根据bleepingcomputer在12月16日发布的消息,一种名为“mccrash”的新型跨平台恶意软件僵尸网络正在攻击windows、linux以及物联网设备,对《我的世界》(minecraft)游戏服务器发起分布式拒绝服务(ddos)攻击。
微软的威胁情报团队发现了并报告了这一僵尸网络,指出它一旦感染了设备,就能通过强制SSH凭证传播到网络上的其他系统。目前,MCCrash感染的大多数设备位于俄罗斯,但也影响了墨西哥、意大利、印度、哈萨克斯坦和新加坡。
《我的世界》服务器常常是DDoS攻击的目标,无论是为了攻击服务器上的玩家还是作为勒索的一部分。就在最近的10月,Cloudflare曾报告了针对Wynncraft的创纪录2.5 Tbps DDoS攻击,而Wynncraft是《我的世界》最大的服务器之一。
微软表示,MCCrash隐藏在Windows激活工具和Microsoft Office许可证激活器(KMS工具)中。当用户试图使用这些工具进行盗版激活时,他们便会感染MCCrash。这些工具包含恶意PowerShell代码,该代码会下载名为“svchosts.exe”的文件,该文件会启动“malicious.py”,这是MCCrash的主要网络负载。随后,MCCrash会尝试通过对IoT和Linux设备执行暴力SSH攻击将其传播到网络上的其他设备。
在Windows上,MCCrash通过将注册表值添加到“Software\Microsoft\Windows\CurrentVersion\Run”键来实现持久性,并将可执行文件设置为其值。
僵尸网络感染和攻击链
MCCrash从C2服务器接收加密命令,这些命令基于初始通信中识别的操作系统类型。C2会向受感染的MCCrash设备发送并执行以下命令之一:
C2发送给MCCrash的命令一览
大多数命令专门针对《我的世界》服务器进行DDoS攻击,其中“ATTACK_MCCRASH”最为引人注目,因为它使用了一种使目标服务器崩溃的新方法。微软指出,攻击者主要针对1.12.2版本的服务器,但从1.7.2到1.18.2的所有服务器版本都容易受到攻击。然而,2023年发布的1.19版本不受ATTACKMCCRASH、ATTACK[MCBOT|MINE]和ATTACK_MCDATA命令的影响。尽管如此,仍有相当多的《我的世界》服务器运行旧版本,其中大部分位于美国、德国和法国。
《我的世界》服务器不同版本的市场份额
微软评论说,这种威胁利用了物联网设备的独特能力,这些设备通常不被视为僵尸网络的一部分,从而大大增加了其影响并降低了被检测的风险。
为了保护物联网设备免受MCCrash等僵尸网络的侵害,确保固件是最新版本,设置强密码而不是使用系统默认密码,并在不需要时禁用SSH连接。
参考来源:
