以色列網(wǎng)絡(luò)安全公司 GuardiCore 的安全團(tuán)隊(duì)發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子設(shè)法組建了一個(gè)龐大僵尸網(wǎng)絡(luò)“Prowli”， 該網(wǎng)絡(luò)由4萬(wàn)多臺(tái)被感染的 Web 服務(wù)器、調(diào)制調(diào)解器和其它物聯(lián)網(wǎng)（IoT）設(shè)備組成。 Prowli 僵尸網(wǎng)絡(luò)的操縱者利用漏洞和暴力破解攻擊感染并控制設(shè)備。受影響的有9000多家公司，這些公司主要位于中國(guó)、俄羅斯、美國(guó)等國(guó)家。

Prowli如何感染受害者？

Prowli 惡意軟件被用于加密貨幣的挖掘，并將用戶定位到惡意站點(diǎn)。這是一個(gè)多樣化的操作系統(tǒng)，依賴于漏洞和憑證的暴力攻擊來(lái)感染和接管設(shè)備。Prowli 近幾個(gè)月感染的已知服務(wù)器和設(shè)備等如下：

?WordPress 站點(diǎn)（利用幾個(gè)漏洞和針對(duì)管理面板的暴力破解攻擊）

?運(yùn)行 K2 擴(kuò)展的 Joomla! 站點(diǎn)（利用漏洞CVE-2018-7482）

?幾款 DSL 調(diào)制調(diào)解器（利用已知漏洞）

?運(yùn)行惠普 HP Data Protector 軟件的服務(wù)器（利用CVE-2014-2623）

?Drupal、PhpMyAdmin 安裝程序、NFS 盒子、開(kāi)放 SMB 端口的服務(wù)器（暴力破解憑證）

此外，Prowli 的操縱者還了運(yùn)行了 SSH 掃描器模塊，嘗試猜測(cè)暴露 SSH 端口的設(shè)備用戶名和密碼。

部署加密貨幣挖礦程序、后門和 SSH 掃描器

一旦服務(wù)器或物聯(lián)網(wǎng)設(shè)備遭受攻擊，Prowli 操縱者便會(huì)確定這些設(shè)備是否可用于挖礦。確定之后，操縱者通過(guò)門羅幣挖礦程序和 R2R2 蠕蟲(chóng)對(duì)其進(jìn)行感染。R2R2 蠕蟲(chóng)會(huì)對(duì)被黑的設(shè)備執(zhí)行 SSH 暴力攻擊，并幫助 Prowli 僵尸網(wǎng)絡(luò)進(jìn)一步擴(kuò)大規(guī)模。

此外，運(yùn)行網(wǎng)站的 CMS 平臺(tái)遭遇了后門感染（WSO Web Shell）。攻擊者通過(guò) WSO Web Shell 修改被攻擊的網(wǎng)站，托管惡意代碼將站點(diǎn)的部分訪客重定向至流量分配系統(tǒng)（TDS），然后由TDS將劫持的網(wǎng)絡(luò)流量租給其它攻擊者，并將用戶重定向至各種惡意網(wǎng)站，例如虛假的技術(shù)支持網(wǎng)站和更新網(wǎng)站。

GuardiCore 公司表示，攻擊者使用的 TDS 系統(tǒng)為 EITest（又被稱為 ROI777）。2018年3月，ROI777 遭到黑客攻擊，其部分?jǐn)?shù)據(jù)被泄露到網(wǎng)上后，網(wǎng)絡(luò)安全公司于4月關(guān)閉了該系統(tǒng)。盡管如此，這似乎并沒(méi)有阻止 Prowli 僵尸網(wǎng)絡(luò)的行動(dòng)步伐。

受影響區(qū)域，顏色越深越嚴(yán)重

“賺錢機(jī)器”

根據(jù)研究人員的說(shuō)法，攻擊者精心設(shè)計(jì)并優(yōu)化了整起行動(dòng)，Prowli 惡意軟件感染了9000多家公司網(wǎng)絡(luò)上逾4萬(wàn)臺(tái)服務(wù)器和設(shè)備，然后利用這些設(shè)備卯足勁賺錢，該軟件的受害者遍布全球。

GuardiCore 在報(bào)告中提到 Prowli 的攻擊指示器（IoC）和其它詳情，系統(tǒng)管理員可利用這些信息檢查其 IT 網(wǎng)絡(luò)是否遭遇攻擊。