【超級病菌】殭屍網絡專攻Minecraft私人伺服器 MCCrash具備內部網絡滲透能力
一款新的跨平台殭屍網絡惡意軟件 MCCrash,近來透過偽裝成破解版或免費版軟件感染電腦用家,並控制電腦裝置向《Minecraft》私人伺服器發動 DDoS 攻擊。由於 MCCrash 具備內部網絡散播能力,專家指一旦成功立足在網絡內的 IoT 產品上,將很難完全清除。
《Minecraft》這款自由度極高的沙盒遊戲,可讓玩家在各種遊戲世界內冒險及收集資源,從而打造屬於自己的國家,它的受歡迎程度極高,不少香港中小學學生也有參與遊戲。遊戲容許玩家自建伺服器,邀請朋友或其他玩家一同體驗自家開發的小遊戲,因此打造伺服器可說是大部分《Minecraft》玩家都曾嘗試的經驗。
現時受歡迎的《Minecraft》私人伺服器很多,因此有黑客為了傷害其他玩家,或對私人伺服器持有者進行勒索,便會發動 DDoS 攻擊以癱瘓其運作,今年 10 月,Cloudflare 便曾為一個知名伺服器 Wynncraft,成功攔截每秒數據流量達 2.5 Tbbs 的破紀錄 DDoS 攻擊。
這次被 Microsoft Threat Intelligence Team 捕獲的 MCCrash 惡意軟件,其目的便是通過控制受感染電腦或其他電腦裝置,將它們變成殭屍大軍的一員,讓黑客可隨時發動 DDoS 攻擊。專家指,MCCrash 最先通過盜版軟件平台散播,它會偽裝成 Windows 或 Microsoft Office 軟件的序號產生器,吸引網民下載使用。
當 MCCrash 被執行後,它便會從黑客的控制中心下載及安裝其他惡意負載,修改 Windows 登入設定令它可以持續被執行,同時繼續搜尋網絡上所有可被感染的設備,例如其他 Linux 電腦及連接的 IoT 裝置,再通過 SSH 暴力破解的方式取得控制權。專家說由於 IoT 裝置一般都可讓用家遙距登入進行設定,再加上生產商亦未必會再為產品提供安全更新,因此較容易被變為殭屍網絡成員。
專家說,現時 MCCrash 主要攻擊俄羅斯的《Minecraft》伺服器,但有證據顯示它正擴張至美國、新加坡等地。現時只得在今年新發行的 Minecraft 伺服器 1.19 版本不受影響,其他用家必須在剷除病毒後再進行升級。
雖然 MCCrash 本身不太難被移除,但由於黑客同時攻擊了 IoT 裝置,這些裝置未必在網絡安全工具的監測範圍內,因此惡意軟件仍可在內部網絡生存,並繼續被黑客利用。專家建議,如要減少 IoT 裝置被入侵風險,應時刻安裝更新,將帳戶登入密碼修改為強密碼,再取消不必要的 SSH 連線,問題基本上可解決。
相關文章:【持久戰】Imperva捕獲反常DDoS 持續4小時總計250億次無效訪問
