门罗币挖矿僵尸网络感染50多万台 Windows 计算机

翻译：360代码卫士团队

超过52.6万台 Windows 计算机（主要为 Windows 服务器）受门罗币挖矿软件的感染。其幕后组织操纵着迄今为止规模最大的门罗币挖矿僵尸网络。

研究人员在去年发现该组织的挖矿行为，多家公司已发布了相关报告。由于该僵尸网络规模巨大传播广泛，因此之前多数的报告仅涵盖其中一小部分挖矿活动。

最近发布关于起底该僵尸网络报告的是奇虎360 网络安全研究院 (NetLab)  （僵尸网络被命名为MyKings）和Proofpoint 公司（僵尸网络被命名为Smominru）。其它公司也发布了关于这款僵尸网络基础设施和行动的部分内容，包括GuardiCore、趋势科技、卡巴斯基、Panda Security 和 Crowdstrike 等，另外中国一些独立的研究员也发布了类似报告。

综合这些报告来看，Smominru 僵尸网络感染的计算机数量超过52万台并已为操控者牟利8900个门罗币（约折合230万美元）。

Smominru 的操纵者利用不同技术感染机器，其中主要依靠使用“永恒之蓝 (CVE-2017-0144)”利用代码，不过还部署了EsteemAudit (CVE-2017-0176)。这两个漏洞都是为了控制运行未修复的 Windows 操作系统的设备。

正如 GuardiCore 公司指出，该僵尸网络不仅针对 Linux 机器上的 MySQL 服务器，还针对 Windows 服务器上的 MSSQL 数据库。

GuardiCore 公司和369 NetLab 实验室都观测到，该组织在受感染主机上部署大量恶意软件，包括 Mirai DDoS 僵尸、后门等，尽管他们的主要是挖掘门罗币。

从通过 sinkholing 收集到的僵尸网络基础设施数据来看，多数受害者位于俄罗斯、印度、中国台湾、乌克兰和巴西。

虽然通过 sinkholing，Proofpoint 公司估算僵尸网络的规模约50万个僵尸，而360网络安全研究院的研究人员表示从不同的来源看，受感染的主机约为100万台。

GuardiCore 在此前发布的报告中表示，有强大的证据表明 Smominru 的操纵者来自中国大陆，而 Proofpoint 表示多数僵尸网络的IP扫描器是从 AS63199 （基于美国的网络）操作的。

Proofpoint 公司还指出，Smominru 目前是 Adylkuzz 僵尸网络规模的近两倍之大，后者是首个利用“永恒之蓝”漏洞的恶意软件家族（甚至早于 WannaCry），它也是门罗币挖矿僵尸网络。

上周本文作者报道了门罗币恶意软件成为互联网上的“霸屏”威胁。思科 Talos 团队本周发布报告证实，门罗币挖矿恶意软件正在取代勒索软件的地位，成为犯罪分子的新宠。

Coinhive DNS服务器因复用密码遭黑客接管用于挖掘门罗币

本文由360代码卫士编译，不代表360观点，转载请注明 “转自360代码卫士www.codesafe.cn”。

原文链接:

https://www.bleepingcomputer.com/news/security/smominru-botnet-infected-over-500-000-windows-machines/