以太坊矿工受到Satori僵尸网络攻击

请点击此处输入图片描述

加密货币的价值不断上升无疑引诱了大批人群投资于风险资产类别,技术知情人员将先行一步建立他们自己的“采矿工具”。然而,黑客并不遥远,并且经常渗透计算系统为自己挖掘加密货币。

浏览器挖掘后,黑客瞄准矿工钻机

为了大大增加他们虚假获得的加密货币控股权,黑客将目标定位在全球范围内的以太坊矿工。可以理解的是,由于前者的处理能力较高,接管矿工对于黑客来说是一项重要的经济优势。

根据关于Bleeping Computers的报告,多名网络安全研究人员于2018年5月12日发现了一个以太坊矿工扫描Satori僵尸网络。该报告包括几条证据,表明成千上万物联网设备成为大规模攻击的受害者。

请点击此处输入图片描述

使用端口3333漏洞,黑客能够远程控制受害者的采矿设备。这个特定的端口允许矿工远程管理他们的设备。在2018年5月11日,Netlab的研究人员将端口漏洞与Satori僵尸网络联系起来,并通过推特告诫人们,声明:

你看到端口3333扫描流量增加吗? Satori僵尸网络现在正在扫描它,请参阅我们的Scanmon趋势https://t.co/TyrL4ryt6J,并尝试使用它现在使用的控制域之一的dns查找,挖掘任...

- 360 Netlab(@ 360Netlab)2018年5月11日

2018年5月12日不久之后,伦敦的GreyNoise Intelligence公布了他们的研究结果,显示只有Claymore的以太坊矿工受到影响,清除了受影响矿工程度的担忧。据公司证实,运行其他软件的矿工不受影响。

请点击此处输入图片描述

GreyNoise今天观察到TCP端口3333扫描流量的大幅增长。这是“Claymore”以太坊/ Decred加密货币矿工的默认端口。

- GreyNoise Intelligence(@GreyNoiseIO)2018年5月11日

Claymore广泛流行的采矿软件

他选择的挖掘软件黑客瞄准的是一个深思熟虑的决定,因为个人和企业都在使用Claymore双重挖掘软件来同时挖掘像以太币(ETH)和Decred这样的加密货币。

正如GreyNoise所述:

“一旦攻击者识别出运行Claymore软件的服务器,他们会按照指示重新配置设备,以加入”矮人“采矿池并使用攻击者的ETH钱包。”

正因为如此,黑客能够将矿工钱包的所有利润提取到他们的钱包中。然而,一位有经验的矿工可能会注意到这个谬误,并立即纠正这个问题。

墨西哥IP地址被追查为攻击来源

经过进一步调查,GreyNoise将袭击的起源追溯到特定的IP地址,所有这些地址都源自墨西哥。在僵尸网络攻击前几天,这些地址被报告为欺诈访问,这大概是为了让僵尸网络能够控制GPON路由器。 Netlab证实了这一说法:

“这个3333端口扫描的来源是大约17k个独立IP地址,主要来自位于墨西哥的Uninet SA de CV,telmex.com。”

这个消息通过论坛和社交媒体迅速传播,用户迅速加入搜索攻击者的行列。互联网风暴中心的研究人员Johannes Ullrich发现了受影响程序的具体细节,并发现使用Nanopool版本的Claymore软件来开发网络

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180521A0VESI00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券