常見的挖礦木馬如下:
WannaMine主要針對搭建WebLogic的服務器,也攻擊PHPMyadmin、Drupal等Web應用。WannaMine將染毒機器用“無文件”攻擊方法構建一個健壯的僵尸網絡,并且支持內網自更新。WannaMine通過WMI類屬性存儲shellcode,并使用“永恒之藍”漏洞攻擊武器及“Mimikatz+WMIExec”攻擊組件,在同一局域網進行橫向滲透,以隱藏其惡意行為。2018年6月,WannaMine增加了DDoS模塊,改變了以往的代碼風格和攻擊手法。2019年4月,WannaMine舍棄了原有的隱藏策略,啟用新的C2地址存放惡意代碼,采用PowerShell內存注入執行挖礦程序和釋放PE木馬挖礦的方法進行挖礦,增大了挖礦程序執行成功的概率。
Mykings在2017年被多家安全廠商披露,至今仍然處于活躍狀態,也是迄今為止發現的最復雜的僵尸網絡之一。Mykings主要利用“永恒之藍”漏洞,針對MsSQL、Telnet、RDP、CCTV等系統組件或設備進行密碼暴力破解。Mykings在暴力破解時還集成了豐富的弱密碼字典和針對MsSQL的多種命令執行方法。暴力破解成功后,利用掃描攻擊進行蠕蟲式傳播。Mykings不僅局限于挖礦獲利,還與其他黑產家族合作完成鎖首頁、DDoS攻擊等工作。
Bulehero被披露于2018年8月,其專注于攻擊Windows服務器,由于最早使用bulehero.in域名,因此被命名為Bulehero。早期,Bulehero并非使用bulehero.in這個域名作為載荷下載URL,而是直接使用IP地址173.208.202.234。Bulehero不僅使用弱密碼暴力破解,并且利用多個服務器組件漏洞進行攻擊,攻擊主要分為Windows系統漏洞、Web組件漏洞、各類弱密碼暴力破解攻擊三種類型。
2018年12月,Bulehero成為首個使用遠程代碼執行漏洞入侵服務器的病毒,而這次入侵也使Bulehero控制的僵尸機數量暴漲。
8220Miner被披露于2018年8月,因固定使用8220端口而被命名。8220Miner是一個長期活躍的,利用多個漏洞進行攻擊和部署挖礦程序的國內團伙,也是最早使用Hadoop Yarn未授權訪問漏洞攻擊的挖礦木馬,除此之外,其還使用了多種其他的Web服務漏洞。8220Miner并未采用蠕蟲式傳播,而是使用固定的一組IP地址進行全網攻擊。為了更持久的駐留主機,以獲得最大收益,其使用rootkit技術進行自我隱藏。
2018年年初,由于披露的Web服務漏洞POC數量較多,因此8220Miner較為活躍。2018年下半年至今,隨著披露的Web服務漏洞POC數量的減少,8220Miner進入沉默期。
2019年3月,出現了一種攜帶NSA全套武器庫的新變種挖礦木馬“匿影”,該挖礦木馬大肆利用功能網盤和圖床隱藏自己,在局域網中利用“永恒之藍”和“雙脈沖星”等漏洞進行橫向傳播。由于該挖礦木馬具有極強的隱蔽性和匿名的特點,因此給安全廠商的分析檢測增加了難度。
自該挖礦木馬被發現以來,其進行不斷更新,增加了挖礦幣種、錢包ID、礦池、安裝流程、代理等基礎設施,簡化了攻擊流程,啟用了最新的挖礦賬戶,同時挖掘PASC幣、門羅幣等多種數字加密貨幣。
DDG被披露于2017年10月,是一個Linux系統下用go語言實現的挖礦木馬。2018年,DDG一躍成為繼Mykings之后,收益第二多的挖礦木馬。DDG利用Orientdb漏洞、Redis未授權訪問漏洞、SSH弱密碼進行入侵。入侵主機后會下載i.sh的惡意腳本和DDG惡意程序,然后啟動disable.sh腳本清理其他挖礦程序,在與攻擊者控制的中控服務器通信后啟動挖礦程序,挖掘門羅幣等獲利。
h2Miner是一個Linux系統下的挖礦木馬,其以惡意shell腳本h2.sh進行命名。主要利用Redis未授權訪問漏洞或SSH弱密碼作為暴力破解入口,同時利用多種Web服務漏洞進行攻擊,使用主從同步的方法從惡意服務器上同步惡意module,之后在目標機器上加載此惡意module,并執行惡意指令。該挖礦木馬的活躍度一直較低,直到2019年12月18日,因Redis入侵方法的改變才突然爆發,成為互聯網上又一活躍的挖礦木馬。
2019年4月,MinerGuard爆發,其與DDG一樣是由go語言實現的挖礦木馬,但不同的是它可跨Windows和Linux兩個平臺進行交叉感染。其利用Redis未授權訪問漏洞、SSH弱密碼、多種Web服務漏洞進行入侵,成功入侵主機后會運行門羅幣挖礦程序,并且通過多個網絡服務器漏洞及暴力破解服務器的方法傳播。攻擊者可以隨時通過遠程服務器為MinerGuard發送新的病毒模塊,且通過以太坊錢包更新病毒服務器地址。
Kworkerds于2018年9月爆發,是一個跨Windows和Linux平臺的挖礦木馬,它最大的特點是通過劫持動態鏈接庫植入rootkit后門。Kworkerds主要利用Redis未授權訪問漏洞、SSH弱密碼、WebLogic遠程代碼執行等進行入侵,入侵后下載mr.sh/2mr.sh惡意腳本運行,植入挖礦程序。該挖礦木馬在代碼結構未發生重大變化的基礎上頻繁更換惡意文件下載地址,具備較高的活躍度。
mr.sh/2mr.sh
1- Watchdogs
Watchdogs是2019年4月爆發的Linux系統下的挖礦木馬。Watchdogs利用SSH弱密碼、WebLogic遠程代碼執行、Jenkins漏洞、ActiveMQ漏洞等進行入侵,還利用新公開的Confluence RCE漏洞大肆傳播。其包含自定義版本的UPX加殼程序,會嘗試獲取root權限,進行隱藏。
回答所涉及的環境:聯想天逸510S、Windows 10。
常見的挖礦木馬如下:
WannaMine主要針對搭建WebLogic的服務器,也攻擊PHPMyadmin、Drupal等Web應用。WannaMine將染毒機器用“無文件”攻擊方法構建一個健壯的僵尸網絡,并且支持內網自更新。WannaMine通過WMI類屬性存儲shellcode,并使用“永恒之藍”漏洞攻擊武器及“Mimikatz+WMIExec”攻擊組件,在同一局域網進行橫向滲透,以隱藏其惡意行為。2018年6月,WannaMine增加了DDoS模塊,改變了以往的代碼風格和攻擊手法。2019年4月,WannaMine舍棄了原有的隱藏策略,啟用新的C2地址存放惡意代碼,采用PowerShell內存注入執行挖礦程序和釋放PE木馬挖礦的方法進行挖礦,增大了挖礦程序執行成功的概率。
Mykings在2017年被多家安全廠商披露,至今仍然處于活躍狀態,也是迄今為止發現的最復雜的僵尸網絡之一。Mykings主要利用“永恒之藍”漏洞,針對MsSQL、Telnet、RDP、CCTV等系統組件或設備進行密碼暴力破解。Mykings在暴力破解時還集成了豐富的弱密碼字典和針對MsSQL的多種命令執行方法。暴力破解成功后,利用掃描攻擊進行蠕蟲式傳播。Mykings不僅局限于挖礦獲利,還與其他黑產家族合作完成鎖首頁、DDoS攻擊等工作。
Bulehero被披露于2018年8月,其專注于攻擊Windows服務器,由于最早使用bulehero.in域名,因此被命名為Bulehero。早期,Bulehero并非使用bulehero.in這個域名作為載荷下載URL,而是直接使用IP地址173.208.202.234。Bulehero不僅使用弱密碼暴力破解,并且利用多個服務器組件漏洞進行攻擊,攻擊主要分為Windows系統漏洞、Web組件漏洞、各類弱密碼暴力破解攻擊三種類型。
2018年12月,Bulehero成為首個使用遠程代碼執行漏洞入侵服務器的病毒,而這次入侵也使Bulehero控制的僵尸機數量暴漲。
8220Miner被披露于2018年8月,因固定使用8220端口而被命名。8220Miner是一個長期活躍的,利用多個漏洞進行攻擊和部署挖礦程序的國內團伙,也是最早使用Hadoop Yarn未授權訪問漏洞攻擊的挖礦木馬,除此之外,其還使用了多種其他的Web服務漏洞。8220Miner并未采用蠕蟲式傳播,而是使用固定的一組IP地址進行全網攻擊。為了更持久的駐留主機,以獲得最大收益,其使用rootkit技術進行自我隱藏。
2018年年初,由于披露的Web服務漏洞POC數量較多,因此8220Miner較為活躍。2018年下半年至今,隨著披露的Web服務漏洞POC數量的減少,8220Miner進入沉默期。
2019年3月,出現了一種攜帶NSA全套武器庫的新變種挖礦木馬“匿影”,該挖礦木馬大肆利用功能網盤和圖床隱藏自己,在局域網中利用“永恒之藍”和“雙脈沖星”等漏洞進行橫向傳播。由于該挖礦木馬具有極強的隱蔽性和匿名的特點,因此給安全廠商的分析檢測增加了難度。
自該挖礦木馬被發現以來,其進行不斷更新,增加了挖礦幣種、錢包ID、礦池、安裝流程、代理等基礎設施,簡化了攻擊流程,啟用了最新的挖礦賬戶,同時挖掘PASC幣、門羅幣等多種數字加密貨幣。
DDG被披露于2017年10月,是一個Linux系統下用go語言實現的挖礦木馬。2018年,DDG一躍成為繼Mykings之后,收益第二多的挖礦木馬。DDG利用Orientdb漏洞、Redis未授權訪問漏洞、SSH弱密碼進行入侵。入侵主機后會下載i.sh的惡意腳本和DDG惡意程序,然后啟動disable.sh腳本清理其他挖礦程序,在與攻擊者控制的中控服務器通信后啟動挖礦程序,挖掘門羅幣等獲利。
h2Miner是一個Linux系統下的挖礦木馬,其以惡意shell腳本h2.sh進行命名。主要利用Redis未授權訪問漏洞或SSH弱密碼作為暴力破解入口,同時利用多種Web服務漏洞進行攻擊,使用主從同步的方法從惡意服務器上同步惡意module,之后在目標機器上加載此惡意module,并執行惡意指令。該挖礦木馬的活躍度一直較低,直到2019年12月18日,因Redis入侵方法的改變才突然爆發,成為互聯網上又一活躍的挖礦木馬。
2019年4月,MinerGuard爆發,其與DDG一樣是由go語言實現的挖礦木馬,但不同的是它可跨Windows和Linux兩個平臺進行交叉感染。其利用Redis未授權訪問漏洞、SSH弱密碼、多種Web服務漏洞進行入侵,成功入侵主機后會運行門羅幣挖礦程序,并且通過多個網絡服務器漏洞及暴力破解服務器的方法傳播。攻擊者可以隨時通過遠程服務器為MinerGuard發送新的病毒模塊,且通過以太坊錢包更新病毒服務器地址。
Kworkerds于2018年9月爆發,是一個跨Windows和Linux平臺的挖礦木馬,它最大的特點是通過劫持動態鏈接庫植入rootkit后門。Kworkerds主要利用Redis未授權訪問漏洞、SSH弱密碼、WebLogic遠程代碼執行等進行入侵,入侵后下載
mr.sh/2mr.sh惡意腳本運行,植入挖礦程序。該挖礦木馬在代碼結構未發生重大變化的基礎上頻繁更換惡意文件下載地址,具備較高的活躍度。1- Watchdogs
Watchdogs是2019年4月爆發的Linux系統下的挖礦木馬。Watchdogs利用SSH弱密碼、WebLogic遠程代碼執行、Jenkins漏洞、ActiveMQ漏洞等進行入侵,還利用新公開的Confluence RCE漏洞大肆傳播。其包含自定義版本的UPX加殼程序,會嘗試獲取root權限,進行隱藏。
回答所涉及的環境:聯想天逸510S、Windows 10。