以色列網(wǎng)絡(luò)安全公司 GuardiCore 的安全團(tuán)隊(duì)發(fā)現(xiàn)，網(wǎng)絡(luò)犯罪分子設(shè)法組建了一個(gè)龐大僵尸網(wǎng)絡(luò)“Prowli”， 該網(wǎng)絡(luò)由4萬多臺被感染的 Web 服務(wù)器、調(diào)制調(diào)解器和其它物聯(lián)網(wǎng)（IoT）設(shè)備組成。 Prowli 僵尸網(wǎng)絡(luò)的操縱者利用漏洞和暴力破解攻擊感染并控制設(shè)備。受影響的有9000多家公司，這些公司主要位于中國、俄羅斯、美國等國家。

Prowli如何感染受害者？

Prowli 惡意軟件被用于加密貨幣的挖掘，并將用戶定位到惡意站點(diǎn)。這是一個(gè)多樣化的操作系統(tǒng)，依賴于漏洞和憑證的暴力攻擊來感染和接管設(shè)備。Prowli 近幾個(gè)月感染的已知服務(wù)器和設(shè)備等如下：

?WordPress 站點(diǎn)（利用幾個(gè)漏洞和針對管理面板的暴力破解攻擊）

?運(yùn)行 K2 擴(kuò)展的 Joomla! 站點(diǎn)（利用漏洞CVE-2018-7482）

?幾款 DSL 調(diào)制調(diào)解器（利用已知漏洞）

?運(yùn)行惠普 HP Data Protector 軟件的服務(wù)器（利用CVE-2014-2623）

?Drupal、PhpMyAdmin 安裝程序、NFS 盒子、開放 SMB 端口的服務(wù)器（暴力破解憑證）

此外，Prowli 的操縱者還了運(yùn)行了 SSH 掃描器模塊，嘗試猜測暴露 SSH 端口的設(shè)備用戶名和密碼。

部署加密貨幣挖礦程序、后門和 SSH 掃描器

一旦服務(wù)器或物聯(lián)網(wǎng)設(shè)備遭受攻擊，Prowli 操縱者便會確定這些設(shè)備是否可用于挖礦。確定之后，操縱者通過門羅幣挖礦程序和 R2R2 蠕蟲對其進(jìn)行感染。R2R2 蠕蟲會對被黑的設(shè)備執(zhí)行 SSH 暴力攻擊，并幫助 Prowli 僵尸網(wǎng)絡(luò)進(jìn)一步擴(kuò)大規(guī)模。

此外，運(yùn)行網(wǎng)站的 CMS 平臺遭遇了后門感染（WSO Web Shell）。攻擊者通過 WSO Web Shell 修改被攻擊的網(wǎng)站，托管惡意代碼將站點(diǎn)的部分訪客重定向至流量分配系統(tǒng)（TDS），然后由TDS將劫持的網(wǎng)絡(luò)流量租給其它攻擊者，并將用戶重定向至各種惡意網(wǎng)站，例如虛假的技術(shù)支持網(wǎng)站和更新網(wǎng)站。

GuardiCore 公司表示，攻擊者使用的 TDS 系統(tǒng)為 EITest（又被稱為 ROI777）。2018年3月，ROI777 遭到黑客攻擊，其部分?jǐn)?shù)據(jù)被泄露到網(wǎng)上后，網(wǎng)絡(luò)安全公司于4月關(guān)閉了該系統(tǒng)。盡管如此，這似乎并沒有阻止 Prowli 僵尸網(wǎng)絡(luò)的行動(dòng)步伐。

受影響區(qū)域，顏色越深越嚴(yán)重

“賺錢機(jī)器”

根據(jù)研究人員的說法，攻擊者精心設(shè)計(jì)并優(yōu)化了整起行動(dòng)，Prowli 惡意軟件感染了9000多家公司網(wǎng)絡(luò)上逾4萬臺服務(wù)器和設(shè)備，然后利用這些設(shè)備卯足勁賺錢，該軟件的受害者遍布全球。

GuardiCore 在報(bào)告中提到 Prowli 的攻擊指示器（IoC）和其它詳情，系統(tǒng)管理員可利用這些信息檢查其 IT 網(wǎng)絡(luò)是否遭遇攻擊。