最近發現,最近的計算機蠕蟲Indexsinas SMB對社區中各個部門造成了廣泛的損害,包括電信和醫療保健。除此之外,它還可能通過侵擾礦工的系統來破壞加密貨幣礦業行業。
自2019年以來,惡意軟件一直轉移到不同的位置進行剝削。最受歡迎的涉及攻擊在一個名為Eternalblue的掃描儀中發起的。安全專家發出警告,警告說,蠕蟲長期冬眠後,蠕蟲的持續活動浮出水面。
索引SMB蠕蟲如何傳播?
在分析衛冕實驗室在6月30日星期三由蠕蟲傳播期間涵蓋了三個方程組的漏洞。這些是永恆的,永恆的和雙掌。用戶應小心,他們的機器可以通過攻擊的後門操作突然進行數據洩漏。
研究人員補充說,這兩個永恆的標題在過去的惡意軟件攻擊中被涵蓋。它們在notpetya和WannaCry勒索軟件暴發。迄今為止,有超過120萬個SMB服務器有被蠕蟲感染的風險。
尤其是,越南,印度和美國等國家一直是對1300多個設備的攻擊的據點。最重要的是,索引索蠕蟲旨在使機器毫無用處。目前,大約有2,000個與蠕蟲有關的網絡攻擊記錄。
關於控制惡意軟件的罪魁禍首沒有確定的解釋。專家指出,在過去幾年中,未知的幫派在其每個步驟中都“非常謹慎”。在擊中加密者時,網絡犯罪分子依靠其既定的“私人採礦池”,這使人們在檢查錢時無法打開他們的藏匿處。
加密貨幣開采的蠕蟲感染
“這些漏洞在受害者的內核中運行代碼,並能夠使用異步過程調用(APCS)向用戶模式流程注入有效載荷。索引Sinas使用exploits將代碼注入Explorer.exe.exe.exe.exe.exe.exe,”研究人員對蠕蟲表示了。
從主C2服務器,64位doublepulsar.dll和32位EternalBlue.dlll與三個可訪問的文件一起插入了系統中的有效負載。網絡攻擊者所做的是安裝稱為GH0STCRIENG的專用遠程訪問工具(RAT),該工具是可執行文件。
大鼠安裝後,將合併主要線程以召喚命令。稍後,這將從機器中產生信息,包括安裝日期,計算機名稱和惡意軟件組ID。
Monero-Minining惡意軟件就利用加密礦工而言,工作與iexplore.exe相同。另一方面,services.exe文件專注於顯示加密礦工模塊。
除兩者外,還有C64.EXE產生ctfmon.exe和其他文件。前者負責索引SMB蠕蟲的傳播。
如何避免索引蠕蟲感染系統?
根據威脅桿,企業應定期對其SMB服務器進行修補。通過此,我們可以發現惡意軟件可以輸入的可能位置。人們可以應用的其他方法是網絡細分和獲得環境知名度。
請注意,生產和公司運營應該有一些部門。如果您是公司的重要所有者,則可能需要通過防止通過SMB訪問網絡來檢查網絡。您還可以限制平台中的IP地址,因此更容易過濾哪些服務器可疑攻擊以及哪些服務器不是。
本文由技術時報擁有
約瑟夫·亨利(Joseph Henry)撰寫
