是新一代网络安全的全球领导者,今天发表一篇有关 MrbMiner 的最新报告:《》,并追踪到其起源并受控于一家位于伊朗的小型软件开发公司。
MrbMiner 是一个最近被发现的加密挖矿程序,它会锁定服务因特网的数据库服务器 (SQL Server),并且下载并安装一个加密挖矿程序。数据库服务器是非常吸引加密劫持者的目标,因为它们适用于资源密集的操作,因此具有强大的处理能力。
SophosLabs 发现, 攻击者利用多种方法在目标服务器上安装恶意挖矿软件,并将恶意挖矿程序装载和设定档封装成故意命名错误的 zip 档。
在挖矿程序的主要设定档中,我们发现了一家位于伊朗的软件公司的名称。该网域连线到许多同样包含挖矿程序副本的 zip 档。这些 zip 档又会从其他网域依序被下载,其中一个是 mrbftp.xyz。
SophosLabs 威胁研究总监 Gabor Szappanos 表示:“从很多方面来说,MrbMiner 的动作是大多数加密挖旷程序攻击典型代表,而这些攻击都是锁定服务因特网的服务器。区别在于攻击者已经更小心地隐瞒自己的身分。许多和挖矿程序有关的设定、网域和 IP 地址,都指向同一个来源:一家位于伊朗的小型软件公司。
在这个勒索软件攻击代价不斐的时代,人们很容易将加密劫持视为一种骚扰而非严重的威胁,但这是错误的。加密劫持是一种无声、无形的威胁,易于操作且很难侦测到。此外,一旦系统受到威胁,就会为其他威胁 (如勒索软件) 打开大门。因此,重要的是中断加密劫持的进行。请注意一些迹象,例如电脑速度和效能下降、用电量增加、设备过热,以及对 CPU 的需求增加等。”
如需 MrbMiner 和其他网络威胁的更多信息,请参见 ,Sophos 研究人员会定期发布最新研究成果和突破性的发现,例如《》、《》,以及《》等。研究人员可以在 Twitter 上实时关注 SophosLabs Uncut。
侦测和入侵指标
Sophos 根据 Troj / Miner-ZD 特征码侦测到 MrbMiner 的加密挖矿程序样本。其他危害指标已发布到 。
本文由:万博体育 提供
