Prowli惡意軟件感染了9000多家公司網(wǎng)絡上逾4萬臺服務器和設備

以色列網(wǎng)絡安全公司 GuardiCore 的安全團隊發(fā)現(xiàn)，網(wǎng)絡犯罪分子設法組建了一個龐大僵尸網(wǎng)絡“Prowli”， 該網(wǎng)絡由4萬多臺被感染的 Web 服務器、調(diào)制調(diào)解器和其它物聯(lián)網(wǎng)（IoT）設備組成。 Prowli 僵尸網(wǎng)絡的操縱者利用漏洞和暴力破解攻擊感染并控制設備。受影響的有9000多家公司，這些公司主要位于中國、俄羅斯、美國等國家。

Prowli如何感染受害者？

Prowli 惡意軟件被用于加密貨幣的挖掘，并將用戶定位到惡意站點。這是一個多樣化的操作系統(tǒng)，依賴于漏洞和憑證的暴力攻擊來感染和接管設備。Prowli 近幾個月感染的已知服務器和設備等如下：

?WordPress 站點（利用幾個漏洞和針對管理面板的暴力破解攻擊）

?運行 K2 擴展的 Joomla! 站點（利用漏洞CVE-2018-7482）

?幾款 DSL 調(diào)制調(diào)解器（利用已知漏洞）

?運行惠普 HP Data Protector 軟件的服務器（利用CVE-2014-2623）

?Drupal、PhpMyAdmin 安裝程序、NFS 盒子、開放 SMB 端口的服務器（暴力破解憑證）

此外，Prowli 的操縱者還了運行了 SSH 掃描器模塊，嘗試猜測暴露 SSH 端口的設備用戶名和密碼。

部署加密貨幣挖礦程序、后門和 SSH 掃描器

一旦服務器或物聯(lián)網(wǎng)設備遭受攻擊，Prowli 操縱者便會確定這些設備是否可用于挖礦。確定之后，操縱者通過門羅幣挖礦程序和 R2R2 蠕蟲對其進行感染。R2R2 蠕蟲會對被黑的設備執(zhí)行 SSH 暴力攻擊，并幫助 Prowli 僵尸網(wǎng)絡進一步擴大規(guī)模。

此外，運行網(wǎng)站的 CMS 平臺遭遇了后門感染（WSO Web Shell）。攻擊者通過 WSO Web Shell 修改被攻擊的網(wǎng)站，托管惡意代碼將站點的部分訪客重定向至流量分配系統(tǒng)（TDS），然后由TDS將劫持的網(wǎng)絡流量租給其它攻擊者，并將用戶重定向至各種惡意網(wǎng)站，例如虛假的技術支持網(wǎng)站和更新網(wǎng)站。

GuardiCore 公司表示，攻擊者使用的 TDS 系統(tǒng)為 EITest（又被稱為 ROI777）。2018年3月，ROI777 遭到黑客攻擊，其部分數(shù)據(jù)被泄露到網(wǎng)上后，網(wǎng)絡安全公司于4月關閉了該系統(tǒng)。盡管如此，這似乎并沒有阻止 Prowli 僵尸網(wǎng)絡的行動步伐。

受影響區(qū)域，顏色越深越嚴重

“賺錢機器”

根據(jù)研究人員的說法，攻擊者精心設計并優(yōu)化了整起行動，Prowli 惡意軟件感染了9000多家公司網(wǎng)絡上逾4萬臺服務器和設備，然后利用這些設備卯足勁賺錢，該軟件的受害者遍布全球。

GuardiCore 在報告中提到 Prowli 的攻擊指示器（IoC）和其它詳情，系統(tǒng)管理員可利用這些信息檢查其 IT 網(wǎng)絡是否遭遇攻擊。