• 發布單位:TWCERT/CC
• 更新日期:2020-05-28
• 點閱次數:1137

美國國家安全局（US National Security Agency）開發的一個漏洞利用工具，去年被駭客洩露利用作為勒索軟體如「WannaCry」，現在正被用來開採加密貨幣(Monero)。據網路安全專家稱，感染的數量正在上升。

去年四月因為駭客組織洩露了由NSA開發的Windows exploit EternalBlue，被用來作為勒索軟體攻擊「WannaCry」席捲全球，感染了150個國家超過23萬台電腦。
如今資安研究專家發現 EternalBlue 現正被利用來劫持受害電腦設備，使您的電腦成為駭客手底下的挖礦苦工，該惡意軟體被稱為「WannaMine」。
第一個使用 EternalBlue 傳播的惡意挖礦程式為「Adyllkuzz 」，然而 WannaMine 更為複雜且屬於無檔案型態威脅攻擊(Fileless)。
其感染方法通常透過使用者在電郵或網頁中點擊含有惡意的連結，一旦遭Script腳本感染，它將使用兩個正常的Windows應用程式 - PowerShell和WMI(Windows Management Instrumentation)進行攻擊，因此難以透過防毒軟體偵測。
WannaMine會先使用 Mimikatz 工具從電腦記憶體中提取登錄帳密，失敗才會再利用 EternalBlue 駭入系統，因此針對EternalBlue更新的Windows系統仍可能先被 Mimikatz 工具突破。
遭受WannaMine利用的設備不會僅只是CPU被人利用，有可能因為被使用的CPU功率過高到導致受害設備的服務完全關閉，使得公司企業系統停滯，對外服務停擺等嚴重情勢。
資安專家預測：「惡意侵入系統挖礦事件在未來會越來越頻傳和複雜」，「WannaMine」或許只是個開端。

參考連結：

https://motherboard.vice.com/en_us/article/yw5yp7/monero-mining-wannamine-wannacry-nsa
https://www.crowdstrike.com/blog/cryptomining-harmless-nuisance-disruptive-threat/
https://www.pandasecurity.com/mediacenter/pandalabs/threat-hunting-fileless-attacks/