该僵尸网络主要使用已知的 DDoS 命令和独特的 Minecraft 指令对 Minecraft 服务器发起 DDoS 攻击。虽然大多数命令都是 DDoS 方法,但最值得注意的命令是 ATTACK_MCCRASH。 该命令将 ${env:特定大小的随机 payload:-a} 作为用户名发送,从而耗尽 Minecraft 服务器的资源并使其崩溃。其使用 env 变量触发 Log4j 2 库的调用,导致系统资源异常消耗(与 Log4Shell 漏洞无关)。这是一种特定且高效的 DDoS 方法。
在测试时,微软发现尽管恶意软件本身被硬编码为针对 Minecraft 1.12.2 的服务器,但是,1.7.2 和 1.18.2 之间的所有版本都可能受到影响。而 2022 年早些时候发布的 Minecraft 1.19 中的协议略有修改,从而能够在这次攻击中幸免于难。
上述图表突出了如果该恶意软件被专门编写成影响 Minecraft 1.12.2 以上的版本可能会产生的影响。且该恶意软件通过利用物联网设备一般不被归入僵尸网络监测的特点,大大降低了其被检测到的可能性,也增强了其影响。
微软称,对于 Minecraft 服务器所有者,应该将服务器版本提升到 1.19.1 或更高。
参考: