新的惡意挖礦程序又來了……

在比特幣和區塊鏈風行的現今互聯網中，最不能忽視的一個詞可能就是挖礦了。而現在一種新形式的加密貨幣挖掘惡意軟體正在瞄準全球的企業網路，它採用PowerShell和EternalBlue的組合來悄悄傳播。

被稱為PowerGhost的無文件惡意軟體可以秘密地嵌入到網路上的單個系統上，進而傳播到區域網中的其他PC和伺服器。安全公司卡巴斯基實驗室的研究人員發現了密碼攻擊者，他們在全球的企業網路中發現了這一問題，印度，巴西，哥倫比亞和土耳其的感染率最高。PowerGhost也在歐洲和北美被發現。

挖礦惡意軟體秘密利用受感染系統的資源挖掘加密貨幣，然後發送到攻擊者的賬戶。被感染的機器越多，攻擊者可以獲得的非法利潤就越多。

攻擊者利用系統漏洞或Windows Management Instrumentation等遠程管理工具控制被感染機器，PowerGhost還使用無文件技術進行傳播，確保在網路上無法被追蹤到蹤跡。因為PowerGhost不會直接存儲在受感染機器的硬碟驅動器上，從而使其難以檢測。

PowerGhost本身是一個混淆的PowerShell腳本，其中包含用於礦工操作的附加模塊，例如mimikatz，它可以幫助它獲取受感染機器的帳戶憑據，以及用於部署臭名昭著的EternalBlue利用漏洞以在網路中傳播的shellcode。

EternalBlue是泄漏的NSA黑客工具，在泄漏的一年之後它繼續為WannaCry和NotPetya攻擊提供動力，仍被黑客使用。

在一台機器感染了PowerGhost後，EternalBlue可以將其傳播到網路中的其餘主機，然後在mimikatz的幫助下，它可以竊取憑據，幫助其傳播並允許使用CVE-2018-8120（該漏洞源於Win32k組件NtUserSetImeInfoEx函數內部SetImeInfoEx函數的沒有正確的處理內存中的空指針對象。攻擊者可利用該空指針漏洞在內核模式下以提升的許可權執行任意代碼。）升級許可權。

一旦PowerGhost嵌入到機器上，它就可以執行挖掘加密貨幣的任務 。針對消費者的目標不再是網路犯罪分子了，挖礦者現在已將注意力轉向企業，加密貨幣挖掘將成為對企業的巨大威脅。研究人員同時指出，PowerGhost的另一個版本也可用於進行DDoS攻擊，惡意軟體背後的人可能會將其作為其他非法收入來源的工具使用。

加密貨幣挖掘惡意軟體已經成為最受歡迎的網路犯罪分子賺錢手段之一，甚至超過勒索軟體獲取利潤（編者的公司曾被惡意軟勒索過比特幣）。

為了避免企業網路成為挖掘惡意軟體的犧牲品，研究人員建議運維人員不定期的更新軟體和安裝補丁包，以防止攻擊者利用EternalBlue等已知漏洞對系統進行攻擊。

還敦促企業不要忽視不太明顯的攻擊目標，例如隊列管理系統，POS終端和自動售貨機，因為這些系統不需要太高的軟體版本，不會經常更新升級，因此可以輕鬆利用這些經常被遺忘的低版本系統漏洞進行攻擊。

網路猶如戰場，攻防從來不會停止，我們能做的只有不停地修復漏洞，升級系統版本，以此降低被攻擊的風險。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！