Prowli以获利为目的,一是在被黑装置上植入采矿程式,其次是进行流量诈骗,将使用者流量导至恶意网站,藉由出售用户流量获利。
资安研究团队Guardicore Labs本周揭露了一个採矿恶意行动Prowli,相关攻击已殃及全球9,000个企业的4万个装置,除了于被骇装置上植入採矿程式之外,也会把合法网站的流量导至恶意网站,不管是Drupal网站、WordPress网站、DSL数据机、採用SSH的伺服器或IoT装置皆受害。
该实验室指出,Prowli攻击行动锁定多元化的平台,从代管热门网站的CMS服务、执行HP Data Protector的备份伺服器、採用开放SSH传输埠的伺服器、到DSL数据机与IoT装置都受到骇客的袭击,入侵途径包括攻击程式、暴力破解密码,以及脆弱的配置。其中,有67%的受害装置为採用脆弱SSH凭证的伺服器。
此外,骇客并没有设定任何的产业,不管是电脑服务业、大学、政府机关、媒体、金融服务或运输业全都受害,Guardicore Labs因而推测骇客的企图不在于间谍行为,而是单纯为了获利。
Prowli攻击行动有两个获利来源,一是于被骇装置上植入开採门罗币(Monero)的採矿程式,二则是进行流量诈骗,挟持使用者流量以将其导至各种恶意网站,诸如伪造的技术支援服务或是恶意的浏览器扩充程式等,骇客藉由出售用户流量而获利。
值得注意的是,Prowli有个攻击百宝箱,可根据需求调用不同的攻击工具,例如採用SSH的装置可能会被暴力破解密码而植入採矿程式,安装K2扩充程式的Joomla! 伺服器则是被开採档案下载漏洞,要攻陷DSL数据机则是利用网路上的配置服务,还含有多种可入侵WordPress伺服器的方法。
其它受到Prowli攻击行动锁定的还有Drupal伺服器、PhpMyAdmin伺服器、NFS伺服器,以及其它曝露SMB传输埠的伺服器。
要预防Prowli攻击只要採取基本的防护动作即可,包括随时採用最新版本,以及设定不容易被破解的强大密码,Guardicore Labs还建议企业于自家网路中隔离那些亦受攻击的系统。
领取专属 10元无门槛券
私享最新 技术干货