12 月 15 日,微软威胁情报中心发布文章称,发现一个针对 Minecraft 服务器的跨平台 DDoS 僵尸网络并将其命名为 MCCrash。该僵尸网络以支持 SSH 的设备为目标,通过将恶意软件包装为 Windows 激活工具传播并在被感染设备上执行 PowerShell 指令,从而下载虚假的 svchost.exe(也可能为 svchosts.exe)。
随后,虚假的 svchost.exe 将会启动 malicious.py 以扫描网络上启用了 SSH 的基于 Linux(Debian、Ubuntu、CentOS 等)的设备,并通过发起字典攻击进行传播。一旦找到设备,它就会从特定的仓库下载 Updater.zip 并创建文件“fuse”。而“fuse”则会在那台设备上下载一个 malicious.py 的副本。
svchost.exe 与 malicious.py 均使用 PyInstaller 编译,封装了所有运行恶意软件所必需的 Python 运行时。 该僵尸网络主要使用已知的 DDoS 命令和独特的 Minecraft 指令对 Minecraft 服务器发起 DDoS 攻击。虽然大多数命令都是 DDoS 方法,但最值得注意的命令是 ATTACK_MCCRASH。 该命令将 ${env:特定大小的随机 payload:-a} 作为用户名发送,从而耗尽 Minecraft 服务器的资源并使其崩溃。其使用 env 变量触发 Log4j 2 库的调用,导致系统资源异常消耗(与 Log4Shell 漏洞无关)。这是一种特定且高效的 DDoS 方法。
在测试时,微软发现尽管恶意软件本身被硬编码为针对 Minecraft 1.12.2 的服务器,但是,1.7.2 和 1.18.2 之间的所有版本都可能受到影响。而 2022 年早些时候发布的 Minecraft 1.19中的协议略有修改,从而能够在这次攻击中幸免于难。
上述图表突出了如果该恶意软件被专门编写成影响 Minecraft 1.12.2 以上的版本可能会产生的影响。且该恶意软件通过利用物联网设备一般不被归入僵尸网络监测的特点,大大降低了其被检测到的可能性,也增强了其影响。
微软称,对于 Minecraft 服务器所有者,应该将服务器版本提升到 1.19.1 或更高。
参考:
|