挖礦木馬的傳播方式有哪些

挖礦木馬的傳播方式如下：

• 利用漏洞

  Windows系統漏洞、服務器組件插件漏洞、中間件漏洞以及web漏洞；redis、ssh、3389、mssql、IPC$等各種弱口令漏洞。利用系統漏洞或弱口令快速獲取相關服務器權限，植入挖礦木馬。

• 使用NSA武器

  “方程式黑客組織”使用的部分網絡武器被公開，其中包括可以遠程攻破全球約70% Windows系統的漏洞利用工具。包括永恒之藍、永恒冠軍、永恒浪漫、永恒協作、翡翠纖維、古怪地鼠、愛斯基摩卷、文雅學者、日食之翼和尊重審查。黑客NSA武器進行批量漏洞掃描攻擊，獲取更多肉雞，植入挖礦木馬貢獻算力。

• 無文件挖礦

  通過在Powershell中嵌入PE文件加載的形式，達到執行“無文件”形式挖礦攻擊。新的挖礦木馬執行方式沒有文件落地，直接在Powershell.exe進程中運行，這種注入“白進程”執行的方式可能造成難以檢測和清除惡意代碼。

• 通過弱密碼暴力破解傳播

  挖礦木馬會通過弱密碼暴力破解進行傳播，但這種方法攻擊時間較長。

• 利用網頁掛馬

  網站在其網頁內嵌了挖礦 JavaScript 腳本，用戶一旦進入此類網站，JS 腳本就會自動執行，自動下載若干個病毒。部分系統存在flash高危安漏洞，也被攻擊者利用，使電腦自動運行挖礦代碼。

• 暴力挖礦病毒

  360 發現了可以迅速傳播的挖礦劫持程序WinstarNssmMiner。這個惡意程序的特別之處在于，卸載它會讓受害者的計算機崩潰。WinstarNssmMiner首先啟動svchost.exe進程并向其植入代碼，然后將該進程的屬性設置為CriticalProcess。由于計算機將其視為關鍵進程，因此一旦強制結束該進程，計算機就會藍屏。

• 黑吃黑

  因為比特幣地址很長，為了方便使用很多人會選擇保存在本地，很多挖礦木馬會帶有劫持剪貼板功能，當監視到受害主機出現比特幣交易時，會將收款錢包替換為自己的錢包地址，從而盜取受害者資產。

• 利用軟件供應鏈攻擊傳播

  軟件供應鏈攻擊是指利用軟件供應商與最終用戶之間的信任關系，在合法軟件正常傳播和升級過程中，利用軟件供應商的各種疏忽或漏洞，對合法軟件進行劫持或篡改，從而繞過傳統安全產品檢查，達到非法目的的攻擊。例如，2018 年 12 月出現的 DTLMiner 是利用現有軟件升級功能進行木馬分發，屬于供應鏈攻擊傳播。攻擊者在后臺的配置文件中插入木馬下載鏈接，導致在軟件升級時下載木馬文件。

• 利用社交軟件、郵件傳播

  攻擊者將木馬程序偽裝成正規軟件、熱門文件等，通過社交軟件或郵件發送給受害者，受害者一旦打開相關軟件或文件就會激活木馬。

回答所涉及的環境：聯想天逸510S、Windows 10。