Prometei 僵尸网络利用 Windows SMB 挖掘加密货币

一个新的僵尸网络已经被发现，它利用微软Windows SMB协议横向跨系统移动，同时秘密挖掘加密货币。

在周三的一份报告中，Cisco Talos解释称，Prometei恶意软件自2020年3月起就开始传播。

新的僵尸网络被认为是值得注意的，因为它使用一个广泛的模块化系统和各种技术来危及系统和隐藏来自终端用户的存在，目的是为了挖掘Monero (XMR)。

Prometei的感染链开始通过包括Eternal Blue在内的SMB漏洞试图破坏一台机器的Windows Server Message Block (SMB)协议。

Mimikatz和穷举式攻击是用来扫描商店和尝试窃取凭证,发现的任何密码被发送到操作员的指挥控制(C2)服务器进行重用。“其他模块,试图验证密码的有效性在其他系统上使用SMB和RDP协议,”研究人员称。

总的来说，僵尸网络有超过15个可执行模块，由一个主模块控制。僵尸网络被组织成两个主要的功能分支:一个c++分支致力于加密货币挖掘操作，另一个基于.net的分支专注于凭证盗窃、SMB的滥用和混淆。

但是，主分支可以独立于第二个分支进行操作，因为它包含与C2通信、窃取凭证和挖掘的功能。

辅助模块也被锁定，可以被恶意软件用来通过TOR或I2P网络进行通信，收集系统信息，检查开放的端口，在SMB中传播，并扫描任何加密货币钱包的存在。

一旦系统被破坏并添加到奴隶网络,攻击者能够执行各种任务,包括执行程序和命令,启动命令shell,设置RC4加密密钥进行交流沟通,打开、下载和窃取文件,以及发射cryptocurrency mining操作等功能。

根据Talos对挖掘模块的检查，目前感染prometeo病毒的系统数量似乎只有“几千个”。僵尸网络才运行了4个月，所以目前的收益并不高，平均每月只有1250美元。

Prometei C2请求已检测到来自美国、巴西、土耳其、中国和墨西哥等国家。

操作员的C2服务器之一在6月被查获，但这似乎对Prometei行动没有任何实质性影响。

“虽然1250美元的月收入与其他网络犯罪活动相比，听起来不算多，但对于东欧的一个开发者来说，这比许多国家的平均月工资还要高。”Talos说，“也许这就是为什么，如果我们看看许多僵尸网络组件中嵌入的程序数据库文件路径，我们会看到一个文件夹c:\Work的引用。”