加入收藏 | 设为首页 | 会员中心 | 我要投稿 惠州站长网 (https://www.0752zz.com.cn/)- 办公协同、云通信、物联设备、操作系统、高性能计算!
当前位置: 首页 > 站长百科 > 正文

闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流

发布时间:2018-01-20 04:46:29 所属栏目:站长百科 来源:厂商
导读:副标题#e# 0x1 前言 如果说勒索病毒是暴露在大众视野中的“恶魔”,那么挖矿木马就是潜藏在阴暗之处的“寄生虫”。在 2017 年这个安全事件频发的年份,除了受到全世界关注的“WannaCry”勒索病毒的出现之外,一大波挖矿木马也悄然崛起。不同于勒索病毒的明

  “yamMiner”僵尸网络 2016 年底出现,并在 2017 年呈现增长趋势,目前仍处在活跃状态。该僵尸网络建立之初,通过Java Commons Collections反序列化漏洞入侵服务器,漏洞如下所示:

闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流

  (更多细节见:http://www.freebuf.com/articles/system/129459.html)

  使用Nday漏洞进行入侵攻击对于未打补丁的计算机而言效果立竿见影。而国内未能及时打补丁的计算机数量并不少,这也是这类挖矿木马僵尸网络持续保持活跃的重要原因之一。

  (2)僵尸网络的扩张

  当僵尸网络初具雏形后,黑客需要通过现有的傀儡机攻击更多的计算机,通过量的积累转化为可见的利益。因此,僵尸网络中的每一台傀儡机都是攻击的发起者,而他们的目标是互联网中的所有计算机。

  “永恒之蓝”漏洞攻击武器在僵尸网络的扩张中起到重要的作用。在上文中展示了“永恒之蓝”漏洞攻击武器在僵尸网络建立时发挥的重要作用,这些同样作用于僵尸网络的扩张,在此不再赘述。

  端口扫描和爆破也是僵尸网络扩张的帮手。“隐匿者”挖矿木马僵尸网络中带有全网扫描模块,僵尸程序会不断地对随机ip进行指定端口扫描,若端口开放则尝试进行爆破,爆破成功后则登录目标计算机植入挖矿木马和僵尸程序,继续进一步的扩张。图 6 展示了“隐匿者”挖矿木马僵尸网络端口扫描模块代码片段。表 2 展示了“隐匿者”僵尸网络爆破模块、爆破对象以及当前支持情况。

闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流

  图6 “隐匿者”僵尸网络端口扫描模块代码片段

  表2 “隐匿者”僵尸网络爆破模块概览

闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流

  高级内网渗透攻击开始出现在挖矿木马僵尸网络的扩张中。我们在“mateMiner”僵尸网络中发现了使用“pass the hash”攻击进行内网渗透的模块。僵尸网络释放了凭证窃取工具mimikatz获取保存在本计算机中的凭证,并用其进行“pass the hash”攻击。图 7 展示了“mateMiner”僵尸网络凭证获取模块的代码片段。

闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流

  图7 “mateMiner”僵尸网络凭证获取模块代码片段

(编辑:惠州站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!

推荐文章
    热点阅读