回归最本质的信息安全

5000台希捷NAS设备都已感染恶意软件

2016年9月12日发布

1,949
0
0

导语:一名为Mal/Miner-C (aka PhotoMiner)的恶意软件变种正在感染联网的Seagate Central NAS设备,然后利用被感染的硬盘感染连接的电脑去挖Monero 数字货币。

一名为Mal/Miner-C (aka PhotoMiner)的恶意软件变种正在感染联网的Seagate Central NAS设备,然后利用被感染的硬盘感染连接的电脑去挖Monero 数字货币。

2016年6月Miner-C首次出现,当时该恶意软件主要针对的是FTP服务器,然后进行自我传播,而今天的Miner-C变种主要针对的是希捷NAS硬件设备。Sophos的安全研究员称,Miner-C变种继承了Miner-C的功能,同时还能利用希捷NAS设备的设计缺陷将其植入到公共数据文件夹中。

NAS设备是联网的硬件设备,允许用户从本地网络访问文件,如果管理员允许远程访问,用户也可以从互联网上访问。据Sophos介绍,希捷设备有一个公共文件夹,可允许所有的用户访问,甚至匿名未登陆的用户也可以访问,并且还无法被删除。

利用windows的特性伪装恶意软件

Miner-C变种会将自己拷贝到所有希捷NAS设备的公共文件夹中,以至于所有的用户都能找到它。其中一个文件叫做Photo.scr,它会伪装成标准的Windows文件夹图标。

由于Windows有一个非常不好的习惯,它会隐藏文件扩展名,而Miner-C复制的恶意文件也同样隐藏了文件扩展名,所以当用户访问NAS设备时,很容易就打开了恶意文件。随后就是在受害者设备上安装恶意软件了。Miner-C每个模块会执行不同的功能。

当该恶意软件运行时,它会生成一个初始化文件,能躲避所有的安全监测方法。僵尸网络操作者还可以更改攻击payload,比如在受害者设备上释放勒索软件。

据Sophos搜集到的数据显示,Miner-C已经感染了70%的联网希捷NAS设备。全球大概有7000台联网希捷NAS设备,也就是说有将近5000台设备已经感染了Miner-C恶意软件。并且据估值,它已经利用被感染的设备挖掘了价值8.6万美元的Monero数字货币。

不幸的是,希捷用户还没有办法保护他们的设备免受感染。如果用户关闭了远程访问NAS的功能,虽说可以阻止设备感染Miner-C,但也意味着他们失去了购买NAS设备的初衷。

​本文翻译于softpedia,如若转载,请注明来源于嘶吼: http://www.4hou.com/info/news/2083.html

点赞 0
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

Change

Change

嘶吼编辑

发私信

发表评论