最近发现,最近的计算机蠕虫Indexsinas SMB对社区中各个部门造成了广泛的损害,包括电信和医疗保健。除此之外,它还可能通过侵扰矿工的系统来破坏加密货币矿业行业。
自2019年以来,恶意软件一直转移到不同的位置进行剥削。最受欢迎的涉及攻击在一个名为Eternalblue的扫描仪中发起的。安全专家发出警告,警告说,蠕虫长期冬眠后,蠕虫的持续活动浮出水面。
索引SMB蠕虫如何传播?
在分析卫冕实验室在6月30日星期三由蠕虫传播期间涵盖了三个方程组的漏洞。这些是永恒的,永恒的和双掌。用户应小心,他们的机器可以通过攻击的后门操作突然进行数据泄漏。
研究人员补充说,这两个永恒的标题在过去的恶意软件攻击中被涵盖。它们在notpetya和WannaCry勒索软件暴发。迄今为止,有超过120万个SMB服务器有被蠕虫感染的风险。
尤其是,越南,印度和美国等国家一直是对1300多个设备的攻击的据点。最重要的是,索引索蠕虫旨在使机器毫无用处。目前,大约有2,000个与蠕虫有关的网络攻击记录。
关于控制恶意软件的罪魁祸首没有确定的解释。专家指出,在过去几年中,未知的帮派在其每个步骤中都“非常谨慎”。在击中加密者时,网络犯罪分子依靠其既定的“私人采矿池”,这使人们在检查钱时无法打开他们的藏匿处。
加密货币开采的蠕虫感染
“这些漏洞在受害者的内核中运行代码,并能够使用异步过程调用(APCS)向用户模式流程注入有效载荷。索引Sinas使用exploits将代码注入Explorer.exe.exe.exe.exe.exe.exe,”研究人员对蠕虫表示了。
从主C2服务器,64位doublepulsar.dll和32位EternalBlue.dlll与三个可访问的文件一起插入了系统中的有效负载。网络攻击者所做的是安装称为GH0STCRIENG的专用远程访问工具(RAT),该工具是可执行文件。
大鼠安装后,将合并主要线程以召唤命令。稍后,这将从机器中产生信息,包括安装日期,计算机名称和恶意软件组ID。
Monero-Minining恶意软件就利用加密矿工而言,工作与iexplore.exe相同。另一方面,services.exe文件专注于显示加密矿工模块。
除两者外,还有C64.EXE产生ctfmon.exe和其他文件。前者负责索引SMB蠕虫的传播。
如何避免索引蠕虫感染系统?
根据威胁杆,企业应定期对其SMB服务器进行修补。通过此,我们可以发现恶意软件可以输入的可能位置。人们可以应用的其他方法是网络细分和获得环境知名度。
请注意,生产和公司运营应该有一些部门。如果您是公司的重要所有者,则可能需要通过防止通过SMB访问网络来检查网络。您还可以限制平台中的IP地址,因此更容易过滤哪些服务器可疑攻击以及哪些服务器不是。
本文由技术时报拥有
约瑟夫·亨利(Joseph Henry)撰写
