常用系統
常用連結
學期期間開放時間
週一至週五 08:00-21:00
週六、週日 08:30-12:30
寒暑假期間開放時間
週一至週五 09:00-17:00
      週六       09:00-12:00

※ 國定假日不對外開放
首頁 > 資安專區 > 資安宣導 > 校內常見殭屍網路(Botnet)-Smominru.Botnet
校內常見殭屍網路(Botnet)-Smominru.Botnet 2018-03-12

手法:

疑似對外進行非法攻擊,Smominru Botnet為美國國家安全局外流的永恆之藍(EternalBlue)攻擊工具,變成入侵 Windows 伺服器的有害程式「Smominru」。Smominru 使用「Windows Management Infrastructure」來散播並使受害電腦加入殭屍網路,進而讓受害主機挖掘門羅幣(Monero)。

 

建議措施:

1.檢查防火牆紀錄:查看內部是否有開啟異常的連接埠,並查看內部是否有對外大量不同目的 IP 之異常連線

2.利用工具程式(如:TCPview、procexp)於來源主機觀察,找出實際執行連線的程式,確認該程式是否為惡意程式。

3.若連線並非預期行為,則來源主機可能已遭植入惡意程式,建議利用木馬或後門清除程式掃瞄該主機,並手動檢測是否有惡意程式執行。

4.參考資料: https://www.proofpoint.com/us/threat-insight/post/smominru-monero-mining-botnet-making-millions-operators

 

資料來源:資安通報應變平台