挖矿蠕虫 WannaMine：通过 NSA “永恒之蓝” 漏洞传播高级加密矿工

外媒 2 月1 日报道，安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫，其利用与 NSA 相关的 EternalBlue （“ 永恒之蓝 ” ）漏洞进行传播。据研究人员测试，WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统（包括 64 位版本和 Windows Server 2003），并使其设备性能明显下降。

  CrowdStrike 称目前一些矿业的日常运营已受到 WannaMine 影响，比如由于如此高的 CPU 利用率，导致矿业公司的系统以及应用程序崩溃。

  研究人员经过分析后发现 WannaMine 的恶意代码十分复杂，因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是：WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后，WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。

  研究人员注意到，WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据，从而达到横向移动的目的，但如果不能够横向移动的话，WannaMine 将更依赖于 EternalBlue 的利用。