據(jù)BleepingComputer12月16日消息，一種名為“MCCrash”的新型跨平臺惡意軟件僵尸網(wǎng)絡正在感染 Windows、Linux 和物聯(lián)網(wǎng)設備，對《我的世界》（Minecraft）游戲服務器進行分布式拒絕服務（DDoS）攻擊。

微軟的威脅情報團隊發(fā)現(xiàn)并報告了該僵尸網(wǎng)絡，他們稱，一旦它感染了設備，就可以通過強制 SSH 憑證自行傳播到網(wǎng)絡上的其他系統(tǒng)。目前，大多數(shù)被MCCrash感染的設備位于俄羅斯，但在墨西哥、意大利、印度、哈薩克斯坦和新加坡也均有涉及。

《我的世界》服務器通常是 DDoS 攻擊的目標，無論是為了針對服務器上的玩家還是以此作為勒索需求的一部分。就在不久前的10月，Cloudflare 曾報告針對 Wynncraft 創(chuàng)紀錄的 2.5 Tbbs DDoS 攻擊，而Wynncraft 是《我的世界》最大的服務器之一。

如何感染

微軟表示，MCCrash會隱藏在 Windows 激活工具和 Microsoft Office許可證激活器（KMS 工具）中，當用戶試圖使用上述工具進行盜版激活時，便會感染用戶系統(tǒng)。這些工具中包含惡意 PowerShell 代碼，該代碼會下載一個名為“svchosts.exe”的文件，該文件會啟動“malicious.py”，這是MCCrash主要的網(wǎng)絡負載。隨后，MCCrash會嘗試通過對 IoT 和 Linux 設備執(zhí)行暴力 SSH 攻擊將其傳播到網(wǎng)絡上的其他設備。

在 Windows 上，MCCrash 通過將注冊表值添加到“Software\Microsoft\Windows\CurrentVersion\Run”鍵來建立持久性，并將可執(zhí)行文件作為其值。

僵尸網(wǎng)絡感染和攻擊鏈

MCCrash根據(jù)初始通信中識別的操作系統(tǒng)類型從 C2 服務器接收加密命令， C2 會將以下命令之一發(fā)送回受感染的 MCCrash 設備并執(zhí)行：

C2 發(fā)送給 MCCrash 的命令一覽

上面的大多數(shù)命令專門針對《我的世界》服務器進行 DDoS 攻擊，其中“ATTACK_MCCRASH”最為引人注目，因為它使用了一種使目標服務器崩潰的新穎方法。據(jù)微軟稱，攻擊者以 1.12.2版本的服務器為主要目標，但從 1.7.2 到 1.18.2 的所有服務器版本也容易受到攻擊。而今年發(fā)布的 1.19 版本則不受 ATTACK_MCCRASH、ATTACK_[MCBOT|MINE] 和 ATTACK_MCDATA 命令的影響。盡管如此，仍有相當多的《我的世界》服務器仍在運行舊版本，其中大部分位于美國、德國和法國。

《我的世界》服務器不同版本的市場份額

微軟評論稱，這種威脅利用物聯(lián)網(wǎng)設備的獨特能力，即這些設備通常不被作為僵尸網(wǎng)絡的一部分進行監(jiān)控，從而大大增加了它的影響并降低了被檢測到的風險。

為保護 IoT 設備免受MCCrash等僵尸網(wǎng)絡的侵害，要保證固件均為最新版本，設置強密碼而非系統(tǒng)默認密碼，并在不需要時禁用 SSH 連接。