比特币官网

腾讯安全发布2019年度挖矿木马报告(全文)

  2017年4月之后,MyKings传播量开始出现爆发式增长,正是其利用“永恒之蓝”漏洞武器攻击所导致。通过在僵尸网络中安装门罗币挖矿机,利用服务器资源挖矿,MyKings的门罗币钱包已获得超过百万人民币的收益。

  2.2.2 ZombieBoy

  2017年12月腾讯御见威胁情报中心检测到一款挖矿木马,其PDB文件中发现了明文字符串“C:\Users\ZombieBoy\Documents\Visual Studio 2017\Projects\nc\Release\nc.pdb”,在网上通过关键字“ZombieBoy”进行查找,我们发现了一款“永恒之蓝”漏洞利用工具,推测黑客将此工具改造后于传播挖矿木马。我们根据特征将其其命名为ZombieBoyMiner,御见后台统计数据显示,该木马在高峰时期感染超过7万台电脑。

腾讯安全发布2019年度挖矿木马报告(全文)

  漏洞利用工具ZombieBoy

  2.3 波动下跌

  ZombieBoyMiner出现时(2017年12月)正值比特币价格的最高峰,之后开始波动下跌过程。接着,2018年3月,另一个利用“永恒之蓝”漏洞大范围攻击的挖矿蠕虫病毒WannaMiner被发现了。

  2.3.1 WannaMiner

  WannaMiner木马将染毒机器构建成一个健壮的僵尸网络,并且支持内网自更新,最终目标为通过挖矿获利。由于其在内网传播过程中通过SMB进行内核攻击,可能造成企业内网大量机器出现蓝屏现象。根据统计数据,WannaMiner矿蠕虫感染量超过3万台。

  WannaMiner的攻击流程如下:

腾讯安全发布2019年度挖矿木马报告(全文)

  WannaMiner的攻击流程

  2.3.2 BuleHero

  2018年8月出现了“最强漏洞攻击“的挖矿蠕虫病毒BuleHero。根据御见威胁情报中心持续跟踪结果,除了“永恒之蓝”漏洞外,BuleHero使用了以下漏洞进行攻击:

  LNK漏洞CVE-2017-8464

  Tomcat任意文件上传漏洞CVE-2017-12615

  Apache Struts2远程代码执行漏洞CVE-2017-5638

  Weblogic反序列化任意代码执行漏洞CVE-2018-2628,CVE-2019-2725

  Drupal远程代码执行漏洞CVE-2018-7600

  Apache Solr 远程代码执行漏洞CVE-2019-0193

  THinkphpV5漏洞CNDV-2018-24942

  除了以上漏洞之外,BuleHero的最新版本还使用了2019年9月20日浙江杭州警方公布的“PHPStudy“后门事件中披露的位于php_xmlrpc.dll模块中的漏洞。

腾讯安全发布2019年度挖矿木马报告(全文)

  “PHPStudy“后门利用

  2.3.3 DTLMiner

  2018年12月爆发了DTLMiner(永恒之蓝下载器)挖矿木马。黑客通过入侵某公司服务器,修改某款软件的的升级配置文件,导致安装该软件的用户在升级时下载了木马文件。木马运行后又利用“永恒之蓝”漏洞在内网中快速传播,导致仅2个小时受攻击用户就高达10万。

  DTLMiner构建僵尸网络后,在中招机器植入门罗币矿机程序挖矿。由于DTLMiner前期在短时时间内感染量大量机器,后续又持续更新,加入了MsSQL爆破、IPC$爆破、RDP爆破和Lnk漏洞利用等攻击手法,使得其在2019年一直保持活跃。

腾讯安全发布2019年度挖矿木马报告(全文)

  升级组件漏洞被利用攻击声明

  2.3.4 “匿影”

  DTLMiner之后,2019年3月初出现了“匿影”挖矿木马。该木马大肆利用功能网盘和图床隐藏自己,并携带NSA武器库从而具备在局域网横向传播的能力。“匿影”所使用大量的公共服务如下:

腾讯安全发布2019年度挖矿木马报告(全文)

此文由 比特币官网 编辑,未经允许不得转载!:首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告(全文)

()
分享到:

相关推荐

评论 暂无评论