闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流
“yamMiner”僵尸网络 2016 年底出现,并在 2017 年呈现增长趋势,目前仍处在活跃状态。该僵尸网络建立之初,通过Java Commons Collections反序列化漏洞入侵服务器,漏洞如下所示: (更多细节见:http://www.freebuf.com/articles/system/129459.html) 使用Nday漏洞进行入侵攻击对于未打补丁的计算机而言效果立竿见影。而国内未能及时打补丁的计算机数量并不少,这也是这类挖矿木马僵尸网络持续保持活跃的重要原因之一。 (2)僵尸网络的扩张 当僵尸网络初具雏形后,黑客需要通过现有的傀儡机攻击更多的计算机,通过量的积累转化为可见的利益。因此,僵尸网络中的每一台傀儡机都是攻击的发起者,而他们的目标是互联网中的所有计算机。 “永恒之蓝”漏洞攻击武器在僵尸网络的扩张中起到重要的作用。在上文中展示了“永恒之蓝”漏洞攻击武器在僵尸网络建立时发挥的重要作用,这些同样作用于僵尸网络的扩张,在此不再赘述。 端口扫描和爆破也是僵尸网络扩张的帮手。“隐匿者”挖矿木马僵尸网络中带有全网扫描模块,僵尸程序会不断地对随机ip进行指定端口扫描,若端口开放则尝试进行爆破,爆破成功后则登录目标计算机植入挖矿木马和僵尸程序,继续进一步的扩张。图 6 展示了“隐匿者”挖矿木马僵尸网络端口扫描模块代码片段。表 2 展示了“隐匿者”僵尸网络爆破模块、爆破对象以及当前支持情况。 图6 “隐匿者”僵尸网络端口扫描模块代码片段 表2 “隐匿者”僵尸网络爆破模块概览 高级内网渗透攻击开始出现在挖矿木马僵尸网络的扩张中。我们在“mateMiner”僵尸网络中发现了使用“pass the hash”攻击进行内网渗透的模块。僵尸网络释放了凭证窃取工具mimikatz获取保存在本计算机中的凭证,并用其进行“pass the hash”攻击。图 7 展示了“mateMiner”僵尸网络凭证获取模块的代码片段。 图7 “mateMiner”僵尸网络凭证获取模块代码片段 (编辑:惠州站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |