Prometei 僵尸網絡利用 Windows SMB 挖掘加密貨幣

一個新的僵尸網絡已經被發現，它利用微軟Windows SMB協議橫向跨系統移動，同時秘密挖掘加密貨幣。

在周三的一份報告中，Cisco Talos解釋稱，Prometei惡意軟件自2020年3月起就開始傳播。

新的僵尸網絡被認為是值得注意的，因為它使用一個廣泛的模塊化系統和各種技術來危及系統和隱藏來自終端用戶的存在，目的是為了挖掘Monero (XMR)。

Prometei的感染鏈開始通過包括Eternal Blue在內的SMB漏洞試圖破壞一臺機器的Windows Server Message Block (SMB)協議。

Mimikatz和窮舉式攻擊是用來掃描商店和嘗試竊取憑證,發現的任何密碼被發送到操作員的指揮控制(C2)服務器進行重用。“其他模塊,試圖驗證密碼的有效性在其他系統上使用SMB和RDP協議,”研究人員稱。

總的來說，僵尸網絡有超過15個可執行模塊，由一個主模塊控制。僵尸網絡被組織成兩個主要的功能分支:一個c++分支致力于加密貨幣挖掘操作，另一個基于.net的分支專注于憑證盜竊、SMB的濫用和混淆。

但是，主分支可以獨立于第二個分支進行操作，因為它包含與C2通信、竊取憑證和挖掘的功能。

輔助模塊也被鎖定，可以被惡意軟件用來通過TOR或I2P網絡進行通信，收集系統信息，檢查開放的端口，在SMB中傳播，并掃描任何加密貨幣錢包的存在。

一旦系統被破壞并添加到奴隸網絡,攻擊者能夠執行各種任務,包括執行程序和命令,啟動命令shell,設置RC4加密密鑰進行交流溝通,打開、下載和竊取文件,以及發射cryptocurrency mining操作等功能。

根據Talos對挖掘模塊的檢查，目前感染prometeo病毒的系統數量似乎只有“幾千個”。僵尸網絡才運行了4個月，所以目前的收益并不高，平均每月只有1250美元。

Prometei C2請求已檢測到來自美國、巴西、土耳其、中國和墨西哥等國家。

操作員的C2服務器之一在6月被查獲，但這似乎對Prometei行動沒有任何實質性影響。

“雖然1250美元的月收入與其他網絡犯罪活動相比，聽起來不算多，但對于東歐的一個開發者來說，這比許多國家的平均月工資還要高。”Talos說，“也許這就是為什么，如果我們看看許多僵尸網絡組件中嵌入的程序數據庫文件路徑，我們會看到一個文件夾c:\Work的引用。”