首页
学习
活动
专区
工具
TVP
发布

黑吃黑:CPU窃贼之间毫无道义可言

编写恶意软件以挖矿加密货币的不法分子已开始编写代码,将竞争对手赶出已中了招的计算机。

SANS互联网风暴中心的安全顾问泽维尔•默滕斯(Xavier Mertens)最先注意到了这个矿工(https://isc.sans.edu/forums/diary/The+Crypto+Miners+Fight+For+CPU+Cycles/23407/)。Martens在3月4日发现了PowerShell脚本,注意到它杀死了在目标机器上发现的其他任何耗用CPU资源的进程,他写道:“争夺CPU周期的好戏开始上演了!”

在感染机器之前,脚本检查目标机器是32位系统还是64位系统,然后下载名为hpdriver.exe或hpw64的文件(它们佯称是某种惠普驱动程序)。这两个文件已被查毒网站VirusTotal识破,标为是恶意文件。

如果安装成功,攻击脚本会列出正在运行的进程,杀死它不喜欢的任何进程。

默滕斯特别指出,除了普通的Windows进程外,被打有死亡标记的进程列表还包括与加密货币矿工有关的许多进程,下面列出了其中一些进程。

默滕斯写道,该脚本还检查与安全工具有关的进程。

如果你是Linux管理员,默滕斯的下一篇文章(https://isc.sans.edu/forums/diary/Malicious+Bash+Script+with+Multiple+Features/23411/)也值得一看。他关注了ESET的迈克尔•马利克(Michal Malik)发布的这则推文。

配图文字:

...

1)将公钥添加到authorized_keys(授权的密钥)

2)运行加密货币矿工

3)生成IP地址范围,使用海量端口扫描工具masscan

3a)攻击易受EternalBlue攻击的Windows主机,然后有效载荷下载一个PE文件

3b)通过Redis及安装到目标系统上的下载文件攻击Linux主机

这是一个bash脚本,试图将矿工植入到Linux机器上,并且扫描互联网,寻找易受NSA EternalBlue攻击的Windows机器。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180306G0WPMA00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券