圖片來源: 

Proofpoint

NSA被竊駭客工具後患無窮。駭客團體影子掮客公佈NSA發展的駭客工具被用作勒贖軟體WannaCry發動全球攻擊,不過周一安全公司Proofpoint指出,同樣的工具其實早在前幾周,就被用來感染更多電腦,以便透過挖礦賺取加密貨幣。 

WannaCry使用的攻擊工具,包括Eternalblue及DoublePulsar,其實都是在4月隨著影子掮客公佈 NSA檔案而公諸於世。其中EternalBlue開採Windows TCP 445通訊埠的Server Message Block (SMB)漏洞,以入侵有漏洞的連網PC。而NSA開發的後門程式DoublePulsar,這次則是被WannaCry用來植入受害電腦中。 

不過安全公司Proofpoint發現,其實早自4月24日到5月2日之間還有另一樁攻擊,也是使用Eternalblue和DoublePulsar來植入加密貨幣挖礦工具Adylkuzz。 

研究人員初步估計這樁攻擊沒有勒贖訊息因而不為人知,但其實規模更甚Wanna,影響全球數十萬台PC及伺服器。 

研究人員發現,全球有20多台虛擬主機掃瞄網路上開啟的TCP 445通訊埠以尋找目標。之後以EternalBlue成功開採漏洞、並植入DoublePulsar後門程式,後者再從另一台主機下載、執行Adylkuzz。Adylkuzz開始執行後(下圖,來源:Proofpoint),就會切斷SMB連線,然後判斷受害者電腦的IP位置,下載挖礦指令、挖礦軟體及清除工具。研究人員相信網路上執行Adylkuzz指令及挖礦二進位程式、挖礦指令的C&C伺服器也超過20台。 

駭客利用Adylkuzz挖取也十分受歡迎的加密貨幣Monero,這個新興貨幣近來因為獲得暗網上交易黑市AlphaBay的採用而普及。挖礦十分耗運算效能,但挖礦者可以因此獲得7.58 Moneros或約205美元的報酬。 

被植入Adylkuzz而被納編為挖礦傀儡網路的PC會出現無法存取網路芳鄰,以及PC和伺服器效能下降等癥狀。許多大型企業昨日通報為WannaCry的攻擊,其實來自早先這樁攻擊。 

但有趣的是,由於這「攻擊」會關閉SMB網路連線,以切斷之後惡意程式(包括WannaCry蠕蟲),透過同一漏洞進行感染,因此事實上它還有助於縮小WannaCry感染的範圍。 

NSA及中情局(CIA)被洩露的攻擊工具接二連三造成全球PC用戶受害,也引來微軟炮轟,指政府蒐集軟體漏洞資訊開發攻擊工具卻不慎外流,就如同美國軍方戰斧飛彈失竊一樣危險。


Advertisement

更多 iThome相關內容