在去年9月，安全加报道过 门罗币XMR挖矿恶意软件Mal/Miner-C出现 。昨天卡巴斯基安全专家确认，门罗币再次现身，这次攻击发起方开始利用CVE-2017-7494漏洞SambaCry传播 门罗币 挖矿程序CPUminer，独立安全研究人员Omri Ben Bassat‏同样观察到了这次攻击，并将其命名为“EternalMiner”。

Samba漏洞CVE-2017-7494 SambaCry

5月底， Samba开发项目组修补了一为时7年的远程代码执行（RCE）漏洞 ，该漏洞影响Samba软件3.5.0及之后所有版本。攻击者可利用这个RCE漏洞上传共享库至可写共享，在服务器上加载并执行。利用这个名为SambaCry的漏洞，远程黑客可完全控制有漏洞的Linux和UNIX系统。

SambaCry易于利用，只要满足下列条件，便可发动攻击：

• 开放文件与打印共享端口445，使任何人均可从互联网*问该端口；
• 为共享文件配置写权限；
• 使用已知或可猜测的服务器路径保存这些文件。

满足上述条件后，远程攻击者便可上传任意代码至服务器并运行，针对个别有漏洞的平台，可能还会获得不受限制的root权限。 Samba 发布的安全通告中称，

“ Samba 3.5.0 及之后所有版本包含远程代码执行漏洞，恶意客户端可上传共享库至可写共享，并在服务器上加载和运行。 ”

Samba漏洞CVE-2017-7494缓解措施

Samba发布的通告中还提供了修补该RCE漏洞（CVE-2017-7494）的补丁，用户可从如下网址获得：

http://www.samba.org/samba/security/

系统管理员须使用该补丁尽快修补受影响版本，若因各种原因无法及时修补，可在Samba配置文件中添加如下代码：

nt pipe support = no

并重启网络的SMB守护进程进行规避。更改配置后会限制客户端访问部分网络计算机。

“ 此外 ， 发布了 Samba 4.6.4 、 4.5.10 和 4.4.14 安全版本修补该漏洞。 Samba 老版本补丁可从 http://samba.org/samba/patches/ 获取。建议使用受影响版本Samba的厂商与管理员尽快升级系统，应用补丁。 ”

Samba漏洞被利用安装门罗币挖矿程序CPUminer

本文所述Samba漏洞似乎属于网络蠕虫，可被恶意代码利用在有漏洞的机器间进行自我复制，而无需用户互动。SambaCry最初被发现时，互联网上有接近485,000台计算机运行Samba。安全研究人员推测，和WannaCry攻击一样，利用SambaCry漏洞的网络攻击正急剧上升。

卡巴斯基实验室研究人员布置蜜罐用来检测实际发生的SambaCry攻击。专家已发现有恶意软件攻击正利用SambaCry漏洞感染Linux系统，安装加密货币挖矿程序。 卡巴斯基报称 ，

“ 5 月 30 日 ， 我司蜜罐捕捉到了利用该特定漏洞的第一次攻击 ， 攻击报文与 ‘ 永恒之蓝 ’ 和 ‘Wannacry’ 木马加密攻击完全不同。让人意外的是，这是一款加密货币挖矿程序！”

独立安全研究人员Omri Ben Bassat‏同样观察到了这次攻击，并将其命名为“EternalMiner”。这位专家确认，攻击发起方在SambaCry漏洞发现一周后便开始利用漏洞劫持Linux计算机，安装升级后的 门罗币 挖矿程序CPUminer。

在利用SambaCry漏洞入侵Linux机器后，攻击者可在目标系统中执行两种数据：

• INAebsGB.so — 远程攻击者访问目标系统所使用的简单反向Shell
• cblRWuoCc.so — 包含加密货币挖矿程序CPUminer的后门

详细的技术分析，见这里

https://securelist.com/78674/sambacry-is-coming/

挖门罗币的攻击者越来越多

卡巴斯基研究人员表示 ，

“ 被攻击机器变成了大农场上的主要劳动力 ， 为攻击者挖掘加密货币。此外，通过系统中留下的反向Shell，攻击者可更改已运行挖矿程序的配置或用其他类型的恶意软件感染受害者计算机。 ”

根据卡巴斯基所说，攻击发起方已获得98门罗币，按当前汇率，相当于5380美元。专家相信，随着越来越多的Linux系统被入侵，犯罪分子会获得更多的非法收入。 研究人员称 ，

“ 挖矿程序是从 2017 年 4 月 29 日注册的域中下载的。根据交易记录，攻击者仅在第二天，即4月30日，就收到了第一笔加密货币付款。第一天，他们获取了约1门罗币（根据2017年6月8日汇率，约为55美元），

但是在上周，他们平均每天可挣约5门罗币。这说明有越来越多的僵尸机加入，为攻击者赚取利润。 ”