信息化觀察網(wǎng)

研究人員觸及Smominru命令與控制(C2)服務(wù)器，獲取被黑設(shè)備信息，探索攻擊規(guī)模。

最新Smominru迭代變種，一款帶蠕蟲功能的加密貨幣挖礦僵尸網(wǎng)絡(luò)，于今年8月席卷全球4,900家企業(yè)網(wǎng)絡(luò)。多數(shù)受影響主機為運行Windows Server 2008或Windows 7的小型服務(wù)器。

Smominru是可追溯至2017年的一個僵尸網(wǎng)絡(luò)，其變種也會被稱為Hexmen、Mykings等。這款僵尸網(wǎng)絡(luò)以投送的攻擊載荷之多而聞名，包括憑證竊取腳本、后門、木馬和一款加密貨幣挖礦機。

Carbon Black在今年8月記錄了Smominru的最新變種，稱該變種運用了多種傳播手段，包括2017年肆虐全球的NotPetya和WannaCry等勒索軟件蠕蟲用過的永恒之藍(EternalBlue)漏洞利用程序。該僵尸網(wǎng)絡(luò)還采用暴力破解和憑證填充攻擊各類協(xié)議，比如MS-SQL、RDP和Telnet，目的是獲得新機器的訪問權(quán)。

最近，安全公司Guardicore的研究人員得以訪問Smominru的一臺核心C2服務(wù)器。該服務(wù)器上存有受害者信息和憑證，使研究人員能夠收集有關(guān)被黑主機及網(wǎng)絡(luò)的信息，評估該僵尸網(wǎng)絡(luò)的影響。

數(shù)據(jù)揭示，Smominru感染了全球超過4,900個網(wǎng)絡(luò)中的約9萬臺主機，感染速率4,700臺/天。很多受害網(wǎng)絡(luò)中都有數(shù)十臺機器被黑。

受感染計算機數(shù)量最多的國家是中國、中國臺灣地區(qū)、俄羅斯、巴西和美國。據(jù)Guardicore介紹，Smominru攻擊不針對特定公司或行業(yè)，但美國受害者包含高等教育機構(gòu)、醫(yī)療企業(yè)，甚至網(wǎng)絡(luò)安全公司。

超半數(shù)(55%)受感染主機運行的是Windows Server 2008，約1/3(30%)運行的是Windows 7。這就比較有趣了，因為這些版本的Windows系統(tǒng)仍受微軟支持，還在接收安全更新。

既然用了永恒之藍漏洞利用程序，一般人都會認為運行老版本或不受支持版本W(wǎng)indows的主機更容易受影響。然而，到底多少系統(tǒng)是通過永恒之藍入侵的，又有多少主機是因弱憑證而被感染，如今仍未可知。

未打補丁的系統(tǒng)送出助攻

9月18日發(fā)布的報告中，Guardicore的研究人員寫道：未打補丁的系統(tǒng)使攻擊行動感染了全球無數(shù)主機，并在內(nèi)部網(wǎng)絡(luò)中擴散。因此，操作系統(tǒng)很有必要及時跟進當前可用軟件更新。

然而，打補丁說起來容易做起來難。所以，數(shù)據(jù)中心或公司內(nèi)部多應(yīng)用一些安全措施就非常重要了。想要維持良好的安全態(tài)勢，最好用網(wǎng)絡(luò)微分隔檢測潛在的惡意互聯(lián)網(wǎng)流量，以及限制暴露在互聯(lián)網(wǎng)上的服務(wù)器。

另外，受害主機中有1/4都被Smominru反復(fù)感染，反映出很多網(wǎng)絡(luò)的糟糕安全狀態(tài)。這表明很多企業(yè)試圖清除感染，但沒能恰當?shù)亟財喙敉緩?，沒從根源上解決問題。

多數(shù)遭感染主機的CPU核心數(shù)量在一到四個之間，屬于小型服務(wù)器行列。但其中200多臺擁有八個及以上核心，有一臺機器甚至有32個之多。

很不幸，這說明很多公司雖然花錢購置昂貴硬件，卻沒采取基本的安全措施，比如修復(fù)操作系統(tǒng)。

多個攻擊載荷的嚴重感染

由于該僵尸網(wǎng)絡(luò)具備蠕蟲功能，任何感染了Smominru的主機都可能對企業(yè)網(wǎng)絡(luò)造成嚴重威脅，而且，還不僅僅是加密貨幣挖礦。該威脅可部署大量攻擊載荷，并在受感染系統(tǒng)上創(chuàng)建多個后門以維持長期駐留，包括新的管理員用戶、計劃任務(wù)、Windows管理規(guī)范(WMI)對象、開機自啟服務(wù)和主引導(dǎo)記錄(MBR)rootkit。

根據(jù)Guardicore的分析，Smominru可下載并執(zhí)行近20個不同腳本和二進制攻擊載荷。該公司公布了詳細的入侵指標(IoC)列表，包括文件散列值、服務(wù)器IP地址、用戶名、注冊表鍵值等，還發(fā)布了用以檢測受感染主機的PowerShell腳本。