研究人员触及Smominru命令与控制(C2)服务器,获取被黑设备信息,探索攻击规模。
最新Smominru迭代变种,一款带蠕虫功能的加密货币挖矿僵尸网络,于今年8月席卷全球4,900家企业网络。多数受影响主机为运行Windows Server 2008或Windows 7的小型服务器。
Smominru是可追溯至2017年的一个僵尸网络,其变种也会被称为Hexmen、Mykings等。这款僵尸网络以投送的攻击载荷之多而闻名,包括凭证窃取脚本、后门、木马和一款加密货币挖矿机。
Carbon Black在今年8月记录了Smominru的最新变种,称该变种运用了多种传播手段,包括2017年肆虐全球的NotPetya和WannaCry等勒索软件蠕虫用过的永恒之蓝(EternalBlue)漏洞利用程序。该僵尸网络还采用暴力破解和凭证填充攻击各类协议,比如MS-SQL、RDP和Telnet,目的是获得新机器的访问权。
最近,安全公司Guardicore的研究人员得以访问Smominru的一台核心C2服务器。该服务器上存有受害者信息和凭证,使研究人员能够收集有关被黑主机及网络的信息,评估该僵尸网络的影响。
数据揭示,Smominru感染了全球超过4,900个网络中的约9万台主机,感染速率4,700台/天。很多受害网络中都有数十台机器被黑。
受感染计算机数量最多的国家是中国、中国台湾地区、俄罗斯、巴西和美国。据Guardicore介绍,Smominru攻击不针对特定公司或行业,但美国受害者包含高等教育机构、医疗企业,甚至网络安全公司。
超半数(55%)受感染主机运行的是Windows Server 2008,约1/3(30%)运行的是Windows 7。这就比较有趣了,因为这些版本的Windows系统仍受微软支持,还在接收安全更新。
既然用了永恒之蓝漏洞利用程序,一般人都会认为运行老版本或不受支持版本Windows的主机更容易受影响。然而,到底多少系统是通过永恒之蓝入侵的,又有多少主机是因弱凭证而被感染,如今仍未可知。
未打补丁的系统送出助攻
9月18日发布的报告中,Guardicore的研究人员写道:未打补丁的系统使攻击行动感染了全球无数主机,并在内部网络中扩散。因此,操作系统很有必要及时跟进当前可用软件更新。
然而,打补丁说起来容易做起来难。所以,数据中心或公司内部多应用一些安全措施就非常重要了。想要维持良好的安全态势,最好用网络微分隔检测潜在的恶意互联网流量,以及限制暴露在互联网上的服务器。
另外,受害主机中有1/4都被Smominru反复感染,反映出很多网络的糟糕安全状态。这表明很多企业试图清除感染,但没能恰当地截断攻击途径,没从根源上解决问题。
多数遭感染主机的CPU核心数量在一到四个之间,属于小型服务器行列。但其中200多台拥有八个及以上核心,有一台机器甚至有32个之多。
很不幸,这说明很多公司虽然花钱购置昂贵硬件,却没采取基本的安全措施,比如修复操作系统。
多个攻击载荷的严重感染
由于该僵尸网络具备蠕虫功能,任何感染了Smominru的主机都可能对企业网络造成严重威胁,而且,还不仅仅是加密货币挖矿。该威胁可部署大量攻击载荷,并在受感染系统上创建多个后门以维持长期驻留,包括新的管理员用户、计划任务、Windows管理规范(WMI)对象、开机自启服务和主引导记录(MBR)rootkit。
根据Guardicore的分析,Smominru可下载并执行近20个不同脚本和二进制攻击载荷。该公司公布了详细的入侵指标(IoC)列表,包括文件散列值、服务器IP地址、用户名、注册表键值等,还发布了用以检测受感染主机的PowerShell脚本。