新型跨平台僵尸网络正感染-我的世界-游戏服务器 (新型跨平台僵尸游戏)

据BleepingComputer12月16日消息，一种名为“MCCrash”的新型跨平台恶意软件僵尸网络正在感染 Windows、Linux 和物联网设备，对《我的世界》（Minecraft）游戏 服务器 进行分布式拒绝服务（DDoS）攻击。

微软的威胁情报团队发现并报告了该僵尸网络，他们称，一旦它感染了设备，就可以通过强制 ssh 凭证自行传播到网络上的其他系统。目前，大多数被MCCrash感染的设备位于俄罗斯，但在墨西哥、意大利、印度、哈萨克斯坦和新加坡也均有涉及。

《我的世界》服务器通常是 DDoS 攻击的目标，无论是为了针对服务器上的玩家还是以此作为勒索需求的一部分。就在不久前的10月，Cloudflare 曾报告针对 Wynncraft 创纪录的 2.5 Tbbs DDoS 攻击，而Wynncraft 是《我的世界》最大的服务器之一。

微软表示，MCCrash会隐藏在 Windows 激活工具和 Microsoft office许可证激活器（KMS 工具）中，当用户试图使用上述工具进行盗版激活时，便会感染用户系统。这些工具中包含恶意 Powershell 代码，该代码会下载一个名为“svchosts.exe”的文件，该文件会启动“malicious.py”，这是MCCrash主要的网络负载。随后，MCCrash会尝试通过对 IoT 和 Linux 设备执行暴力 SSH 攻击将其传播到网络上的其他设备。

在 Windows 上，MCCrash 通过将注册表值添加到“Software\Microsoft\Windows\CurrentVersion\Run”键来建立持久性，并将可执行文件作为其值。

僵尸网络感染和攻击链

MCCrash根据初始通信中识别的操作系统类型从 C2 服务器接收加密命令， C2 会将以下命令之一发送回受感染的 MCCrash 设备并执行：

C2 发送给 MCCrash 的命令一览

上面的大多数命令专门针对《我的世界》服务器进行 DDoS 攻击，其中“ATTACK_MCCRASH”最为引人注目，因为它使用了一种使目标服务器崩溃的新颖方法。据微软称，攻击者以 1.12.2版本的服务器为主要目标，但从 1.7.2 到 1.18.2 的所有服务器版本也容易受到攻击。而今年发布的 1.19 版本则不受 ATTACK_MCCRASH、ATTACK_[MCBOT|MINE] 和 ATTACK_MCDATA 命令的影响。尽管如此，仍有相当多的《我的世界》服务器仍在运行旧版本，其中大部分位于美国、德国和法国。

《我的世界》服务器不同版本的市场份额

微软评论称，这种威胁利用物联网设备的独特能力，即这些设备通常不被作为僵尸网络的一部分进行监控，从而大大增加了它的影响并降低了被检测到的风险。

为保护 IoT 设备免受MCCrash等僵尸网络的侵害，要保证固件均为最新版本，设置强密码而非系统默认密码，并在不需要时禁用 SSH 连接。

谁知道地狱有几层啊?

如何判断是否遭到DDOS流量攻击

1、服务器连接不到，网站也打不开如果网站服务器被大量ddos攻击时，有可能会造成服务器蓝屏或者死机，这时就意味着服务器已经连接不上了，网站出现连接错误的情况。 2、服务器CPU被大量占用DDoS攻击其实是一种恶意性的资源占用攻击，攻击者利用肉鸡或者攻击软件对目标服务器发送大量的无效请求，导致服务器的资源被大量的占用，因而正常的进程没有得到有效的处理，这样网站就会出现打开缓慢的情况。 如果服务器某段时期能突然出现CPU占用率过高，那么就可能是网站受到CC攻击影响。 3、服务器带宽被大量占用占用带宽资源通常是DDoS攻击的一个主要手段，毕竟对很多小型企业或者个人网站来说，带宽的资源可以说非常有限，网络的带宽被大量无效数据给占据时，正常流量数据请求很很难被服务器进行处理。 如果服务器上行带宽占用率达到90%以上时，那么你的网站通常出现被DDoS攻击的可能。 4、域名ping不出IP域名ping不出IP这种情况站长们可能会比较少考虑到，这其实也是DDoS攻击的一种表现，只是攻击着所针对的攻击目标是网站的DNS域名服务器。 在出现这种攻击时，ping服务器的IP是正常联通的，但是网站就是不能正常打开，并且在ping域名时会出现无法正常ping通的情况。

僵尸网络是什么网络

僵尸网络是指采用一种或多种传播手段，将大量主机感染bot程序（僵尸程序），从而在控制者和被感染主机之间所形成的一个可一对多控制的网络。 攻击者通过各种途径传播僵尸程序感染互联网上的大量主机，而被感染的主机将通过一个控制信道接收攻击者的指令，组成一个僵尸网络。 之所以用僵尸网络这个名字，是为了更形象的让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。 在Botnet的概念中有这样几个关键词。 “bot程序”是robot的缩写，是指实现恶意控制功能的程序代码；“僵尸计算机”就是被植入bot的计算机；“控制服务器（Control Server）”是指控制和通信的中心服务器，在基于IRC（因特网中继聊天）协议进行控制的Botnet中，就是指提供IRC聊天服务的服务器。