NSA漏洞利用 WannaMine加密貨幣挖礦惡意軟體正攻擊Win2000以後所有版本

昨天，安全加報道了 3個泄露的NSA漏洞利用工具散播 ，Win2000至winserver2016所有版本受影響 。近日 安全研究人員警告說， 加密貨幣挖礦惡意軟體 WannaMine正在利用NSA永恆之藍 EternalBlue Windows SMB漏洞 進行傳播。

WannaMine加密貨幣挖礦惡意軟體利用NSA永恆之藍傳播

被稱為 WannaMine的 這個 加密貨幣 挖礦 惡意軟體 使用EternalBlue進行傳播，EternalBlue 是與 微軟發布補丁相關的一個月後，於2017年4月上市的與NSA相關的工具。

利用埠445上的Windows伺服器消息塊（SMB）中的一個漏洞，這個漏洞因為 WannaCry 勒索軟體而 成名 。 其他惡意軟體家族也在濫用，包括 殭屍網路 ，後門， NotPetya 和 銀行木馬 。

現在，同樣的漏洞被用來傳播WannaMine，這是一種專註於 門羅幣 Monero加密貨幣挖掘的惡意軟體，但是它使用了複雜的功能，例如類似於民族國家行為者所使用的持久性和分發機制，CrowdStrike 說：

WannaMine使用「 living off the land 」的技術來實現持久性，比如Windows Management Instrumentation（WMI）永久事件訂閱。 該惡意軟體具有無文件的性質，利用PowerShell進行感染，如果你沒有適當的安全工具就很難阻止。

https://www.crowdstrike.com/blog/cryptomining-harmless-nuisance-disruptive-threat/

WannaMine比其他加密貨幣挖礦惡意軟體可以攻擊Win2000以後所有版本

惡意軟體使用憑證收割機Mimikatz獲取合法的憑據，使其能夠傳播並實施 橫向移動攻擊 。 但是，如果失敗了，蠕蟲會通過永恆之藍EternalBlue嘗試利用遠程系統。

為了實現持久性，WannaMine設置永久事件訂閱，每90分鐘執行一次位於事件使用者中的PowerShell命令。

惡意軟體可以攻擊的Windows版本包括所有客戶端版本，包括從Windows 2000開始的所有Windows32位及64位版本，還可以攻擊Windows Server 2003。但是，它為Windows Vista和更新的平台迭代使用不同的文件和命令。安全公司指出。

「雖然WannaMine所展示的戰術、技術和過程（TTPs）並不需要高度複雜，但攻擊的背後有民族國家和eCrime威脅行動者的支持。CrowdStrike預計，這些攻擊者將繼續發展他們的能力，以求躲避追蹤

一旦被WannaMine感染 有可能損壞硬體

正如Sophos 指出的那樣，在他們的網路中發現WannaMine惡意軟體的組織，也面臨其他惡意軟體（包括 勒索軟體）的風險。在一次遭到入侵的計算機上發現多個惡意軟體系列並不罕見。

WannaMine設計用於挖掘門羅幣Monero，而不是竊取用戶信息或加密硬幣，WannaMine仍然會減慢受感染的機器。 當設備變熱時，如果惡意軟體連續運行數小時，筆記本電腦甚至可能會被損壞。 Sophos還指出，電池的耗電速度比平時更快。

防病毒應用程序應該保護用戶不受此惡意軟體家族的侵害。請廣大用戶 隨時保持系統更新，同時並使用強密碼也有助於避免WannaMine感染。

本文由：securityWeek 發布，版權歸屬於原作者。

如果轉載，請註明出處及本文鏈接：

http://toutiao.secjia.com/wannamine-malware-minerware

推薦閱讀：