cybersecurity

挖矿蠕虫 WannaMine:通过 NSA “永恒之蓝” 漏洞传播高级加密矿工

  • 浏览次数 10201
  • 喜欢 0
  • 评分 12345

外媒 2 月1 日报道,安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫,其利用与 NSA 相关的 EternalBlue (“ 永恒之蓝 ” )漏洞进行传播。据研究人员测试,WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统(包括 64 位版本和 Windows Server 2003),并使其设备性能明显下降。

wannamine-monero

CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响,比如由于如此高的 CPU 利用率,导致矿业公司的系统以及应用程序崩溃。

研究人员经过分析后发现 WannaMine 的恶意代码十分复杂,因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是:WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后,WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。

研究人员注意到,WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据,从而达到横向移动的目的,但如果不能够横向移动的话,WannaMine 将更依赖于 EternalBlue 的利用。

相关报告:

<Threat Hunting, the Investigation of Fileless Malware Attacks>

消息来源:Security Affairs,编译:榆榆,校审:FOX;

本文由 HackerNews.cc 编译整理,封面来源于网络;

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。

hackernews_foot