微软发现 MCCrash 新型僵尸网络，影响 1.7.2——1.18.2 版本的服务器

FoldedBaton3698 · 发表于 2022-12-17 10:55:47

12 月 15 日，微软威胁情报中心发布文章称，发现一个针对 Minecraft 服务器的跨平台 DDoS 僵尸网络并将其命名为 MCCrash。该僵尸网络以支持 SSH 的设备为目标，通过将恶意软件包装为 Windows 激活工具传播并在被感染设备上执行 PowerShell 指令，从而下载虚假的 svchost.exe（也可能为 svchosts.exe）。

随后，虚假的 svchost.exe 将会启动 malicious.py 以扫描网络上启用了 SSH 的基于 Linux（Debian、Ubuntu、CentOS 等）的设备，并通过发起字典攻击进行传播。一旦找到设备，它就会从特定的仓库下载 Updater.zip 并创建文件“fuse”。而“fuse”则会在那台设备上下载一个 malicious.py 的副本。

svchost.exe 与 malicious.py 均使用 PyInstaller 编译，封装了所有运行恶意软件所必需的 Python 运行时。

该僵尸网络主要使用已知的 DDoS 命令和独特的 Minecraft 指令对 Minecraft 服务器发起 DDoS 攻击。虽然大多数命令都是 DDoS 方法，但最值得注意的命令是 ATTACK_MCCRASH。 该命令将 ${env:特定大小的随机 payload:-a} 作为用户名发送，从而耗尽 Minecraft 服务器的资源并使其崩溃。其使用 env 变量触发 Log4j 2 库的调用，导致系统资源异常消耗（与 Log4Shell 漏洞无关）。这是一种特定且高效的 DDoS 方法。

在测试时，微软发现尽管恶意软件本身被硬编码为针对 Minecraft 1.12.2 的服务器，但是，1.7.2 和 1.18.2 之间的所有版本都可能受到影响。而 2022 年早些时候发布的 Minecraft 1.19 中的协议略有修改，从而能够在这次攻击中幸免于难。

上述图表突出了如果该恶意软件被专门编写成影响 Minecraft 1.12.2 以上的版本可能会产生的影响。且该恶意软件通过利用物联网设备一般不被归入僵尸网络监测的特点，大大降低了其被检测到的可能性，也增强了其影响。

微软称，对于 Minecraft 服务器所有者，应该将服务器版本提升到 1.19.1 或更高。

参考：

MCCrash: Cross-platform DDoS botnet targets private Minecraft servers - Microsoft Security Blog

全球半数《我的世界》服务器均受影响，微软发现 MCCrash 新型僵尸网络（IT 之家）

FoldedBaton3698 · 发表于 2022-12-17 18:39:01

对不起，我忘记把原帖写在帖子里了

https://www.mcbbs.net/thread-1405802-1-1.html

芓又又zyew · 发表于 2022-12-17 18:51:35

有点哈人

RanM · 发表于 2022-12-17 20:29:26

1.7.10 1.8.9 1.12.2 1.14.4 1.16.5 钉子户震怒

XiaozhiSans · 发表于 2022-12-17 22:55:51

问题是1.7.2以下还有多少人玩？

RanM · 发表于 2022-12-18 07:57:18

你让pvp服务器提到1.8.9以上？有多少人包括血神不喜欢1.9的战斗机制

XiaozhiSans · 发表于 2022-12-18 08:02:02

圣less 发表于 2022-12-18 07:57
你让pvp服务器提到1.8.9以上？有多少人包括血神不喜欢1.9的战斗机制

没看标题吗？影响1.7.2-1.18.2的服务器
不一定提高，除非你跟我说用1.19PVP

6281x块Judoge · 发表于 2022-12-18 12:46:49

每个字都认识就看不懂

我的世界玩家哈 · 发表于 2022-12-18 17:06:12

我还以为影响了基岩版的服务器

星涵喵 · 发表于 2022-12-20 21:44:19

好可怕，还好我只玩单人游戏

[其他资讯] 微软发现 MCCrash 新型僵尸网络，影响 1.7.2——1.18.2 版本的服务器

评分

评分

QQ群

访问手机版