Smominru是一个具有蠕虫功能的加密僵尸网络，今年8月，它的最新版本已经在全球范围内破坏了4900多个企业网络。受影响的机器大多是小型服务器，运行的是Windows Server 2008或Windows 7。

 

Smominru是一个可以追溯到2017年的僵尸网络，无极4注册它的变种也以其他名字为人所知，包括Hexmen和Mykings。众所周知，它提供了大量的有效负载，包括凭证盗窃脚本、后门、木马和加密货币挖掘程序。

 

今年8月，炭黑(Carbon Black)的研究人员记录了Smominru的最新变种，它使用了几种繁殖方法，包括“永恒之蓝”(EternalBlue)攻击，这种攻击过去曾被NotPetya和WannaCry等勒索软件蠕虫使用，自2017年以来，这种攻击已经为人所知，并被打了补丁。僵尸网络还对各种协议(包括MS-SQL、RDP和Telnet)使用蛮力攻击和凭证填充攻击来访问新机器。

 

我们的新游戏网站是实时的!Gamestar涵盖游戏、游戏小工具和装备。订阅我们的通讯，我们会把我们最好的东西直接发到你的收件箱。了解更多。

 

最近，来自安全公司Guardicore的研究人员访问了Smominru的一个核心命令和控制服务器，该服务器存储了受害者的详细信息和证书。这使得他们能够收集有关被入侵机器和网络的信息，并评估僵尸网络的影响。

 

数据显示，Smominru感染了来自全球4900多个网络的约90,000台机器，每天的感染率为4,700台。许多网络都有数十台受到攻击的机器。

 

受感染电脑数量最多的国家是中国、台湾、俄罗斯、巴西和美国。据《卫报》报道，Smominru的攻击并不针对特定的组织或行业，但美国的受害者包括高等教育机构、医疗公司，甚至网络安全公司。

 

超过半数(55%)受感染的计算机运行Windows Server 2008，约三分之一运行Windows 7(30%)。这很有趣，因为微软仍然支持这些版本的Windows，并接收安全更新。

 

随着“永恒的蓝色”漏洞的出现，人们预计，运行较老版本和寿命较长的Windows的机器将受到更大的影响。然而，目前尚不清楚有多少系统通过“永恒蓝”遭到破坏，又有多少系统因资质不强而受到感染。

 

由未打补丁的系统辅助的攻击

 

Guardicore研究人员在周三发布的一份报告中表示:“未打补丁的系统可以让这场运动感染全球无数台机器，并在内部网络中传播。”因此，操作系统与当前可用的软件更新保持一致是至关重要的。然而，修补从来就没有说的那么简单。因此，无极4平台在数据中心或组织中应用额外的安全措施非常重要。网络微分割检测可能的恶意互联网流量以及限制暴露在互联网上的服务器都是维护强大安全态势的关键。

 

许多网络的不良安全状况也反映在四分之一的受害者再次受到Smominru的感染。这意味着许多组织试图清除感染，但未能正确关闭所有的攻击载体，并解决根本原因。

 

大多数受影响的计算机都有一到四个CPU内核，属于小型服务器类别。然而，其中200多个有8个以上的核，一台机器有32个CPU核。

 

研究人员表示:“不幸的是，这表明，尽管许多公司在昂贵的硬件上花钱，但它们没有采取基本的安全措施，比如修补正在运行的操作系统。”

 

多重有效载荷的严重感染

 

由于僵尸网络的蠕虫能力，任何感染Smominru的机器都可能对企业网络构成严重威胁，而这不仅仅是加密的问题。这种威胁在受感染的系统上部署大量有效负载并创建许多后门来维护持久性，包括新的管理用户、计划的任务、Windows管理工具(WMI)对象、启动服务和主引导记录(MBR) rootkit。

 

根据Guardicore的分析，Smominru下载并执行了近20个不同的脚本和二进制有效负载。该公司发布了一份详细的折衷指标列表，其中包括文件哈希表、服务器IP地址、用户名、注册表项等等，以及一个用于检测受感染机器的Powershell脚本。