Cryptojacking网络犯罪比赛
宏碁的Chromebook 11 N7是钉子的艰难,但在旧科技上运行
澳大利亚的国民支付系统将缓解对等付款方式
如何躲避那些黑色星期五和网络星期一购物黑客
NCSC说,了解英国防守的网络威胁关键
AWS试图通过新服务免受DDOS攻击的保护
报告称,移动应用程序缺陷是工业IT系统的风险
与福特,亚马逊的Alexa击中了这条路
Fitbit Scoops Up竞争对手健身跟踪器制造商鹅卵石
区块链如何保护IOT
选择委员会强调Brexit对漫游和数据保护的影响
更新:朋友不要让朋友买假苹果充电器
2016年企业计算的顶级趋势:容器,机器人,A.I.和更多
案例分析:网络轨使用云以获得其数字数据保存计划的轨道
用Rei和CRM冒险进入未知
IT服务巨头面临着IOT市场的利基球员面临艰难的挑战
俄亥俄州计算机程序员面临着6次监控数千台电脑的刑事指控
为什么Microsoft向Windows Server支持添加了6年
CIO采访:Aaron Powell,CDO,NHS血液和移植
未受保护的Kubernetes游戏机将公司暴露在加密杂志中
警察ICT公司聘请Ian Bell担任首席执行官
雅虎报告了涉及10亿账户的大规模数据违约
阿里巴巴与新加坡大学队伍安达利
Marissa Mayer,Altaba,以及未来可能持有的内容
议会报告称,威尔士的健康和护理必须利用技术
AI在Cyber​​ Security表示,AI正在迈向网络安全性
优步承认其自驾车有自行车车道
当Apple对中国看门狗作出反应时,iPhone突然关闭问题扩展
Ransomware组已删除超过10,000个MongoDB数据库
Windows 10在使用中看到轻微的上升,但即,边缘继续下降
Druva使用AWS云到云备份计划维护云课程
超快速宽带可提供95%的国家
谷歌Wifi评论综述
killdisk演变为勒索瓶
Malwarebytes说,加密是顶级攻击类型
缩版者试图在MacBook Pro短缺上兑现
许多英国公司不适用于处理云安全风险
IT优先事项2018:数据保护在GDPR之前的首要任务
CIO采访:Matthew Wallbridge,克罗伊登委员会ICT负责人
研究发现,英国技术薪水落后于美国主要城市
Nakivo虚拟备份的EMEA的理想标准标准
有表面形式形式RT和Surface 2被赠送给牧场吗?
零售银行法规袭击了英国,潜在的“大爆炸”时刻
电子邮件攻击和事件检测最高安全挑战
国防部宣布新的CIO
亚马逊取代了AI和计算机学习的收银员
英特尔推出了它的optane超快速记忆
爱沙尼亚希望为数字游牧民族推出特殊签证
Tech Tech对帮助解决犯罪,警察部长表示至关重要
根据添加富有表现力代码的同时,键盘2.1 UPS易用性
您的位置:首页 >科技 > 物联科技 >

Cryptojacking网络犯罪比赛

2021-07-30 20:44:15 [来源]:

非法加密货币挖掘或加密杂乱已经受到网络犯罪分子的欢迎作为资助其运营的简单方法,因为数字货币的使用和价值增加。

该攻击通常涉及用于在目标系统上安装合法密码发电挖掘软件的恶意软件,并将生成的数字硬币发送到由犯罪分子控制的钱包。

企业已被敦促在密码附近作为安全漏洞的标志,并避免降级计算性能,处理器倦怠和增加的电力消耗。

根据安全公司Imperva的研究人员,新发现的加密技术和能力在逃避技术和能力方面更复杂,并使预示着针对数据库服务器和应用服务器的新一代Crytojacking攻击。

该攻击被称为rediswannamine,因为它由开源Redis内存中的内存数据结构存储和Wandacry使用的EternalBlue漏洞提供支持。

RedisWannamine演示了一种类似蠕虫的行为,结合高级漏洞,以提高攻击者的感染率和硬币发电能力。

“简而言之,Cryptojacking攻击者已经开始了他们的游戏,他们在一分钟内得到了疯狂,”研究人员在博客帖子中写道。

它们通过Imperva的Web应用程序传感器检测到的远程执行(RCE)追踪rediswannamine。

攻击中使用的shell脚本文件是一个下载程序,它类似于从外部位置下载加密矿工恶意软件的旧加密下载器,但研究人员表示,下载者与其他任何其他人不同看到。

首先,脚本使用Linux标准包管理员(如APT和YUM)安装很多包,研究人员认为是使其自给自足并能够在没有受害者机器上的当地图书馆进行操作。

其次,脚本从Github存储库下载一个名为MassCan的公开工具,然后编译并安装它。Masscan被描述为“TCP端口扫描仪,异步喷射SYN数据包,扫描5分钟内的整个互联网”。

第三,该脚本推出另一个进程,名为“redisscan.sh”,它使用MassCan工具发现和感染公开的Redis服务器。研究人员说:“它通过创建大型的IPS,内部和外部和扫描端口6379来实现这一目标,这使得这是默认的收听港口。”

如果列表中的一个IPS是公开可用的,则该脚本将启动“rediSrun.sh”进程以使其与相同的加密恶意软件(“transfer.sh”)感染它。

“使用先前安装的下载器的Redis-CLI命令行工具进行了感染,运行”RUNCMD“有效载荷,”研究人员表示。

“runcmd”有效载荷是一个10行的redis命令脚本,在redis server crontab目录中创建新条目,因此在检测到恶意软件和删除恶意软件时感染服务器并获得持久性。

脚本完成REDIS扫描后,研究表明它启动了另一个名为“EBSCAN.SH”的扫描过程,该过程使用MassCan工具使用MassCan工具使用SMB(服务器消息块)协议的易受攻击的版本来发现和感知公共可用的Windows服务器。

研究人员说:“它通过创建一个大型的IPS,内部和外部和外部,以及扫描端口445来实现这一目标,”这是一个是SMB的默认收听端口。“

美国国家安全局(NSA)使用了SMB漏洞,该脚本是扫描,被美国国家安全局(NSA)为创建永恒的蓝色开发程序,这是2017年5月在2017年5月开展全球武装袭击的永恒蓝漏。

当脚本找到一个易受攻击的服务器时,它会启动“ebrun.sh”进程来感染它,然后在易受攻击的计算机中运行永恒蓝色漏洞的Python实现,然后将文件“x64.bin”丢弃。

删除的文件创建并运行名为“poc.vbs”的恶意vbscript文件,该文件下载从外部位置可执行的加密Malware,将其保存在漏洞服务器中作为“AdmacienceInit.exe”并运行它。

Imperva研究人员表示,鉴于他们的发现,企业应该:

保护Web应用程序和数据库,因为初始攻击向量是通过Web应用程序漏洞引入的,以及由Web应用程序防火墙(WAF)保护的正确修补的应用程序或应用程序应该是安全的。确保通过应用一个简单的防火墙规则,他们不会将redis服务器公开到世界。确保他们没有使用漏洞的SMB版本运行机器。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。