蓝点网
·
东欧黑客向中美ISP发起攻击安装门罗币挖矿软件 超过4000 IP对应服务器被感染
💡
原文中文,约1100字,阅读约需3分钟。
📝
内容提要
东欧黑客攻击中美ISP,感染超过4000台服务器,主要通过暴力破解获取远程管理权限,部署门罗币挖矿软件,导致服务器资源几乎完全占用。黑客扫描开放的RDP端口,并在不常见目录释放恶意文件。
🎯
关键要点
- 东欧黑客针对中美 ISP 发起攻击,感染超过4000台服务器。
- 黑客通过暴力破解获取远程管理权限,主要利用 Windows NT 远程管理 (WINRM)。
- 攻击的主要目的是部署门罗币挖矿软件,导致服务器资源几乎完全占用。
- 黑客扫描开放的 RDP 端口,使用 MasScan 工具进行目标选择和扫描。
- 被部署的恶意软件包括 MIG.RDP.EXE、Migrate.exe 和 X64.EXE,主要通过 PowerShell 加载更多恶意负载。
- 黑客在不常见的目录释放恶意文件,如 C:\Windows\fonts\ 和 C:\Users\Public\。
- 判断服务器是否被感染的参考指标包括释放的 exe、ps1 脚本和 dll 控件。
- 建议使用安全软件进行详细检测,以识别门罗币挖矿脚本的威胁。
❓
延伸问答
东欧黑客攻击中美ISP的主要目的是什么?
主要目的是部署门罗币挖矿软件,以获取经济利益。
黑客是如何获取服务器的远程管理权限的?
黑客通过暴力破解获取远程管理权限,主要利用Windows NT远程管理(WINRM)。
被感染的服务器有哪些特征?
被感染的服务器通常会在不常见的目录释放exe、ps1脚本和dll控件,CPU资源使用率接近100%。
黑客使用了哪些工具进行扫描和攻击?
黑客使用MasScan工具进行目标选择和扫描,寻找开放的RDP端口。
如何判断服务器是否被黑客感染?
可以通过检查是否有不常见目录中的exe、ps1脚本和dll控件,以及使用安全软件进行详细检测。
黑客部署的恶意软件有哪些?
主要包括MIG.RDP.EXE、Migrate.exe和X64.EXE,这些软件会加载更多恶意负载。
➡️
