研究人员触及 Smominru 命令与控制 (C2) 服务器,获取被黑设备信息,探索攻击规模。
最新 Smominru 迭代变种,一款带蠕虫功能的加密货币挖矿僵尸网络,于今年 8 月席卷全球 4,900 家企业网络。多数受影响主机为运行 Windows Server 2008 或 Windows 7 的小型服务器。
Smominru 是可追溯至 2017 年的一个僵尸网络,其变种也会被称为 Hexmen、Mykings 等。这款僵尸网络以投送的攻击载荷之多而闻名,包括凭证窃取脚本、后门、木马和一款加密货币挖矿机。
Carbon Black 在今年 8 月记录了 Smominru 的最新变种,称该变种运用了多种传播手段,包括 2017 年肆虐全球的 NotPetya 和 WannaCry 等勒索软件蠕虫用过的永恒之蓝 (EternalBlue) 漏洞利用程序。该僵尸网络还采用暴力破解和凭证填充攻击各类协议,比如 MS-SQL、RDP 和 Telnet,目的是获得新机器的访问权。
最近,安全公司 Guardicore 的研究人员得以访问 Smominru 的一台核心 C2 服务器。该服务器上存有受害者信息和凭证,使研究人员能够收集有关被黑主机及网络的信息,评估该僵尸网络的影响。
数据揭示,Smominru 感染了全球超过 4,900 个网络中的约 9 万台主机,感染速率 4,700 台/天。很多受害网络中都有数十台机器被黑。
受感染计算机数量最多的国家是中国、中国台湾地区、俄罗斯、巴西和美国。据 Guardicore 介绍,Smominru 攻击不针对特定公司或行业,但美国受害者包含高等教育机构、医疗企业,甚至网络安全公司。
超半数 (55%) 受感染主机运行的是 Windows Server 2008,约 1/3 (30%) 运行的是 Windows 7。这就比较有趣了,因为这些版本的 Windows 系统仍受微软支持,还在接收安全更新。
既然用了永恒之蓝漏洞利用程序,一般人都会认为运行老版本或不受支持版本 Windows 的主机更容易受影响。然而,到底多少系统是通过永恒之蓝入侵的,又有多少主机是因弱凭证而被感染,如今仍未可知。
未打补丁的系统送出助攻
9 月 18 日发布的报告中,Guardicore 的研究人员写道:未打补丁的系统使攻击行动感染了全球无数主机,并在内部网络中扩散。因此,操作系统很有必要及时跟进当前可用软件更新。
然而,打补丁说起来容易做起来难。所以,数据中心或公司内部多应用一些安全措施就非常重要了。想要维持良好的安全态势,最好用网络微分隔检测潜在的恶意互联网流量,以及限制暴露在互联网上的服务器。
另外,受害主机中有 1/4 都被 Smominru 反复感染,反映出很多网络的糟糕安全状态。这表明很多企业试图清除感染,但没能恰当地截断攻击途径,没从根源上解决问题。
多数遭感染主机的 CPU 核心数量在一到四个之间,属于小型服务器行列。但其中 200 多台拥有八个及以上核心,有一台机器甚至有 32 个之多。
很不幸,这说明很多公司虽然花钱购置昂贵硬件,却没采取基本的安全措施,比如修复操作系统。
多个攻击载荷的严重感染
由于该僵尸网络具备蠕虫功能,任何感染了 Smominru 的主机都可能对企业网络造成严重威胁,而且,还不仅仅是加密货币挖矿。该威胁可部署大量攻击载荷,并在受感染系统上创建多个后门以维持长期驻留,包括新的管理员用户、计划任务、Windows 管理规范 (WMI) 对象、开机自启服务和主引导记录 (MBR) rootkit。
根据 Guardicore 的分析,Smominru 可下载并执行近 20 个不同脚本和二进制攻击载荷。该公司公布了详细的入侵指标 (IoC) 列表,包括文件散列值、服务器 IP 地址、用户名、注册表键值等,还发布了用以检测受感染主机的 PowerShell 脚本。
Carbon Black 报告:
https://www.carbonblack.com/2019/08/12/cb-tau-threat-intelligence-notification-smominru-botnet-leverages-new-attack-techniques/
Guardicore 报告:
https://www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit
Smominru GitHub 页面:
https://github.com/guardicore/labs_campaigns/tree/master/Smominru
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。