趨勢科技偵測到一個惡意軟體: Trojan.PS1.LUDICROUZ.A用多種感染方式,擴散門羅幣挖礦程式到更多的系統和伺服器。該挖礦病毒在今年初現身中國,原先的感染方式是用弱密碼及pass-the-hash(傳遞雜湊)技術,還有經由Windows管理工具與公開原始碼進行暴力破解攻擊, 。在日本發現的這起新案例會用EternalBlue(永恆之藍) 漏洞攻擊及PowerShell來入侵系統並躲避偵測。
看起來攻擊者正在將此殭屍網路擴展到其他國家;趨勢科技發現在台灣、日本、香港、越南、印度及澳洲都發現了此威脅。
趨勢科技發現這個惡意軟體非常複雜,專門設計成感染更多的電腦,而且可以不會馬上被偵測到。它會利用電腦系統和資料庫的弱密碼,針對企業可能仍在使用的老舊軟體,使用會在記憶體內下載和執行組件的PowerShell腳本,攻擊未修補的漏洞以及使用Windows的啟動資料夾和任務排程進行安裝。
鑑於PowerShell的日漸普及加上有越來越多公開可用的開放程式碼,可以預期會看到更加複雜的惡意軟體。雖然收集系統資訊並送回C&C與直接竊取個人身份資料相比可能顯得微不足道,但系統資訊對機器來說是獨一無二的,可以用來追蹤識別使用者及其活動。
呼籲企業儘早更新系統, 使用複雜密碼, 並應用可以從閘道到端點主動封鎖這些威脅和惡意網址的多層次保護系統。
主要散播方式是利用弱密碼登入連接網路的其他電腦
這個惡意軟體(趨勢科技偵測為Trojan.PS1.LUDICROUZ.A)的主要散播方式是利用弱密碼登入連接網路的其他電腦。它不會直接將自己複製到連接的系統,而是透過遠端命令來變更中毒電腦的防火牆和端口轉發設定,建立排程來下載並執行更新的惡意軟體。下載的PowerShell腳本會執行:
繼續閱讀
