最新Smominru僵尸网络变种揭密

研究人员触及 Smominru 命令与控制 (C2) 服务器，获取被黑设备信息，探索攻击规模。

最新 Smominru 迭代变种，一款带蠕虫功能的加密货币挖矿僵尸网络，于今年 8 月席卷全球 4,900 家企业网络。多数受影响主机为运行 Windows Server 2008 或 Windows 7 的小型服务器。

Smominru 是可追溯至 2017 年的一个僵尸网络，其变种也会被称为 Hexmen、Mykings 等。这款僵尸网络以投送的攻击载荷之多而闻名，包括凭证窃取脚本、后门、木马和一款加密货币挖矿机。

Carbon Black 在今年 8 月记录了 Smominru 的最新变种，称该变种运用了多种传播手段，包括 2017 年肆虐全球的 NotPetya 和 WannaCry 等勒索软件蠕虫用过的永恒之蓝 (EternalBlue) 漏洞利用程序。该僵尸网络还采用暴力破解和凭证填充攻击各类协议，比如 MS-SQL、RDP 和 Telnet，目的是获得新机器的访问权。

最近，安全公司 Guardicore 的研究人员得以访问 Smominru 的一台核心 C2 服务器。该服务器上存有受害者信息和凭证，使研究人员能够收集有关被黑主机及网络的信息，评估该僵尸网络的影响。

数据揭示，Smominru 感染了全球超过 4,900 个网络中的约 9 万台主机，感染速率 4,700 台/天。很多受害网络中都有数十台机器被黑。

受感染计算机数量最多的国家是中国、中国台湾地区、俄罗斯、巴西和美国。据 Guardicore 介绍，Smominru 攻击不针对特定公司或行业，但美国受害者包含高等教育机构、医疗企业，甚至网络安全公司。

超半数 (55%) 受感染主机运行的是 Windows Server 2008，约 1/3 (30%) 运行的是 Windows 7。这就比较有趣了，因为这些版本的 Windows 系统仍受微软支持，还在接收安全更新。

既然用了永恒之蓝漏洞利用程序，一般人都会认为运行老版本或不受支持版本 Windows 的主机更容易受影响。然而，到底多少系统是通过永恒之蓝入侵的，又有多少主机是因弱凭证而被感染，如今仍未可知。

未打补丁的系统送出助攻

9 月 18 日发布的报告中，Guardicore 的研究人员写道：未打补丁的系统使攻击行动感染了全球无数主机，并在内部网络中扩散。因此，操作系统很有必要及时跟进当前可用软件更新。

然而，打补丁说起来容易做起来难。所以，数据中心或公司内部多应用一些安全措施就非常重要了。想要维持良好的安全态势，最好用网络微分隔检测潜在的恶意互联网流量，以及限制暴露在互联网上的服务器。

另外，受害主机中有 1/4 都被 Smominru 反复感染，反映出很多网络的糟糕安全状态。这表明很多企业试图清除感染，但没能恰当地截断攻击途径，没从根源上解决问题。

多数遭感染主机的 CPU 核心数量在一到四个之间，属于小型服务器行列。但其中 200 多台拥有八个及以上核心，有一台机器甚至有 32 个之多。

很不幸，这说明很多公司虽然花钱购置昂贵硬件，却没采取基本的安全措施，比如修复操作系统。

多个攻击载荷的严重感染

由于该僵尸网络具备蠕虫功能，任何感染了 Smominru 的主机都可能对企业网络造成严重威胁，而且，还不仅仅是加密货币挖矿。该威胁可部署大量攻击载荷，并在受感染系统上创建多个后门以维持长期驻留，包括新的管理员用户、计划任务、Windows 管理规范 (WMI) 对象、开机自启服务和主引导记录 (MBR) rootkit。

根据 Guardicore 的分析，Smominru 可下载并执行近 20 个不同脚本和二进制攻击载荷。该公司公布了详细的入侵指标 (IoC) 列表，包括文件散列值、服务器 IP 地址、用户名、注册表键值等，还发布了用以检测受感染主机的 PowerShell 脚本。

Carbon Black 报告：

https://www.carbonblack.com/2019/08/12/cb-tau-threat-intelligence-notification-smominru-botnet-leverages-new-attack-techniques/

Guardicore 报告：

https://www.guardicore.com/2019/09/smominru-botnet-attack-breaches-windows-machines-using-eternalblue-exploit

Smominru GitHub 页面：

https://github.com/guardicore/labs_campaigns/tree/master/Smominru

声明：本文来自安全牛，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。