台灣為第三大受災區 逾50萬台淪為XMR挖礦 - 數位貨幣

新聞來源連結：
https://times.hinet.net/news/21421511

新聞本文：
ITHOME 2018/02/05 11:02
逾50萬台Windows伺服器淪為Monero挖礦機，台灣為第三大受災區

又有挖礦程式企圖利用Windows伺服器。安全研究公司名為Smominru
的殭屍網路程式感染超過50萬台連網Windows伺服器，利用它們來挖
Monero幣。而台灣則名列三大節點集中區。

Smominru又被稱為Ismo，它從2017年5月就開始在網路上利用美國國
家安全局（NSA）外流的攻擊工具EtnernalBlue，開採Windows漏洞
CVE-2017-0144散佈、入侵Windows 伺服器，然後利用受害機器來挖
Monero幣。才不過一個月前國安局才被影子掮客駭入公佈EnternalBlue
等多項攻擊工具。而WannaCry也是約莫同時利用EnternalBlue攻擊
全球上百萬電腦。

ProofPoint研究人員指出，Smominru最特殊的是它使用Windows
Management Infrastructure來散佈。他們根據Monero幣顯示的挖礦
算力（hash power）來判斷，被Smominru收編到殭屍網路的機器約是
去年5月為害的。攻擊者已經透過Smominru挖到將近8,900個Monero幣
，本周兌換美元價值約為280萬到360萬美元。它每天可以挖24個Monero
幣，等於每周賺進8,500美元。

研究人員利用sinkholing手法來分析殭屍網路規模及節點位置，
判斷Smominru感染了超過52.6萬台Windows主機以建立殭屍網路，
其中多半為伺服器，這些機器分佈各地，但密度最高地區依序為
俄羅斯、印度及台灣。（來源：ProofPoint）



ProofPoint相信至少有25座主機遭利用EnternalBlue感染新節點以
擴增殭屍網路，另外駭客也可能利用EsteemAudit (CVE-2017-0176 RDP)
漏洞散播。除了Windows Server，另有研究人員發現SQL Server也遭感染。
一家名為SharkTech的伺服器被用來代管殭屍網路的C&C伺服器，研究人員
已經通知該公司。

同時間研究人員也通知礦池MineXMR封鎖Smominru的Monero錢包地址。
數天後，研究人員研判背後的駭客組織已經喪失1/3殭屍網路的控制權。

比特幣及類似加密貨幣挖礦已經程式已經成為新一波安全危害。
除了Adylkuzz 、Smominru外，去年底也有攻擊者利用Apache Struts
漏洞入侵Windows及Linux伺服器來挖Monero幣。根據安全公司，2017年
起勒索軟體變種速度趨緩，許多原本用來散布勒索軟體的惡意網路開始
改為散佈金融木馬及挖礦程式。

評論：

不管你有沒有在挖礦，都可能正在挖礦
台灣資安千瘡百孔，到處都是洞。

--