Sysrv-Hello殭屍網絡
Sysrv-hello殭屍網絡是一個惡意項目,自2020年12月以來一直受到網絡安全研究人員的密切跟踪。此活動的犯罪分子旨在在受感染的Windows和Linux系統上安裝一個加密貨幣礦工,然後使用其硬件資源來挖掘Monero (XMR),一種注重隱私的加密貨幣。門羅幣在全球範圍內被用於各種不受歡迎的在線交易,網絡罪犯對盡可能多地積累信息表現出極大的興趣。
尤其是Sysrv-hello殭屍網絡並不追求常規的家用設備-而是將精力集中在企業服務器上,後者可能比普通計算機具有更多的處理能力。通過收集這些資源用於加密貨幣挖掘,犯罪分子可以賺取可觀的利潤–與Sysrv-hello Botnet運動相關的錢包之一具有12 XMR(約4,000美元)。但是,黑客很可能會使用許多其他身份不明的錢包來竊取錢財。儲存他們的戰利品。
好消息是,這種相當現代的加密貨幣挖礦操作不依賴零日漏洞,這可能是一個主要問題。取而代之的是,犯罪分子正在Linux和Windows服務器上掃描未修補的軟件,該軟件可通過可能已經存在數年的漏洞加以利用。 Sysrv-hello殭屍網絡嘗試利用的某些軟件包是PHPUnit,Oracle WebLogic,Apache Struts,Confluence,Laravel,Jira等。網絡管理員必須確保通過更新所有軟件包以及使用強密碼並遵循最佳安全做法來保護其係統。
在功能方面,Sysrv-hello殭屍網絡除了丟棄加密貨幣礦工有效負載外,並沒有做太多其他事情。就像其他此類殭屍網絡一樣,它還會在系統中掃描其他礦工實例並終止它們,以確保沒有其他犯罪分子會從受感染的服務器中獲利。例如,這種類型的更高級的項目往往掩蓋了惡意進程的硬件使用情況,因此掩蓋了一個未知服務正在使用80-90%的處理能力這一事實。以類似的方式,一些加密貨幣礦工在硬件資源監視工具打開後便立即暫停工作,這是避免被檢測到的另一種容易欺騙的方法。值得慶幸的是,Sysrv-hello殭屍網絡沒有做這種事情,並且知識淵博的系統管理員應該能夠通過手動刪除或使用信譽良好的防病毒軟件輕鬆地識別和緩解威脅。
