TCP 端口 445 (SMB) 向一系列外部 IP 发起重复的外部连接。紧随其后的是对各种设备的异常大量内部连接尝试,表明存在扫描活动。
发展僵尸网络
恶意软件开始从最初受感染的服务器横向移动,主要是通过建立不正常的 RDP 连接链。随后,服务器开始与 Internet 上的稀有端点建立外部 SMB 和 RPC 连接,以试图找到更多易受攻击的主机。
其他横向移动活动包括通过 SMB 文件共享协议使用一系列不同的用户名访问多个内部设备的反复尝试失败。这意味着暴力网络访问,因为威胁者试图通过反复试验来猜测正确的帐户详细信息。
RDP和 Windows 服务控制等现有工具表明攻击者正在使用“离地而生”技术。这使得系统管理员的工作变得更加困难,因为他们必须区分恶意使用内置工具和合法应用程序。
加密挖掘开始
最后,受感染的服务器通过 SMB 将可疑的可执行文件传输到多个内部设备来完成横向移动,这些文件的名称似乎是随机生成的(例如 gMtWAvEc.exe、daSsZhPf.exe),以使用 Minergate 协议部署加密挖掘恶意软件。
Minergate 是一个公共矿池,用于多种类型的加密货币,包括比特币、门罗币、以太坊、Zcash 和 Grin。最近几个月,勒索软件参与者已经开始从比特币转向门罗币和其他更匿名的加密货币——但加密矿工多年来一直在使用山寨币。
加密挖掘恶意软件:风靡一时
加密挖掘攻击非常普遍。虽然不像勒索软件那样具有破坏性,但它们会对网络延迟产生严重影响,并且需要很长时间才能检测和清理。虽然感染仍未引起注意,但它为受害者组织提供了一个后门——并且可以随时从进行加密货币挖掘转换为提供勒索软件。在这种情况下,很明显,攻击者的目的是通过将恶意软件与内部服务器和域控制器等目标一起传输来制造最大的破坏。
在不依赖已知威胁指标的情况下检测到攻击的每一步。Cyber AI Analyst 将整个调查过程自动化,从而节省了安全团队在现场事件中的关键时间。
特别是随着最近中国对比特币农场的打击,地下僵尸网络和基于云的加密采矿可能会变得更加突出。随着我们在不久的将来看到更多此类入侵,人工智能驱动的检测、调查和响应将证明在任何时候都对保护各种规模的组织至关重要。