国产精品久久久久电影,国产精品所毛片视频,亚洲欧美日韩中文字幕在线

門羅幣XMR挖礦惡意軟件正在利用希捷NAS設備進行傳播

責任編輯：editor005

作者：米雪兒

2016-09-19 14:53:34

摘自：FreeBuf.COM

近日，Sophos專家發現了一種門羅幣（Monero）XMR挖礦惡意程序Mal Miner-C，Sophos稱，2016年上半年已探測到超過170萬的設備感染Mal Miner-C惡意軟件。

近日，Sophos專家發現了一種門羅幣（Monero）XMR挖礦惡意程序Mal/Miner-C，Sophos稱，2016年上半年已探測到超過170萬的設備感染Mal/Miner-C惡意軟件。

關于門羅幣（XMR）

XMR是一種使用CryptoNote協議的虛擬幣幣種，并不是比特幣的一個分支。CryptoNote 在2012年已經開發出來，當年已有Bytecoin使用CrytoNote技術，XMR是在2014年開發出來，可以預見CryptoNote技術已經非常成熟，該技術通過數字環簽名提供更好的匿名性。這一條件滿足了暗網中的犯罪分子對匿名性更高的要求。

2016年8月底，全球最大的在線毒品交易市場AlphaBay在Reddit上宣稱，自9月1日起，平臺將支持一種超級匿名的加密貨幣Monero。

Monero詞語是引自于世界語，在世界語中的含義表示為貨幣，誕生于2014年4月。Monero沒有使用比特幣的代碼，而是基于CryptoNote協議。如上所述，這一協議最早由Nicolas van Saberhagen在2012年公布。

Monero與比特幣有一些共同特征，比如挖礦和區塊鏈都是核心機制，但它有幾個重大改進，能幫助用戶在線保持匿名。

比特幣用戶通常使用單一的錢包地址，所有交易都會與它相關，對所有人可見。相比之下，Monero給每一筆交易都創建唯一地址，并生成私密的viewkey（讀取密匙），僅接收者及得到密匙的人能看到完整交易信息。理論上，政府不可能窺探到任何信息。Monero還會自動將一筆交易與其它同類規模的交易混淆（mix coins），這又加了一層保護，讓人無法從區塊鏈中追蹤。

Mal / Miner-C惡意軟件通過FTP服務器擴散感染

安全公司Sophos的惡意軟件研究人員發現并分析了一款新型的惡意軟件Mal/Miner-C，旨在從受感染的設備中挖掘門羅幣（XMR）。

專家還發現，新型惡意軟件Mal/Miner-C正在利用希捷網絡附加存儲sh（network-attached storage），也就是NAS作為攻擊向量。

但是，最有趣的特征還是 Mal/Miner-C 惡意軟件通過FTP服務器來擴散自己。

研究者分析樣本中包括一個稱為tftp.exe,的模塊，它能隨機產生IP地址，并嘗試利用預定義的登錄憑證列表連接到IP地址中。

如果該惡意軟件能夠成功連接到FTP服務器中，它就會將自身復制到服務器中，并通過引用上傳到服務器的惡意代碼，注入代碼會生成一個iframe框架，從而修改服務器內的html文件和php文件。

Sophos分析報告表示：

“如果嵌入式憑據能夠成功連接到一個FTP服務器，它就會試圖將它自己復制到服務器中，并修改現有的擴展名為.htm或.php的Web相關文件，企圖進一步感染主機的訪問者。如果找到帶有上述擴展名的文件，惡意軟件將注入源代碼，創建一個iframe，引用文件名為info.zip 或 Photo.scr. ”。

當未知用戶訪問被感染網站時，他將看到彈出一個“保存文件”的對話框，一旦受害者順勢下載并打開其中的惡意軟件，他們的PC機便會感染Mal / Miner-C惡意軟件。

從上面的過程可以看到，Mal/Miner-C并未采用自動感染機制，而是需要用戶手動執行惡意程序。因此，它通過從被攻擊網站以及開放服務器上的下載來傳播。

Mal/Miner-C惡意程序感染情況

Sophos數據顯示，2016年上半年已經探測到了超過170萬的設備感染Mal/Miner-C惡意軟件，在受感染的系統中，大多數是在多個目錄下運行該惡意軟件多個副本的FTP服務器。

專家們將調查重點放在尋找易受感染的設備上，他們使用了一款名為Censys的搜索引擎來掃描全球300萬臺FTP服務器。

隨后研究人員嘗試使用掃描腳本匿名連接到FTP服務器中，試圖找到存在“ 寫入權限的匿名FTP。

統計結果如下：

原始列表中的FTP服務器IP總數：2,932,833；

測試期間活躍的FTP服務器數：2,137,571；

允許匿名遠程訪問的活躍服務器數：207,110；

激活寫入權限的活躍服務器數：7,263；

存在Mal/Miner-C惡意軟件的服務器數：5,137；

Mal/Miner-C惡意程序更易感染希捷Central NAS設備

Sophos專家還注意到，這類FTP服務器大多都運行在希捷Central NAS設備上。這種特殊的NAS設備可以提供一個不能刪除或無法禁用的公共文件夾來共享數據，攻擊者將惡意軟件上傳至文件夾中，在用戶發現文件夾的第一時間運行惡意軟件。此外，如果設備的管理員啟用了通向設備的遠程連接，這臺設備就允許任何人從互聯網接入。

專家還對此次網絡犯罪活動背后的收益進行分析，確定此次通過受感染的設備進行開采門羅幣所帶來的收益大約有86000美元。

惡意軟件 XMR NAS