文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

新型跨平台僵尸网络正感染《我的世界》游戏服务器

2024-12-01 01:17

关注

微软的威胁情报团队发现并报告了该僵尸网络,他们称,一旦它感染了设备,就可以通过强制 SSH 凭证自行传播到网络上的其他系统。目前,大多数被MCCrash感染的设备位于俄罗斯,但在墨西哥、意大利、印度、哈萨克斯坦和新加坡也均有涉及。

《我的世界》服务器通常是 DDoS 攻击的目标,无论是为了针对服务器上的玩家还是以此作为勒索需求的一部分。就在不久前的10月,Cloudflare 曾报告针对 Wynncraft 创纪录的 2.5 Tbbs DDoS 攻击,而Wynncraft 是《我的世界》最大的服务器之一。

如何感染

微软表示,MCCrash会隐藏在 Windows 激活工具和 Microsoft Office许可证激活器(KMS 工具)中,当用户试图使用上述工具进行盗版激活时,便会感染用户系统。这些工具中包含恶意 PowerShell 代码,该代码会下载一个名为“svchosts.exe”的文件,该文件会启动“malicious.py”,这是MCCrash主要的网络负载。随后,MCCrash会尝试通过对 IoT 和 Linux 设备执行暴力 SSH 攻击将其传播到网络上的其他设备。

在 Windows 上,MCCrash 通过将注册表值添加到“Software\Microsoft\Windows\CurrentVersion\Run”键来建立持久性,并将可执行文件作为其值。

僵尸网络感染和攻击链

MCCrash根据初始通信中识别的操作系统类型从 C2 服务器接收加密命令, C2 会将以下命令之一发送回受感染的 MCCrash 设备并执行:

C2 发送给 MCCrash 的命令一览

上面的大多数命令专门针对《我的世界》服务器进行 DDoS 攻击,其中“ATTACK_MCCRASH”最为引人注目,因为它使用了一种使目标服务器崩溃的新颖方法。据微软称,攻击者以 1.12.2版本的服务器为主要目标,但从 1.7.2 到 1.18.2 的所有服务器版本也容易受到攻击。而今年发布的 1.19 版本则不受 ATTACK_MCCRASH、ATTACK_[MCBOT|MINE] 和 ATTACK_MCDATA 命令的影响。尽管如此,仍有相当多的《我的世界》服务器仍在运行旧版本,其中大部分位于美国、德国和法国。

《我的世界》服务器不同版本的市场份额

微软评论称,这种威胁利用物联网设备的独特能力,即这些设备通常不被作为僵尸网络的一部分进行监控,从而大大增加了它的影响并降低了被检测到的风险。

为保护 IoT 设备免受MCCrash等僵尸网络的侵害,要保证固件均为最新版本,设置强密码而非系统默认密码,并在不需要时禁用 SSH 连接。

来源:FreeBuf.COM内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯