成千上万的希捷NAS设备主机cryptocurrency挖掘的恶意软件，灰鸽子远程控制软件

admin

成千上万的希捷NAS设备主机cryptocurrency挖掘的恶意软件，灰鸽子远程控制软件

如果配置了远程访问，设备暴露可写的FTP目录互联网攻击者可以滥用

数以千计的公开访问FTP服务器，包括希捷网络附加存储设备很多，正在使用的犯罪分子托管cryptocurrency采矿恶意软件。

从安全厂商Sophos的研究人员做出的发现时，他们被称为调查玛/矿工-C的恶意程序，它感染Windows计算机和劫持自己的CPU和GPU产生Monero，一个比特币启发cryptocurrency。

对于大多数cryptocurrencies，用户可以通过他们的投入计算资源解决验证网络交易中需要复杂的数学问题，产生新的单位。这一过程，被称为“挖掘”，提供激励攻击者劫持别人的电脑，并利用它们为自己的收益。

比特币采矿恶意曾经是普遍若干年前，但作为cryptocurrency的网络的增长，采矿变得更加困难，并使用个人计算机，其具有有限的计算资源，不再是有利可图的。一些恶意软件编写者，像玛/矿工-C的后面，现在已经把注意力转向新的cryptocurrencies，像Monero，更易于开采。

Sophos的研究人员发现，玛/矿工-C没有自动感染机制，而不是依靠用户来执行恶意程序。因此，它是通过下载，通过妥协的网站分布，还可以通过开放的FTP服务器。

攻击者扫描的FTP服务器是从Internet访问，并试图与默认和弱凭证或匿名账户登录。如果成功的话，他们验证它们在服务器上写访问，并在所有可用的目录复制的恶意软件。

这就解释了为什么Sophos的统计超过170万玛/矿工-C检测，在过去六个月约3000系统。大多数受影响的系统均是托管在不同的目录中的恶意软件的多个副本的FTP服务器。

研究人员使用了一种名为Censys互联网的扫描引擎，以确定公众的FTP服务器，允许具有写权限的匿名访问。他们发现这样的7,263服务器，并确定其中的5137已经污染玛/矿工-C。

另一个有趣的发现是，许多这类的FTP服务器被希捷中央NAS设备上运行。虽然这种恶意软件威胁并没有专门针对此类设备，事实证明，希捷中央的配置，使用户更容易暴露不安全的FTP服务器到互联网。

默认情况下，希捷NAS中央系统提供数据共享公共文件夹，在Sophos研究人员在周五公布的一份文件说。这公用文件夹不能被禁用，如果设备管理员能够对设备进行远程访问，将成为互联网上的任何人访问，他们说。

已被破坏马尔/矿工-C FTP服务器包含两个文件，名为Photo.scr和info.zip。 Photo.scr是一个Windows可执行文件，但它的图标伪装成一个Windows文件夹，诱骗用户不小心执行它。