一个新的跨平台僵尸网络正在感染《我的世界》游戏服务器(Minecraft)游戏服务器进行分布式拒绝服务(DDoS)攻击。微软的威胁情报团队发现并报告了僵尸网络,他们说一旦它感染了设备,它就可以通过暴力破解SSH凭据将自己传播到网络上的其他系统。目前,大多数受MCCrash感染的设备位于俄罗斯,但也涉及墨西哥、意大利、印度、哈萨克斯坦和新加坡。《我的世界》服务器通常是DDoS攻击的目标,要么针对服务器上的玩家,要么作为赎金要求的一部分。就在最近的10月,Cloudflare报告了针对Wynncraft的创纪录的2.5TbbsDDoS攻击,Wynncraft是有史以来最大的服务器之一。如何感染微软表示,MCCrash会隐藏在Windows激活工具和MicrosoftOffice许可证激活器(KMS工具)中,当用户试图使用上述工具进行盗版激活时,就会感染用户的系统。这些工具包含恶意PowerShell代码,该代码会下载一个名为“svchosts.exe”的文件,该文件会启动“malicious.py”,这是MCCrash的主要网络负载。MCCrash然后尝试通过对IoT和Linux设备执行暴力SSH攻击将其传播到网络上的其他设备。在Windows上,MCCrash通过将注册表值添加到“Software\Microsoft\Windows\CurrentVersion\Run”键来建立持久性,并将可执行文件作为其值。僵尸网络感染和攻击链MCCrash根据初始通信中识别的操作系统类型从C2服务器接收加密命令,C2将以下命令之一发送回被感染的MCCrash设备并执行它们:发送的命令列表C2对MCCrash的命令如下:大多数命令专用于针对《我的世界》服务器的DDoS攻击,其中“ATTACK_MCCRASH”脱颖而出,因为它使用了一种使目标服务器崩溃的新方法。据微软称,攻击者主要针对版本为1.12.2的服务器,但从1.7.2到1.18.2的所有服务器版本也容易受到攻击。今年发布的1.19版本不受ATTACK_MCCRASH、ATTACK_[MCBOT|MINE]和ATTACK_MCDATA命令的影响。尽管如此,仍有相当多的《我的世界》服务器仍在运行旧版本,其中大部分位于美国、德国和法国。《我的世界》不同版本的服务器市场份额微软评论说,这种威胁利用了物联网设备的独特功能,这些设备通常不会作为僵尸网络的一部分进行监控,从而大大增加了其影响并降低了检测风险。为了保护IoT设备免受MCCrash等僵尸网络的侵害,请保持固件为最新,设置强密码而不是系统默认密码,并在不需要时禁用SSH连接。
