概述 近期，360安全大腦收到用戶反饋稱遭到了勒索軟件攻擊。但與通常的反饋不同的是，該用戶反饋遭到勒索攻擊的設(shè)備并非其用于辦公或娛樂(lè)的電腦，而是家中的NAS設(shè)備。此類反饋的絕 對(duì)數(shù)量雖然不多，但相較于幾年前勒索軟件野蠻擴(kuò)張的時(shí)期，此類特殊設(shè)備或非常見(jiàn)系統(tǒng)遭到勒索軟件攻擊的反饋在全部反饋中的占比也有著較為明顯的增加。 利用360云端大數(shù)據(jù)進(jìn)行排查，我們最終將用戶反饋的此次攻擊的源頭鎖定到了一個(gè)名為P2Pinfect的僵尸網(wǎng)絡(luò)上。該勒索軟件正是P2Pinfect僵尸網(wǎng)絡(luò)所釋放的新型攻擊載荷之一。 攻擊說(shuō)明 P2Pinfect的主體程序是一個(gè)網(wǎng)絡(luò)蠕蟲(chóng)，具有網(wǎng)絡(luò)入侵能力。其主要的入侵途徑為Redis數(shù)據(jù)庫(kù)，入侵成功后會(huì)利用Redis進(jìn)一步執(zhí)行更多功能命令。 此外，如果Redis這條路“走不通”，蠕蟲(chóng)也會(huì)利用內(nèi)置的弱口令庫(kù)進(jìn)行對(duì)更多常見(jiàn)程序進(jìn)行弱口令暴力破解攻擊，不斷使用常見(jiàn)口令嘗試登錄各類常用網(wǎng)絡(luò)服務(wù)，而一旦任何一個(gè)嘗試成功，便可以進(jìn)入對(duì)應(yīng)設(shè)備中進(jìn)行進(jìn)一步操作。 而無(wú)論通過(guò)何種途徑，在入侵成功后蠕蟲(chóng)主體會(huì)通過(guò)添加登錄密鑰以及修改cron等方式實(shí)現(xiàn)長(zhǎng)期駐留，并為后續(xù)的隨時(shí)訪問(wèn)鋪路。 完成準(zhǔn)備工作后，其會(huì)釋放兩種攻擊載荷。其一是一款挖礦程序，該程序相對(duì)比較常規(guī)，是通過(guò)開(kāi)源代碼編譯的XMRig礦機(jī)。