IT之家 5 月 28 日消息,微软于 5 月 26 日发布研究报告, 称一场加密挖矿攻击正瞄准全球高性能 Windows 11、Windows 10 电脑。 在诱导方面,微软称攻击者针对高性能电脑,伪装成 CrystalDiskInfo、HWMonitor、Display Driver Uninstaller、FurMark、K-Lite Codec Pack 和 PDFgear 等常用软件。 微软称,用户搜索这些工具后,可能先看到被 SEO 投毒推高排名的恶意链接。还有 4 月的部分报告显示,用户向 AI 助手询问软件下载建议后,生成结果里也出现了攻击者域名。 恶意下载包以 ZIP 压缩文件形式分发,托管在 gleeze [.]com 的子域名上。微软指出,这个压缩包会同时包含真实工具的合法可执行文件,以及一个会被自动加载的恶意 DLL。 用户启动看似正常的软件后,恶意 DLL 随即调用 msiexec.exe ,安装伪装成 vcredist_x64.dll 的 ScreenConnect 远程访问组件,从而让攻击者拿到后续控制权。 拿到远程会话后,攻击者会投放名为 SimpleRunPE.exe 的安装文件,运行后会把自己复制成 RuntimeHost.exe ,并藏进资源管理器中默认不显眼的位置,随后在多个 Windows 自启动位置建立 6 套持久化机制。 部分情况下,这个程序还会通过恶意 PowerShell 脚本落地,并保存为 vlc.exe ,借此冒充 VideoLAN 播放器的可执行文件,降低用户警觉。 为了隐藏行为,这个样本还会使用进程镂空技术,把恶意代码塞进微软签名的 .NET 工具里运行,包括 InstallUtil.exe 。 它还会调用 PowerShell,把自身路径和进程加入微软 Defender 排除列表。与此同时,恶意程序会检查虚拟机环境,并扫描 40 个分析工具进程名,一旦发现就立即退出。 在隐藏阶段完成后,攻击链会下载并执行 3 种矿工模块之一,分别是 gminer、lolMiner 和 SRBMiner-MULTI,这 3 款程序都面向 GPU 挖矿。 IT之家附上参考地址 From poisoned search results to GPU mining: A cryptojacking campaign abusing ScreenConnect and Microsoft .NET utilities
今天早上登录服务器(宝塔面板)发现CPU 100%,以为是刚登录比较卡而已,过了一会,还是这样,就去终端运行 top 看了看,发现奇怪的一条: 2391782 1001 20 0 316396 270196 2480 S 197.7 14.6 10,29 xmrig 不懂这是个啥,就去问了GPT,说是一种名为 XMRig 的“门罗币(Monero)挖矿程序”。 还让我去查这些文件 运行 ls -l /proc/2391782/exe 输出: lrwxrwxrwx 1 1001 1001 0 May 12 03:20 /proc/2391782/exe -> /home/gotenberg/xmrig 看这个我就想起这个 gotenberg 是我docker部署的一个word文档转PDF的服务,也没怎么用过,就赶紧去停了,然后CPU一下就恢复正常了。 还不放心,在GPT的指导下看看有没有其他泄露到宿主机的问题,查了下,好像是没有,删除原来的那个镜像的所有文件,就这样了,实在也是不想重装。 没想到这些东西还会导致挖矿程序,当然也是小白不太懂这些 [!warning] 也可能这个服务有漏洞,也可能我是小白 GPT建议我不要暴露公网端口,最好用本地端口再反代 4 个帖子 - 3 位参与者 阅读完整话题
五一上来发现系统很卡,上服务器一看,某个进程直接用了我7个核,太不对劲了。 然后本来想取证,误杀了,没查到什么。 今天上服务器看到一个很可疑的进程 一顿操作看到了拿到了执行的恶意脚本(也不知道哪里来的,docker起的服务公网访问的,现在没查到执行链路) 查了一下ip(目前也只是封禁了ip,没办法传数据回去了,我看我的服务后台还是有执行的) 最后发现这个 第一次碰到,目前再查链路,容器镜像都换了一遍,后面又触发了,没法了 佬友们有什么建议吗 5 个帖子 - 5 位参与者 阅读完整话题