概述 近期，360安全大脑收到用户反馈称遭到了勒索软件攻击。但与通常的反馈不同的是，该用户反馈遭到勒索攻击的设备并非其用于办公或娱乐的电脑，而是家中的NAS设备。此类反馈的绝 对数量虽然不多，但相较于几年前勒索软件野蛮扩张的时期，此类特殊设备或非常见系统遭到勒索软件攻击的反馈在全部反馈中的占比也有着较为明显的增加。 利用360云端大数据进行排查，我们最终将用户反馈的此次攻击的源头锁定到了一个名为P2Pinfect的僵尸网络上。该勒索软件正是P2Pinfect僵尸网络所释放的新型攻击载荷之一。 攻击说明 P2Pinfect的主体程序是一个网络蠕虫，具有网络入侵能力。其主要的入侵途径为Redis数据库，入侵成功后会利用Redis进一步执行更多功能命令。 此外，如果Redis这条路“走不通”，蠕虫也会利用内置的弱口令库进行对更多常见程序进行弱口令暴力破解攻击，不断使用常见口令尝试登录各类常用网络服务，而一旦任何一个尝试成功，便可以进入对应设备中进行进一步操作。 而无论通过何种途径，在入侵成功后蠕虫主体会通过添加登录密钥以及修改cron等方式实现长期驻留，并为后续的随时访问铺路。 完成准备工作后，其会释放两种攻击载荷。其一是一款挖矿程序，该程序相对比较常规，是通过开源代码编译的XMRig矿机。