鲁达 网络安全公司Guardicore于近日发文称,他们自2017年以来一直在追踪Smominru僵尸网络,包括它的两个变种:Hexmen和Mykings。
有所了解的小伙伴应该知道,Smominru除了可以通过“永恒之蓝(EternalBlue)”漏洞传播,也能够通过暴力破解各种服务(包括MS-SQL、RDP、Telnet等)进行传播。
一旦它获得了对受感染设备的访问权限,就会尝试删除其他“竞争对手”、窃取受害者的账号和密码以及下载并安装门罗币矿工,并尝试借助蠕虫模块传播到处于同一网络下的其他设备上去。
在去年年初,Smominru就曾被报道感染了超过52.6万台设备,并通过挖掘门罗币获利230万美元。
Smominru最新受害者统计
据Guardicore发布的一份最新报告显示,Smominru僵尸网络目前仍然非常活跃,仅在上个月就感染了9万台设备。
图1.Smominru受害者统计数据
其中,受感染最严重的国家和地区包括中国、中国台湾、俄罗斯、巴西和美国(受感染设备都在1000台以上),主要是高等教育机构、医疗公司,甚至是网络安全公司。
图2.受感染设备分布情况
Windows7和Windows Server 2008仍然是受感染最严重的操作系统(约占所有感染系统的85%),这主要来源于网上有适合它们的“永恒之蓝”漏洞利用程序。
其他受感染操作系统还包括Windows Server 2012、Windows XP和Windows Server 2003,一些比较老旧的操作系统。
图3.受感染系统类型统计数据
虽然受感染的设备主要是一些小型服务器,但一些大型服务器也没有能够幸免。Guardicore表示,在他们发现的受感染服务器中,有200多台配置的都是8核以上的CPU。
图4.受感染服务器的CPU数量统计
Smominru的攻击流程
在感染设备后,Smominru就将下载用于传播到其他设备上去的蠕虫下载程序(u.exe)、MBR rootkit(max.exe)和一款名为“PcShare”的远程管理软件(u)。
图5.Smominru的攻击流程图
PcShare包含许多远程访问木马(RAT)功能,如信息窃取、命令执行、屏幕截图以及下载其他恶意软件等。Guardicore认为,PcShare主要被Smominru僵尸网络用来下载门罗币矿工。
如何检测和预防Smominru?
Guardicore发布了一个PowerShell脚本(下载地址:gi),可以用来检测自己的设备是否已经感染了Smominru病毒。
图6.在cmd下运行Guardicore的检测脚本
或者,你也可以通过检查如下文件是否存在,以此来判定是否已经被感染。
C:\Windows\Debug\i C:\ProgramFiles\Common Files\x C:\ProgramFiles\common Files\x鉴于Smominru是通过“永恒之蓝(EternalBlue)”漏洞和暴力破解各种服务(包括MS-SQL、RDP、Telnet等)来进行传播的,因此建议大家及时安装相应的补丁并使用相对复杂的密码。