近日，来自网络安全公司Check Point的安全研究人员监测到了一起针对亚太地区国家Windows服务器的大规模黑客活动。在这起攻击活动中，攻击者使用了一种被命名为“Mimikatz”的信息窃取类计算机病毒，旨在窃取敏感数据。

如上所述，Mimikatz所针对的感染目标是Windows服务器，旨在窃取包括登录凭证、操作系统版本和IP地址在内的敏感数据。根据Check Point研究人员的说法，这些被盗数据最终将被上传到一个由攻击者控制的FTP服务器。

此外，从Check Point研究人员的初步分析结果来看，该计算机病毒还与XMRig挖矿软件以及Mirai僵尸网络存在关联。

Mimikatz病毒感染过程

研究人员指出，整个感染过程从下载一个名为“ups.rar”（或u.exe、cab.exe和ps.exe）的文件开始（文件的托管服务器为66[.]117[.]6[.]174 ）。该文件在被下载并保存到受感染计算机上之后便会被执行，进而向223[.]25[.]247[.]240/ok/ups.html（C2服务器）发送GET请求。

需要指出的是，只有当受感染计算机是Windows服务器时，感染过程才会继续。研究人员表示，对于操作系统版本的检查是通过调用GetVersionExA来完成的。更确切地说，Mimikatz将无法在以下操作系统版本上运行：

l Windows 10；

l Windows 8；

l Windows 7；

l Windows Vista；

l Windows XP专业版；

l Windows XP家庭版；

l Windows 2000专业版。

发送两个GET请求

在确定目标计算机运行的是Windows Server操作系统之后，在上一阶段下载的文件（即ups.rar，或u.exe、cab.exe和ps.exe）会发送两个GET请求——一个用于部署批处理文件（my1.bat）并触发无文件攻击；另一个用于与C2服务器同步以获取更新版本。

研究人员表示，my1.bat明显包含了一个属于Mirai僵尸网络的模块，并且攻击者还加强了该模块的功能，以便实施新的攻击。此外，目前大多数杀毒软件都无法将其检测出来。

目前很少有杀毒软件能将my1.bat检测出来

Mirai模块的功能

此新模块被用于运行连接到外部URL的PowerShell命令：

l 创建WMI事件客户对象（WMI Event customer object），运行PowerShell并利用管理员权限（权限提升）；

l 尝试下载并执行恶意软件，如Mirai、Dark cloud和XMRig矿工。

l 运行一个JavaScript文件，该文件曾在以前的攻击中出现过。例如，MyKing僵尸网络。

l 收集用户名和密码以及存储在本地计算机上的其他用户个人信息，并将被盗数据发送到一个FTP服务器。

研究人员表示，目前该FTP服务器仍处于在线，且每一秒钟都会有新的被盗数据上传。这足以表明，这起黑客活动目前仍在继续。