门罗币XMR挖矿恶意软件正在利用希捷NAS设备进行传播

近日，Sophos专家发现了一种门罗币（Monero）XMR挖矿恶意程序Mal/Miner-C，Sophos称，2016年上半年已探测到超过170万的设备感染Mal/Miner-C恶意软件。 关于门罗币（XMR） XMR 是一种使用CryptoNote协议的虚拟币币种，并不是比特币的一个分支。CryptoNote 在2012年已经开发出来，当年已有Bytecoin使用CrytoNote技术，XMR是在2014年开发出来，可以预见CryptoNote技术已经 非常成熟，该技术通过数字环签名提供更好的匿名性。这一条件满足了暗网中的犯罪分子对匿名性更高的要求。 2016年8月底，全球最大的在线毒品交易市场AlphaBay在Reddit上宣称，自9月1日起，平台将支持一种超级匿名的加密货币Monero。 Monero词语是引自于世界语，在世界语中的含义表示为货币，诞生于2014年4月。Monero没有使用比特币的代码，而是基于CryptoNote协议。如上所述，这一协议最早由Nicolas van Saberhagen在2012年公布。 Monero与比特币有一些共同特征，比如挖矿和区块链都是核心机制，但它有几个重大改进，能帮助用户在线保持匿名。 比 特币用户通常使用单一的钱包地址，所有交易都会与它相关，对所有人可见。相比之下，Monero给每一笔交易都创建唯一地址，并生成私密的 viewkey（读取密匙），仅接收者及得到密匙的人能看到完整交易信息。理论上，政府不可能窥探到任何信息。Monero还会自动将一笔交易与其它同类 规模的交易混淆（mix coins），这又加了一层保护，让人无法从区块链中追踪。 Mal / Miner-C恶意软件通过FTP服务器扩散感染 安全公司Sophos的恶意软件研究人员发现并分析了一款新型的恶意软件Mal/Miner-C，旨在从受感染的设备中挖掘门罗币（XMR）。 专家还发现，新型恶意软件Mal/Miner-C正在利用希捷网络附加存储sh（network-attached storage），也就是NAS作为攻击向量。 但是，最有趣的特征还是 Mal/Miner-C 恶意软件通过FTP服务器来扩散自己。 研究者分析样本中包括一个称为tftp.exe,的模块，它能随机产生IP地址，并尝试利用预定义的登录凭证列表连接到IP地址中。 如果该恶意软件能够成功连接到FTP服务器中，它就会将自身复制到服务器中，并通过引用上传到服务器的恶意代码，注入代码会生成一个iframe框架，从而修改服务器内的html文件和php文件。 Sophos分析报告表示： “如 果嵌入式凭据能够成功连接到一个FTP服务器，它就会试图将它自己复制到服务器中，并修改现有的扩展名为.htm或.php的Web相关文件，企图进一步 感染主机的访问者。如果找到带有上述扩展名的文件，恶意软件将注入源代码，创建一个iframe，引用文件名为info.zip 或 Photo.scr. ”。 当未知用户访问被感染网站时，他将看到弹出一个“保存文件”的对话框，一旦受害者顺势下载并打开其中的恶意软件，他们的PC机便会感染Mal / Miner-C恶意软件。 从上面的过程可以看到，Mal/Miner-C并未采用自动感染机制，而是需要用户手动执行恶意程序。因此，它通过从被攻击网站以及开放服务器上的下载来传播。 Mal/Miner-C恶意程序感染情况 Sophos数据显示，2016年上半年已经探测到了超过170万的设备感染Mal/Miner-C恶意软件，在受感染的系统中，大多数是在多个目录下运行该恶意软件多个副本的FTP服务器。 专家们将调查重点放在寻找易受感染的设备上，他们使用了一款名为Censys的搜索引擎来扫描全球300万台FTP服务器。 随后研究人员尝试使用扫描脚本匿名连接到FTP服务器中，试图找到存在“ 写入权限的匿名FTP。 统计结果如下： 原始列表中的FTP服务器IP总数：2,932,833； 测试期间活跃的FTP服务器数：2,137,571； 允许匿名远程访问的活跃服务器数：207,110； 激活写入权限的活跃服务器数：7,263； 存在Mal/Miner-C恶意软件的服务器数：5,137； Mal-Miner-C-infections.jpg Mal/Miner-C恶意程序更易感染希捷Central NAS设备 Sophos 专家还注意到，这类FTP服务器大多都运行在希捷Central NAS设备上。这种特殊的NAS设备可以提供一个不能删除或无法禁用的公共文件夹来共享数据，攻击者将恶意软件上传至文件夹中，在用户发现文件夹的第一时 间运行恶意软件。此外，如果设备的管理员启用了通向设备的远程连接，这台设备就允许任何人从互联网接入。 专家还对此次网络犯罪活动背后的收益进行分析，确定此次通过受感染的设备进行开采门罗币所带来的收益大约有86000美元。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/