Splunk安全研究人员发现一桩挖矿攻击,黑客结合Telegram作为攻击工具,锁定Amazon Web Service(AWS)上的Windows Server植入挖矿软件。
Splunk近日侦测到的一个挖矿僵尸网络(crypto botnet),黑客使用了加密通信程序Telegram作为C&C(command and control)架构的一部分,用它来控制传播在网络上的僵尸网络程序。Splunk分析发现攻击IP来源,背后的攻击者锁定AWS中激活远程桌面协议(Remote Desktop Protocol,RDP)的Windows Server系统,并利用僵尸网络来控制。
Telegram是新兴的加密通信程序。截至今年1月,Telegram包含iOS及Android版,已是下载次数最多的应用程序。它还有桌面版,可通过Telegram API集成行动账号。该API也能用于远程执行指令。而这也是这次黑客得以发动攻击的主要渠道。
在这次攻击中,黑客首先是锁定AWS中激活RDP协议的Windows Server。攻击者以RDP暴力破解工具,来破解采用弱密码防护的Windows Server。成功访问后,就在Windows Server中植入NL Brute、KPort Scan和NLA Checker等黑客论坛中找到的特定攻击工具,进而安装Telegram Desktop,当成C&C基础架构的一部分,并且在受害系统中植入采矿程序,如minergate和xmrig,两者都是用来产生门罗币(Monero)的工具。
图片来源_Splunk
Splunk研究团队发现到其中一个电子钱包和2018年的一宗挖矿攻击有关,只是这次还用上了Telegram。
研究人员建议企业防范方法包括定期更新修补程序,使用强密码,此外,研究人员建议,RDP激活域名层认证(Network-Level Authentication),通常可防范部分暴力破解工具及非Windows RDP用户端的访问企图。