门罗币XMR挖矿恶意软件正在利用希捷NAS设备进行传播

本文涉及的产品
文件存储 NAS,50GB 3个月
简介:

近日,Sophos专家发现了一种门罗币(Monero)XMR挖矿恶意程序Mal/Miner-C,Sophos称,2016年上半年已探测到超过170万的设备感染Mal/Miner-C恶意软件。

关于门罗币(XMR)

XMR是一种使用CryptoNote协议的虚拟币币种,并不是比特币的一个分支。CryptoNote 在2012年已经开发出来,当年已有Bytecoin使用CrytoNote技术,XMR是在2014年开发出来,可以预见CryptoNote技术已经非常成熟,该技术通过数字环签名提供更好的匿名性。这一条件满足了暗网中的犯罪分子对匿名性更高的要求。

2016年8月底,全球最大的在线毒品交易市场AlphaBay在Reddit上宣称,自9月1日起,平台将支持一种超级匿名的加密货币Monero。

Monero词语是引自于世界语,在世界语中的含义表示为货币,诞生于2014年4月。Monero没有使用比特币的代码,而是基于CryptoNote协议。如上所述,这一协议最早由Nicolas van Saberhagen在2012年公布。

Monero与比特币有一些共同特征,比如挖矿和区块链都是核心机制,但它有几个重大改进,能帮助用户在线保持匿名。

比特币用户通常使用单一的钱包地址,所有交易都会与它相关,对所有人可见。相比之下,Monero给每一笔交易都创建唯一地址,并生成私密的viewkey(读取密匙),仅接收者及得到密匙的人能看到完整交易信息。理论上,政府不可能窥探到任何信息。Monero还会自动将一笔交易与其它同类规模的交易混淆(mix coins),这又加了一层保护,让人无法从区块链中追踪。

Mal / Miner-C恶意软件通过FTP服务器扩散感染

安全公司Sophos的恶意软件研究人员发现并分析了一款新型的恶意软件Mal/Miner-C,旨在从受感染的设备中挖掘门罗币(XMR)。

专家还发现,新型恶意软件Mal/Miner-C正在利用希捷网络附加存储sh(network-attached storage),也就是NAS作为攻击向量。

但是,最有趣的特征还是 Mal/Miner-C 恶意软件通过FTP服务器来扩散自己。

研究者分析样本中包括一个称为tftp.exe,的模块,它能随机产生IP地址,并尝试利用预定义的登录凭证列表连接到IP地址中。

如果该恶意软件能够成功连接到FTP服务器中,它就会将自身复制到服务器中,并通过引用上传到服务器的恶意代码,注入代码会生成一个iframe框架,从而修改服务器内的html文件和php文件。

Sophos分析报告表示:

“如果嵌入式凭据能够成功连接到一个FTP服务器,它就会试图将它自己复制到服务器中,并修改现有的扩展名为.htm或.php的Web相关文件,企图进一步感染主机的访问者。如果找到带有上述扩展名的文件,恶意软件将注入源代码,创建一个iframe,引用文件名为info.zip 或 Photo.scr. ”。

当未知用户访问被感染网站时,他将看到弹出一个“保存文件”的对话框,一旦受害者顺势下载并打开其中的恶意软件,他们的PC机便会感染Mal / Miner-C恶意软件。

从上面的过程可以看到,Mal/Miner-C并未采用自动感染机制,而是需要用户手动执行恶意程序。因此,它通过从被攻击网站以及开放服务器上的下载来传播。

Mal/Miner-C恶意程序感染情况

Sophos数据显示,2016年上半年已经探测到了超过170万的设备感染Mal/Miner-C恶意软件,在受感染的系统中,大多数是在多个目录下运行该恶意软件多个副本的FTP服务器。

专家们将调查重点放在寻找易受感染的设备上,他们使用了一款名为Censys的搜索引擎来扫描全球300万台FTP服务器。

随后研究人员尝试使用扫描脚本匿名连接到FTP服务器中,试图找到存在“ 写入权限的匿名FTP。

统计结果如下:

原始列表中的FTP服务器IP总数:2,932,833;

测试期间活跃的FTP服务器数:2,137,571;

允许匿名远程访问的活跃服务器数:207,110;

激活写入权限的活跃服务器数:7,263;

存在Mal/Miner-C恶意软件的服务器数:5,137;

Mal/Miner-C恶意程序更易感染希捷Central NAS设备

Sophos专家还注意到,这类FTP服务器大多都运行在希捷Central NAS设备上。这种特殊的NAS设备可以提供一个不能删除或无法禁用的公共文件夹来共享数据,攻击者将恶意软件上传至文件夹中,在用户发现文件夹的第一时间运行恶意软件。此外,如果设备的管理员启用了通向设备的远程连接,这台设备就允许任何人从互联网接入。

专家还对此次网络犯罪活动背后的收益进行分析,确定此次通过受感染的设备进行开采门罗币所带来的收益大约有86000美元。

本文转自d1net(转载)

相关实践学习
基于ECS和NAS搭建个人网盘
本场景主要介绍如何基于ECS和NAS快速搭建个人网盘。
阿里云文件存储 NAS 使用教程
阿里云文件存储(Network Attached Storage,简称NAS)是面向阿里云ECS实例、HPC和Docker的文件存储服务,提供标准的文件访问协议,用户无需对现有应用做任何修改,即可使用具备无限容量及性能扩展、单一命名空间、多共享、高可靠和高可用等特性的分布式文件系统。 产品详情:https://www.aliyun.com/product/nas
相关文章
|
5月前
|
存储 编解码 监控
NAS设备推荐品牌?
【6月更文挑战第30天】NAS设备推荐品牌?
140 60
|
存储 文件存储
NAS存储设备
本报告研究全球与中国市场NAS存储设备的产能、产量、销量、销售额、价格及未来趋势。重点分析全球与中国市场的主要厂商产品特点、产品规格、价格、销量、销售收入及全球和中国市场主要生产商的市场份额
|
安全 文件存储
西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权
本文讲的是西部数据My Cloud NAS设备存在高危漏洞,攻击者可获得完全控制权,万物互联的时代,没有哪家企业敢保证自家设备坚不可摧,安全无患。用户显然也较为无奈地接受科技进步带来的“反噬”,享受便利的同时也时刻做好付出代价的准备。而此次中招的正是——西部数据My Cloud系列NAS设备。
2339 0
|
存储 文件存储 Android开发
|
存储 文件存储
|
存储 文件存储 数据安全/隐私保护
|
存储 文件存储 数据安全/隐私保护

热门文章

最新文章