Prowli恶意软件感染了9000多家公司网络上逾4万台服务器和设备
以色列网络安全公司 guardicore 的安全团队发现,网络犯罪分子设法组建了一个庞大僵尸网络“prowli”, 该网络由4万多台被感染的 web 服务器、调制调解器和其它物联网(iot)设备组成。 prowli 僵尸网络的操纵者利用漏洞和暴力破解攻击感染并控制设备。受影响的有9000多家公司,这些公司主要位于中国、俄罗斯、美国等国家。
prowli如何感染受害者?
prowli 恶意软件被用于加密货币的挖掘,并将用户定位到恶意站点。这是一个多样化的操作系统,依赖于漏洞和凭证的暴力攻击来感染和接管设备。prowli 近几个月感染的已知服务器和设备等如下:
wordpress 站点(利用几个漏洞和针对管理面板的暴力破解攻击)
运行 k2 扩展的 joomla! 站点(利用漏洞cve-2018-7482)
几款 dsl 调制调解器(利用已知漏洞)
运行惠普 hp data protector 软件的服务器(利用cve-2014-2623)
drupal、phpmyadmin 安装程序、nfs 盒子、开放 smb 端口的服务器(暴力破解凭证)
此外,prowli 的操纵者还了运行了 ssh 扫描器模块,尝试猜测暴露 ssh 端口的设备用户名和密码。
部署加密货币挖矿程序、后门和 ssh 扫描器
一旦服务器或物联网设备遭受攻击,prowli 操纵者便会确定这些设备是否可用于挖矿。确定之后,操纵者通过门罗币挖矿程序和 r2r2 蠕虫对其进行感染。r2r2 蠕虫会对被黑的设备执行 ssh 暴力攻击,并帮助 prowli 僵尸网络进一步扩大规模。
此外,运行网站的 cms 平台遭遇了后门感染(wso web shell)。攻击者通过 wso web shell 修改被攻击的网站,托管恶意代码将站点的部分访客重定向至流量分配系统(tds),然后由tds将劫持的网络流量租给其它攻击者,并将用户重定向至各种恶意网站,例如虚假的技术支持网站和更新网站。
guardicore 公司表示,攻击者使用的 tds 系统为 eitest(又被称为 roi777)。2018年3月,roi777 遭到黑客攻击,其部分数据被泄露到网上后,网络安全公司于4月关闭了该系统。尽管如此,这似乎并没有阻止 prowli 僵尸网络的行动步伐。
受影响区域,颜色越深越严重
“赚钱机器”
根据研究人员的说法,攻击者精心设计并优化了整起行动,prowli 恶意软件感染了9000多家公司网络上逾4万台服务器和设备,然后利用这些设备卯足劲赚钱,该软件的受害者遍布全球。
guardicore 在报告中提到 prowli 的攻击指示器(ioc)和其它详情,系统管理员可利用这些信息检查其 it 网络是否遭遇攻击。
深度解读惯性导航数据处理方法
无人驾驶难以实现,贾跃亭为何以身试险?
4G远程温湿度传感在博物馆/文化保存的应用
深圳一老牌手机ODM厂关厂裁员:欠上亿货款,全员停工
kv260采用的FPGA型号是什么?
Prowli恶意软件感染了9000多家公司网络上逾4万台服务器和设备
春节安全行车须注意的疲劳驾驶特征
全新研发体系助力产品落地 传音控股成科技出海代表
我们该如何选择电子式塑壳断路器及短路保护作用
英国Pickering公司亮相2022年慕尼黑华南电子展
通过分层隔离器创建高压隔离栅的解决方案
基于3D形状重建网络的机器人抓取规划方法
一篇文章带你认识“扫地机器人”
STM32CubeMx入门教程(3):定时器的使用
三菱电机开发了首款6.5kV全SiC(Silicon Carbide)功率模块
AI可以窥见未来?
统计过程控制SPC“见证”JMP和Minitab的差异
HPI接口在TI SOC的应用详解
FEP薄膜制备工艺流程的详细介绍
通道模拟器可提高系统质量同时降低成本
prowli如何感染受害者?
prowli 恶意软件被用于加密货币的挖掘,并将用户定位到恶意站点。这是一个多样化的操作系统,依赖于漏洞和凭证的暴力攻击来感染和接管设备。prowli 近几个月感染的已知服务器和设备等如下:
wordpress 站点(利用几个漏洞和针对管理面板的暴力破解攻击)
运行 k2 扩展的 joomla! 站点(利用漏洞cve-2018-7482)
几款 dsl 调制调解器(利用已知漏洞)
运行惠普 hp data protector 软件的服务器(利用cve-2014-2623)
drupal、phpmyadmin 安装程序、nfs 盒子、开放 smb 端口的服务器(暴力破解凭证)
此外,prowli 的操纵者还了运行了 ssh 扫描器模块,尝试猜测暴露 ssh 端口的设备用户名和密码。
部署加密货币挖矿程序、后门和 ssh 扫描器
一旦服务器或物联网设备遭受攻击,prowli 操纵者便会确定这些设备是否可用于挖矿。确定之后,操纵者通过门罗币挖矿程序和 r2r2 蠕虫对其进行感染。r2r2 蠕虫会对被黑的设备执行 ssh 暴力攻击,并帮助 prowli 僵尸网络进一步扩大规模。
此外,运行网站的 cms 平台遭遇了后门感染(wso web shell)。攻击者通过 wso web shell 修改被攻击的网站,托管恶意代码将站点的部分访客重定向至流量分配系统(tds),然后由tds将劫持的网络流量租给其它攻击者,并将用户重定向至各种恶意网站,例如虚假的技术支持网站和更新网站。
guardicore 公司表示,攻击者使用的 tds 系统为 eitest(又被称为 roi777)。2018年3月,roi777 遭到黑客攻击,其部分数据被泄露到网上后,网络安全公司于4月关闭了该系统。尽管如此,这似乎并没有阻止 prowli 僵尸网络的行动步伐。
受影响区域,颜色越深越严重
“赚钱机器”
根据研究人员的说法,攻击者精心设计并优化了整起行动,prowli 恶意软件感染了9000多家公司网络上逾4万台服务器和设备,然后利用这些设备卯足劲赚钱,该软件的受害者遍布全球。
guardicore 在报告中提到 prowli 的攻击指示器(ioc)和其它详情,系统管理员可利用这些信息检查其 it 网络是否遭遇攻击。
深度解读惯性导航数据处理方法
无人驾驶难以实现,贾跃亭为何以身试险?
4G远程温湿度传感在博物馆/文化保存的应用
深圳一老牌手机ODM厂关厂裁员:欠上亿货款,全员停工
kv260采用的FPGA型号是什么?
Prowli恶意软件感染了9000多家公司网络上逾4万台服务器和设备
春节安全行车须注意的疲劳驾驶特征
全新研发体系助力产品落地 传音控股成科技出海代表
我们该如何选择电子式塑壳断路器及短路保护作用
英国Pickering公司亮相2022年慕尼黑华南电子展
通过分层隔离器创建高压隔离栅的解决方案
基于3D形状重建网络的机器人抓取规划方法
一篇文章带你认识“扫地机器人”
STM32CubeMx入门教程(3):定时器的使用
三菱电机开发了首款6.5kV全SiC(Silicon Carbide)功率模块
AI可以窥见未来?
统计过程控制SPC“见证”JMP和Minitab的差异
HPI接口在TI SOC的应用详解
FEP薄膜制备工艺流程的详细介绍
通道模拟器可提高系统质量同时降低成本