成千上萬的希捷NAS設(shè)備主機(jī)cryptocurrency挖掘的惡意軟件，灰鴿子遠(yuǎn)程控制軟件

admin

成千上萬的希捷NAS設(shè)備主機(jī)cryptocurrency挖掘的惡意軟件，灰鴿子遠(yuǎn)程控制軟件

如果配置了遠(yuǎn)程訪問，設(shè)備暴露可寫的FTP目錄互聯(lián)網(wǎng)攻擊者可以濫用

數(shù)以千計的公開訪問FTP服務(wù)器，包括希捷網(wǎng)絡(luò)附加存儲設(shè)備很多，正在使用的犯罪分子托管cryptocurrency采礦惡意軟件。

從安全廠商Sophos的研究人員做出的發(fā)現(xiàn)時，他們被稱為調(diào)查瑪/礦工-C的惡意程序，它感染W(wǎng)indows計算機(jī)和劫持自己的CPU和GPU產(chǎn)生Monero，一個比特幣啟發(fā)cryptocurrency。

對于大多數(shù)cryptocurrencies，用戶可以通過他們的投入計算資源解決驗證網(wǎng)絡(luò)交易中需要復(fù)雜的數(shù)學(xué)問題，產(chǎn)生新的單位。這一過程，被稱為“挖掘”，提供激勵攻擊者劫持別人的電腦，并利用它們?yōu)樽约旱氖找妗?br />
比特幣采礦惡意曾經(jīng)是普遍若干年前，但作為cryptocurrency的網(wǎng)絡(luò)的增長，采礦變得更加困難，并使用個人計算機(jī)，其具有有限的計算資源，不再是有利可圖的。一些惡意軟件編寫者，像瑪/礦工-C的后面，現(xiàn)在已經(jīng)把注意力轉(zhuǎn)向新的cryptocurrencies，像Monero，更易于開采。

Sophos的研究人員發(fā)現(xiàn)，瑪/礦工-C沒有自動感染機(jī)制，而不是依靠用戶來執(zhí)行惡意程序。因此，它是通過下載，通過妥協(xié)的網(wǎng)站分布，還可以通過開放的FTP服務(wù)器。

攻擊者掃描的FTP服務(wù)器是從Internet訪問，并試圖與默認(rèn)和弱憑證或匿名賬戶登錄。如果成功的話，他們驗證它們在服務(wù)器上寫訪問，并在所有可用的目錄復(fù)制的惡意軟件。

這就解釋了為什么Sophos的統(tǒng)計超過170萬瑪/礦工-C檢測，在過去六個月約3000系統(tǒng)。大多數(shù)受影響的系統(tǒng)均是托管在不同的目錄中的惡意軟件的多個副本的FTP服務(wù)器。

研究人員使用了一種名為Censys互聯(lián)網(wǎng)的掃描引擎，以確定公眾的FTP服務(wù)器，允許具有寫權(quán)限的匿名訪問。他們發(fā)現(xiàn)這樣的7,263服務(wù)器，并確定其中的5137已經(jīng)污染瑪/礦工-C。

另一個有趣的發(fā)現(xiàn)是，許多這類的FTP服務(wù)器被希捷中央NAS設(shè)備上運(yùn)行。雖然這種惡意軟件威脅并沒有專門針對此類設(shè)備，事實證明，希捷中央的配置，使用戶更容易暴露不安全的FTP服務(wù)器到互聯(lián)網(wǎng)。

默認(rèn)情況下，希捷NAS中央系統(tǒng)提供數(shù)據(jù)共享公共文件夾，在Sophos研究人員在周五公布的一份文件說。這公用文件夾不能被禁用，如果設(shè)備管理員能夠?qū)υO(shè)備進(jìn)行遠(yuǎn)程訪問，將成為互聯(lián)網(wǎng)上的任何人訪問，他們說。

已被破壞馬爾/礦工-C FTP服務(wù)器包含兩個文件，名為Photo.scr和info.zip。 Photo.scr是一個Windows可執(zhí)行文件，但它的圖標(biāo)偽裝成一個Windows文件夾，誘騙用戶不小心執(zhí)行它。