【安全资讯】Indexsinas SMB 蠕虫在全球范围内大肆传播
研究人员披露了一个名为Indexsinas(也被称为“NSABuffMiner”)的大规模攻击活动的新细节,该活动通过SMB服务器攻破网络,并积极利用横向移动进行传播。此次攻击的目标是易受EternalBlue(MS17-010)攻击的Windows服务器,并且目前仍在全球范围内传播。Indexsinas SMB 蠕虫主要针对医疗保健、酒店、教育和电信行业。它的最终目标是在受感染的机器上投放挖矿程序。Indexsinas攻击活动于2019年初开始攻击Guardicore全球传感器网络(GGSN),至今仍在活跃地进行活动,自从研究人员开始跟踪该活动以来,已记录了 2000 多起攻击。
此次攻击活动的传播通过一个开源端口扫描器和三个方程式组漏洞的组合实现。三个漏洞分别为EternalBlue、DoublePulsar 和 EternalRomance。这些漏洞在四年前首次出现在 WannaCry 和 NotPetya 网络攻击中,在本次攻击互动中获取特权访问权限并安装后门。Indexsinas 的攻击者十分谨慎,C2 服务器受到高度保护,并且没有向互联网公开冗余端口。攻击者使用私人矿池进行加密操作,这可以防止任何人访问他们钱包的统计数据。
攻击流程由许多批处理脚本、可执行有效载荷、下载器、服务和计划任务组成,目的是运行cryptominer模块挖取门罗币。该活动的比较突出的是其展现的竞争力,包括终止与其他攻击活动相关的进程,删除其文件系统残留并停止其他攻击者创建的服务,还试图通过结束与进程监控和分析相关的程序来逃避检测。此外,它确保在执行后立即删除自己的文件。
Indexsinas 活动于 2019 年初开始进行攻击活动,Indexsinas 使用了一个由 1,300 多台设备组成的大型基础设施作为攻击源,每台机器只对少数攻击事件负责。受害者们大多位于美国、越南和印度。对受害者IP的分析表明,各个行业都受到了 Indexsina 的感染,包括酒店、大学、医疗中心、政府机构和电信公司。迄今为止,研究人员已经记录了2000多起攻击。源IP分布如下: