常见的挖矿木马

简介: 常见的挖矿木马

常见的挖矿木马
1. WannaMine
WannaMine主要针对搭建WebLogic的服务器,也攻击PHPMyadmin、Drupal等Web应用。WannaMine将染毒机器用“无文件”攻击方法构建一个健壮的僵尸网络,并且支持内网自更新。WannaMine通过WMI类属性存储shell code,并使用“永恒之蓝”漏洞攻击武器及“Mimikatz+WMIExec”攻击组件,在同一局域网进行横向渗透,以隐藏其恶意行为。

2018年6月,WannaMine增加了DDoS模块,改变了以往的代码风格和攻击手法。2019年4月,WannaMine舍弃了原有的隐藏策略,启用新的C2地址存放恶意代码,采用PowerShell内存注入执行挖矿程序和释放PE木马挖矿的方法进行挖矿,增大了挖矿程序执行成功的概率。

2. Mykings(隐匿者)
Mykings在2017年被多家安全厂商披露,至今仍然处于活跃状态,也是迄今为止发现的最复杂的僵尸网络之一。Mykings主要利用“永恒之蓝”漏洞,针对MsSQL、Telnet、RDP、CCTV等系统组件活设备进行密码暴力破解。Mykings在暴力破解成功后,利用扫描攻击进行蠕虫式传播。Mykings不仅局限于挖矿获利,还与其他黑产家族合作完成锁首页、DDoS攻击等工作。

3. Bulehero
Bulehero被披露于2018年8月,其专注于攻击Windows服务器,由于最早使用bulehero.in域名,因此被命名为Bulehero。早期,Bulehero并非使用bulehero.in这个域名作为载荷下载URL,而是直接使用IP地址173.208.202.234。Bulehero不仅使用弱密码暴力破解,并且利用多个服务器组件漏洞进行攻击,攻击主要分为Windows系统漏洞、Web组件漏洞、各类弱密码暴力破解攻击三种类型。

2018年12月,Bulehero成为首个使用远程代码执行漏洞入侵服务器的病毒,而这次入侵也使Bulehero控制的僵尸机数量暴涨。

4. 8220Miner
8220Miner被披露于2018年8月,因固定使用8220端口而被命名。8220Miner是一个长期活跃的,利用多个漏洞进行攻击和部署挖矿程序的国内团伙,也是最早使用Hadoop Yarn未授权访问漏洞攻击的挖矿木马,除此之外,其还使用了多种其他的Web服务漏洞。8220Miner并未采用蠕虫式传播,而是使用固定的一组IP地址进行全网攻击。未来更持久的驻留主机,以获得最大收益,其使用rootkit技术进行自我隐藏。

2018年年初,由于披露的Web服务漏洞POC数量较多,因此8220Miner较为活跃。2018年下半年至今,随着披露的Web服务漏洞POC数量的减少,8220Miner进入沉默其。

5. “匿影”挖矿木马
2019年3月,出现了一种携带NSA全套武器库的新变种挖矿木马“匿影”,该挖矿木马大肆利用功能网盘和图床隐藏自己,在局域网中利用“永恒之蓝”和“双脉冲星”等漏洞进行横向传播。由于该挖矿木马具有极强的隐蔽性和匿名的特点,因此给安全厂商的分析检测增加了难度。

自该挖矿木马被发现以来,其进行了不断更新,增加了挖矿币种、钱包ID、矿池、安装流程、代理等基础设施,简化了攻击流程,启用了最新的挖矿账户,同时挖掘PASC币、门罗币等多种数字加密货币。

6. DDG
DDG被披露于2017年10月,是一个Linux系统下用go语言实现的挖矿木马。2018年,DDG一跃成为继Mykings之后,收益第二多的挖矿木马。DDG利用Orientdb漏洞、Redis为授权访问漏洞、SSH弱密码进行入侵。入侵主机后会下载i.sh的恶意脚本和DDG恶意程序,然后启动disable.sh脚本清理其他挖矿程序,在与攻击者控制的中控服务器通信后启动挖矿程序,挖掘门罗币等获利。

7. h2Miner
h2Miner是一个Linux系统下的挖矿木马,其以恶意shell脚本h2.sh进行命名。主要利用Redis未授权访问漏洞或SSH弱密码作为暴力入口,同时利用多种Web服务漏洞进行攻击,使用主从同步的方法从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module,并执行恶意指令。该挖矿木马的活跃度一直较低,直到2019年12月18日,因Redis入侵方法的改变才突然爆发,成为互联网上又一活跃的挖矿木马。

8. MinerGuard
2019年4月,MinerGuard爆发,其与DDG一样是由go语言实现的挖矿木马,但不同的是它可跨Windows和Linux两个平台进行交叉感染。其利用Redis未授权访问漏洞、SSH弱密码、多种Web服务漏洞进行入侵,成功入侵主机后会运行门罗币挖矿程序,并且通过多个网络服务器漏洞及暴力破解服务器的方法传播。攻击者可以随时通过远程服务器为MinerGuard发送新的病毒模块,且通过以太坊钱包更新病毒服务器地址。

9. Kworkerds
Kworkerds于2018年9月爆发,是一个跨Windows和Linux平台的挖矿木马,它最大的特点是通过劫持动态链接库植入rootkit后门。Kworkerds主要利用Redis未授权访问漏洞、SSH弱密码、WebLogic远程代码执行等进行入侵,入侵后下载mr.sh/2mr.sh恶意脚本运行,植入挖矿程序。该挖矿木马在代码结构未发生重大变化的基础上频繁更换恶意文件下载地址,具备较高的活跃度。

10. Watchdogs
Watchdogs是2019年4月爆发的Linux系统下的挖矿木马。Watchdogs利用SSH弱密码、WebLogic远程代码执行、Jenkins漏洞、ActiveMQ漏洞等进行入侵,还利用新公开的Confluence RCE漏洞大肆传播。其包含自定义版本的UPX加壳程序,会尝试获取root权限,进行隐藏。

相关文章
|
安全 网络协议 网络安全
浅谈Wannacry蠕虫比特币勒索病毒软件
大概在一个月前,有个叫影子经纪人的黑客团队攻破了方程式组织的网络大门,窃取了大量的内部信息,同时“影子经济人”希望方程式组织支付只够多的费用(要价100万美金比特币)用于赎回被窃取的内部资料,看上去这一切就像是黑吃黑。影子经纪人的黑客团队为了证明自己的确攻破了方程式的大门,随后在网上公布了他们武器库的一部分资料。当资料被公布的那一刻,全世界网络安全的人员惊呆了,这个武器库如此之强大,就好像给你展示了一个时空穿越机器,而且这个机器可能是他的实验室里众多的设备之一,而且这东西可能人家很多年前就有了,搁在那都积灰了的陈旧设备。
|
安全 Linux PHP
浅谈木马
浅谈木马远控 在听过某网安教育关于浅谈的公开课后,结合本人学过的东西,以及自己实践过的经历。在此分享下木马对我们的影响。
|
安全 JavaScript 前端开发
木马生成
木马生成
|
监控 安全 NoSQL
记一次服务器被挖矿木马攻击的经历
利用空余时间买了台服务器做了个小网站玩,今天访问了一下,加载巨慢,一看服务器运行情况,CPU飙到100%,按CPU消耗排序,排在第一的是一个名为“imWBR1”的进程,查了一下是一个挖矿木马,于是赶紧采取办法~
记一次服务器被挖矿木马攻击的经历
ZCMU - 1601: 卡斯丁狗去挖矿
ZCMU - 1601: 卡斯丁狗去挖矿
110 0
|
缓存 安全 关系型数据库
服务器被挖矿木马攻击该怎么处理
正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现了攻击者的特征,首先使用thinkphp远程代码执行漏洞,以及ecshop getshell漏洞,phpcms缓存写入漏洞来进行攻击网站,通过网站权限来提权拿到服务器管理员权限,利用其中一台服务器作为中转,来给其他服务器下达命令,执行攻击脚本,注入挖矿木马,对一些服务器的远程管理员账号密码,mysql数据库的账号密码进行暴力猜解。
520 0
服务器被挖矿木马攻击该怎么处理
|
安全 NoSQL Shell
服务器挖矿木马解决办法与预防措施
服务器挖矿木马在17年初慢慢大规模流行,hack利用网络入侵控制了大量的计算机,在移植矿山计划后,利用计算机的CPU和GPU计算力完成了大量的计算,获得了数字加密货币。17年慢慢爆炸后,挖矿木马慢慢变成互联网的主要危害之一。网站服务器如果被挖矿木马团伙攻陷,正常业务服务的性能将遭受严重影响,挖矿木马会被感染,也代表着网站服务器权限被hack攻陷,公司的机密信息可能会泄露,攻击者也可能同时彻底破坏数据。
541 0
服务器挖矿木马解决办法与预防措施
|
云安全 监控 安全
入侵横移十八般武艺如何防御?XMSSMiner挖矿蠕虫分析
近日,阿里云安全监测到一种利用多种漏洞入侵挖矿的恶意攻击,团伙不仅通过4层协议进行入侵,还集成了最新的Web RCE漏洞,由于其主要文件名为xmss,我们将该团伙命名为XMSSMiner。阿里云安全专家分析发现,该僵尸网络不仅通过SMB、SSH进行蠕虫化传播,还利用Yapi、Solr、Confluence等远程命令执行漏洞进行入侵,最终通过持久化方式进行挖矿,对用户主机资源、资产产生不良危害。
788 0
入侵横移十八般武艺如何防御?XMSSMiner挖矿蠕虫分析