研究发现有加密货币僵尸服务器在WannaCry蠕虫前利用微软漏洞
jopen 7年前
<p>上周五,名为 WannaCry 的勒索蠕虫利用从美国安全局泄露的入侵工具在全球 150 个国家感染了 20 万台电脑。本周一,研究人员表示在此之前就有规模更大的攻击感染了全球多台电脑并把他们作为“埋伏”加密货币僵尸网络的一部分。</p> <p style="text-align:center"><img alt="研究发现有加密货币僵尸服务器在WannaCry蠕虫前利用微软漏洞" src="https://simg.open-open.com/show/2b282014cb79b33a5a88ff6f54705b48.png" /></p> <p style="text-align:center"><img alt="研究发现有加密货币僵尸服务器在WannaCry蠕虫前利用微软漏洞" src="https://simg.open-open.com/show/aeb30f95feeefff8d6f1c371a26ee42f.png" /></p> <p>和 WannaCry 勒索蠕虫一样,这个攻击利用“永恒之蓝”和 DoublePulsar 后门。但是不同的是攻击用这些漏洞传播 Adylkuzz 这款加密货币挖矿软件。知名网络安全公司 Proofpoint 的研究人员 Kafeine 推测这个攻击的开始时间最晚在五月 2 号,最早可能在四月 24 号。未安装微软补丁的局域网电脑极易受到攻击。在他博客发表的一篇文章中,他写道在研究 WannaCry 病毒的过程中,我们发现了一台可被永恒之蓝漏洞攻击的实验室机器。本来我们以为这台电脑会被勒索软件感染,但是我们发现感染电脑的实际上是 Adylkuzz。</p> <p>几台匿名的虚拟发起这项攻击,并在不断扫描 445 端口寻找攻击的目标。一旦成功利用永恒之蓝的漏洞,DoublePulsar 后门会下载并运行 Adylkuzz 软件。之后,病毒会进行一系列的操作安装完整的挖矿软件。Kafeine 表示部分认为自己电脑被 WannaCry 感染的用户实际上是被 Adylkuzz 攻击了。不过,因为攻击会关闭局域网通讯,所以这反而缩小了 WannaCry 的感染范围。</p> <p>来自: <a href="/misc/goto?guid=4959008235987865377" id="link_source2">cnBeta</a></p>