認識Smominru，這是壹種可能會竊取您的憑據的危險惡意軟件

您可以說Smominru蠕蟲不是那裡最廣為人知的網絡威脅。實際上，它確實引起了一些關注，主要是來自網絡安全專家，但是總的來說，它沒有像Trickbot這樣頻繁地在新聞中被提及。儘管如此，在過去的三年中，它一直困擾著全球的Windows用戶，最近，Guardicore的研究人員決定仔細研究一下它的發展情況。他們的發現相當令人驚訝。

專家們設法訪問了該惡意軟件的核心Command＆Control（C＆C）服務器之一併讀取了日誌。他們發現，僅在8月份，Smominru就感染了多達90,000台Windows設備。每天平均有4700台計算機和服務器。

像大多數此類威脅一樣，Smominru也不針對特定的用戶或組織。該蠕蟲感染了計算機，這些計算機屬於在各個不同領域工作的各種公司。中國，台灣，俄羅斯，巴西和美國在8月記錄了最多的受害者，Guardicore說，受感染的設備大多數是小型服務器。

總而言之，儘管Smominru可能不是最知名的惡意軟件家族，但它似乎比其一些知名競爭對手更活躍，並且顯然正在影響大量用戶。怎麼樣了

簡單的技術和古老的漏洞是Smominru成功的根源

Smominru有兩種感染新主機和在網絡中橫向移動的方式。它要么強行使用RDP和Telnet等Windows服務，要么使用稱為EternalBlue的東西。

蠻力攻擊可以說是黑客庫中最簡單的工具。不幸的是，由於人們傾向於使用相同的弱密碼，因此它通常也是最有效的密碼之一。在Smominru的情況下，一些配置錯誤會有所幫助。

RDP和Telnet是舊的網絡協議，具有更現代，更可靠的替代方案。如今，並沒有多少人使用它們，儘管如此，仍有相當多的系統管理員讓它們運行。將其與保護它們的弱密碼（或默認密碼）結合使用，您將看到Smominru這樣的威脅如何輕鬆地在網絡中傳播。

相同的疏忽是Smominru第二個感染媒介：EternalBlue的核心。 EternalBlue是據稱由NSA開發的一種利用程序，它利用了特定的Windows漏洞。它於2017年4月洩露，而且功能如此強大，以至於Microsoft放棄了它的工作，並發布了已達到支持終止的系統的補丁. 儘管如此，在同年的5月和6月，EternalBlue被用於過去十年中兩次最嚴重的網絡攻擊-WannaCry和NotPetya勒索軟件爆發。

您可能認為用戶，尤其是負責公司服務器的用戶，現在應該已經對其係統進行了修補，但可悲的是，情況並非如此。

實際上，八月份的Smominru感染的所有計算機中有85％在Windows 7或Windows Server 2008 R2上運行，這表明人們仍在使用過時的軟件。而且，即使對於這些較舊的版本也有可用的補丁程序，用戶只是不想應用它們。 Guardicore報告說，Smominru在最初被發現和刪除的機器上記錄了25％的再次感染率。

總而言之，Smominru感染新主機的速度令人印象深刻，這不僅取決於其操作員的技能和成熟程度。用戶和系統管理員都表明，這更多地與不遵循最基本的網絡安全良好做法有關。

Smominru支持加密挖礦和憑證盜竊

一旦Smominru在新計算機上找到了自己，它將首先著手在具有管理權限的系統上創建新用戶。有了這個，蠕蟲就可以在所有受感染的主機上執行全部操作。

Guardicore的專家指出，他們觀察到的樣本似乎對競爭對手的產品特別有敵意。成功感染後不久，Smominru會終止進程，刪除文件和計劃的任務，並還原與其他惡意軟件系列相關的註冊表更改。然後，它阻止了某些網絡端口，以降低其他攻擊者破壞同一主機的機會。

顯然，Smominru運營商不想共享贓物，當您看到所說的贓物是什麼時，您幾乎不會感到驚訝。一年多以來，Smominru幫派一直在使用受感染主機的硬件資源來挖掘名為Monero的流行加密貨幣，但是根據Guardicore的報告，有效負載現在包括名為Mimikatz的滲透測試工具，可以竊取用戶名，密碼和其他個人信息。確實，當他們在查看Smominru的C＆C中的日誌時，研究人員注意到相當多的竊取登錄憑據。

談到C＆C，專家們還指出，Smominru的運營商已經建立了相當認真的後端基礎架構。至少設置了20個C＆C服務器，其唯一目的是控制蠕蟲。他們中的大多數都位於美國，但在馬來西亞和保加利亞也有一些地方，這意味著要降低整個行動的難度將非常大。

這意味著用戶和系統管理員可能應該再看看他們的網絡配置和更新策略，並查看他們的系統是否容易受到Smominru攻擊。