闷声发大财年度之星：2017挖矿木马的疯狂敛财暗流

　　将僵尸程序直接寄生在系统进程中是最好的选择。“yamMiner”僵尸网络在利用Java反序列化漏洞入侵计算机后直接在Java进程中执行命令。而“隐匿者”僵尸网络在通过爆破MSSQL服务入侵其他计算机后以SQLServer Job的形式运行挖矿机，并且在SQLServer中写入多段shellcode。图 9 展示了“隐匿者”在SQLServer中写入的一段shellcode。

　　图9 “隐匿者”僵尸网络在SQLServer中写入的shellcode

　　通过将僵尸程序寄生在系统进程中能够有效逃避杀毒软件的拦截，保证僵尸程序的持续驻留。

　　WMI， PowerShell都是持续驻留的好帮手。许多僵尸网络通过WMI实现僵尸程序在目标计算机中的持续驻留，并且使用PowerShell协助完成工作。

　　“隐匿者”僵尸网络在SQLServer中的shellcode就包含了使用WMI进行挖矿机配置文件定时更新的功能。图 10 展示了这段shellcode的内容。

　　图10 “隐匿者”僵尸网络使用WMI进行定期更新的shellcode片段

　　而“mateMiner”僵尸网络仅仅使用一个PowerShell脚本作为僵尸程序，这也是它最大的特点。这个PowerShell脚本完成了包括入侵、持续驻留、挖矿在内的所有功能。图 11 展示了“mateMiner”僵尸网络从黑客服务器下载执行PowerShell脚本的命令行。

　　图11 “mateMiner”僵尸网络执行PowerShell命令行片段

　　除了利用PowerShell脚本完成工作，“mateMiner”更是将WMI的灵活性发挥到了极致，不仅使用WMI的__EventFilter类实现持续驻留，还将shellcode保存为WMI下类属性的值，需要时载入内存执行，真正实现“无文件”攻击。图 12 展示“mateMiner”使用WMI下类属性存储shellcode的代码片段。

　　图12 “mateMiner”使用WMI存储shellcode代码片段

　　由于PowerShell和WMI有极高的灵活性，僵尸网络能够通过两者有效管理傀儡机，并且减少恶意文件的释放，躲避杀毒软件的查杀。

　　先进的控制与命令方式是持续驻留的关键。每个僵尸网络都有一个最终的控制端，这个控制端负责向僵尸网络中的每个节点下发控制指令。由于控制端的存活时间并不长，其ip地址会频繁进行更换，因此挖矿木马僵尸网络需要一套完备的控制体系以保证随时与控制端联系。

（编辑：惠州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!