概述 近期，360安全大腦收到用戶反饋稱遭到了勒索軟件攻擊。但與通常的反饋不同的是，該用戶反饋遭到勒索攻擊的設備并非其用于辦公或娛樂的電腦，而是家中的NAS設備。此類反饋的絕 對數量雖然不多，但相較于幾年前勒索軟件野蠻擴張的時期，此類特殊設備或非常見系統遭到勒索軟件攻擊的反饋在全部反饋中的占比也有著較為明顯的增加。 利用360云端大數據進行排查，我們最終將用戶反饋的此次攻擊的源頭鎖定到了一個名為P2Pinfect的僵尸網絡上。該勒索軟件正是P2Pinfect僵尸網絡所釋放的新型攻擊載荷之一。 攻擊說明 P2Pinfect的主體程序是一個網絡蠕蟲，具有網絡入侵能力。其主要的入侵途徑為Redis數據庫，入侵成功后會利用Redis進一步執行更多功能命令。 此外，如果Redis這條路“走不通”，蠕蟲也會利用內置的弱口令庫進行對更多常見程序進行弱口令暴力破解攻擊，不斷使用常見口令嘗試登錄各類常用網絡服務，而一旦任何一個嘗試成功，便可以進入對應設備中進行進一步操作。 而無論通過何種途徑，在入侵成功后蠕蟲主體會通過添加登錄密鑰以及修改cron等方式實現長期駐留，并為后續的隨時訪問鋪路。 完成準備工作后，其會釋放兩種攻擊載荷。其一是一款挖礦程序，該程序相對比較常規，是通過開源代碼編譯的XMRig礦機。