微软警告新的Minecraft DDoS恶意软件感染Windows、Linux-VPS资讯_海外云服务器资讯_海外服务器资讯

邪恶的 Minecraft 玩家

一种名为“MCCrash”的新型跨平台恶意软件僵尸网络正在感染 Windows、Linux 和物联网设备，对 Minecraft 服务器进行分布式拒绝服务攻击。

僵尸网络是由微软的威胁情报团队发现的，他们报告说，一旦它感染了设备，它就可以通过强制 SSH 凭据自行传播到网络上的其他系统。

“我们对 DDoS 僵尸网络的分析揭示了专门设计用于使用精心设计的数据包攻击私人 Minecraft Java 服务器的功能，最有可能作为在论坛或暗网站点上出售的服务，”微软的新报告解释道。

目前，大多数被 MCCrash 感染的设备位于俄罗斯，但在墨西哥、意大利、印度、哈萨克斯坦和新加坡也有受害者。

Minecraft 服务器通常是 DDoS 攻击的目标，无论是为了伤害服务器上的玩家还是作为勒索需求的一部分。

2022 年 10 月，Cloudflare 报告缓解了针对 Wynncraft 的创纪录的 2.5 Tbbs DDoS 攻击，Wynncraft 是世界上最大的 Minecraft 服务器之一。

从盗版软件入手

微软表示，在用户安装伪造的 Windows 产品激活工具和木马化的 Microsoft Office 许可证激活器（KMS 工具）后，设备最初会感染 MCCrash。

破解工具包含恶意 PowerShell 代码，该代码会下载一个名为“svchosts.exe”的文件，该文件会启动“malicious.py”，这是主要的僵尸网络负载。

MCCrash 然后尝试通过对 IoT 和 Linux 设备执行暴力 SSH 攻击来传播到网络上的其他设备。

“僵尸网络通过枚举暴露在互联网上的安全外壳 (SSH) 启用设备上的默认凭据来传播。

由于 IoT 设备通常启用了具有潜在不安全设置的远程配置，因此这些设备可能面临类似此僵尸网络的攻击风险。

僵尸网络的传播机制使其成为一种独特的威胁，因为虽然可以从受感染的源 PC 中删除恶意软件，但它可能会持续存在于网络中不受管理的物联网设备上，并继续作为僵尸网络的一部分运行。”- 微软。

恶意 Python 文件可以在 Windows 和 Linux 环境中运行。首次启动时，它会通过端口 4676 与 C2 建立 TCP 通信通道，并发送基本的主机信息，例如它正在运行的系统。

在 Windows 上，MCCrash 通过将注册表值添加到“Software\Microsoft\Windows\CurrentVersion\Run”键来建立持久性，并将可执行文件作为其值。

僵尸网络根据初始通信中识别的操作系统类型从 C2 服务器接收加密命令。

然后 C2 会将以下命令之一发送回受感染的 MCCrash 设备以执行：

上述大多数命令专门用于对 Minecraft 服务器进行 DDoS 攻击，其中“ATTACK_MCCRASH”最为引人注目，因为它使用了一种使目标服务器崩溃的新颖方法。

据微软称，威胁者创建了僵尸网络以 Minecra

ft 服务器版本 1.12.2 为目标，但从 1.7.2 到 1.18.2 的所有服务器版本也容易受到攻击。

2022 年发布的 1.19 版不受 ATTACK_MCCRASH、ATTACK_[MCBOT|MINE] 和 ATTACK_MCDATA 命令的当前实施的影响。

尽管如此，仍有相当多的 Minecraft 服务器在旧版本上运行，其中大部分位于美国、德国和法国。

易受攻击的 Minecraft 服务器分布 (Microsoft)

微软评论说：“这种威胁利用物联网设备的独特能力，这些设备通常不被作为僵尸网络的一部分进行监控，从而大大增加了它的影响并降低了被检测到的机会。 ”

为了保护您的 IoT 设备免受僵尸网络的侵害，请保持其固件为最新，使用强（长）密码更改默认凭据，并在不需要时禁用 SSH 连接。