加密货币采矿类恶意软件正快速演进采矿工具受安全漏洞影响.doc

《加密货币采矿类恶意软件正快速演进采矿工具受安全漏洞影响.doc》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、加密货币采矿类恶意软件正快速演进采矿工具受安全漏洞影响　　3月11日讯加密货币采矿类恶意软件正快速演进，目前已经出现新的攻击手段，能够从受感染计算机当中清除同其竞争资源的其它采矿代码。　　这款“非同一般”的采矿工具由SNS互联网风暴中心处理人员泽维尔·墨滕斯首先发现。墨滕斯在2017年3月4日发现了一套PowerShell脚本，并注意到其会关闭目标设备上任何其它疯狂攫取CPU资源的进程。他写道，“这是一场针对CPU周期的争夺战！”　　　　在攻击之前，该脚本会检查目标设备属于32位抑或64位系统，并据此下载已被VirusTotal判明为hpdriver.exe或hpw64的已知

2、文件（二者会将自身伪装为某种惠普驱动程序）。　　一旦成功安装，攻击活动会列出当前正在运行的所有进程并根据自身需求关闭其中特定进程。墨滕斯指出，除了普通的Windows操作系统之外，这份进程列表当中还包含大量与密码生成器相关的信息，以下列出部分相关内容：　　Silence；　　Carbon；　　xmrig32；　　nscpucnminer64；　　cpuminer；　　xmr86；　　xmrig；　　xmr。　　墨滕斯写道，这套脚本还会检查与各类安全工具相关的进程。　　在参考ESET公司米甲·马利克发布的推文之后，墨滕斯还撰写了另一篇相关文章,，其中涉及采矿工具感染Linux服

3、务器的相关细节：　　向authorized_keys当中添加公钥。　　运行加密货币采矿工具。　　生成IP范围，使用masscan。　　a)利用“永恒之蓝”漏洞以入侵Windows主机，而后通过下载一个PE文件获取其恶意payload。　　b)通过Redis入侵Linux主机，并经由pic.twitter.com/IvWzU1jBqy自行获取恶意payload。　　这是一套bash脚本，用于将采矿程序推送至Linux设备当中，同时扫描互联网以寻找其它易受美国NSA“永恒之蓝”安全漏洞影响的其它Windows计算机。