研究發現有加密貨幣僵尸服務器在WannaCry蠕蟲前利用微軟漏洞

上周五，名為 WannaCry 的勒索蠕蟲利用從美國安全局泄露的入侵工具在全球 150 個國家感染了 20 萬臺電腦。本周一，研究人員表示在此之前就有規模更大的攻擊感染了全球多臺電腦并把他們作為“埋伏”加密貨幣僵尸網絡的一部分。

和 WannaCry 勒索蠕蟲一樣，這個攻擊利用“永恒之藍”和 DoublePulsar 后門。但是不同的是攻擊用這些漏洞傳播 Adylkuzz 這款加密貨幣挖礦軟件。知名網絡安全公司 Proofpoint 的研究人員 Kafeine 推測這個攻擊的開始時間最晚在五月 2 號，最早可能在四月 24 號。未安裝微軟補丁的局域網電腦極易受到攻擊。在他博客發表的一篇文章中，他寫道在研究 WannaCry 病毒的過程中，我們發現了一臺可被永恒之藍漏洞攻擊的實驗室機器。本來我們以為這臺電腦會被勒索軟件感染，但是我們發現感染電腦的實際上是 Adylkuzz。

幾臺匿名的虛擬發起這項攻擊，并在不斷掃描 445 端口尋找攻擊的目標。一旦成功利用永恒之藍的漏洞，DoublePulsar 后門會下載并運行 Adylkuzz 軟件。之后，病毒會進行一系列的操作安裝完整的挖礦軟件。Kafeine 表示部分認為自己電腦被 WannaCry 感染的用戶實際上是被 Adylkuzz 攻擊了。不過，因為攻擊會關閉局域網通訊，所以這反而縮小了 WannaCry 的感染范圍。

來自: cnBeta