常见的挖矿木马
1. WannaMine
WannaMine主要针对搭建WebLogic的服务器,也攻击PHPMyadmin、Drupal等Web应用。WannaMine将染毒机器用“无文件”攻击方法构建一个健壮的僵尸网络,并且支持内网自更新。WannaMine通过WMI类属性存储shell code,并使用“永恒之蓝”漏洞攻击武器及“Mimikatz+WMIExec”攻击组件,在同一局域网进行横向渗透,以隐藏其恶意行为。
2018年6月,WannaMine增加了DDoS模块,改变了以往的代码风格和攻击手法。2019年4月,WannaMine舍弃了原有的隐藏策略,启用新的C2地址存放恶意代码,采用PowerShell内存注入执行挖矿程序和释放PE木马挖矿的方法进行挖矿,增大了挖矿程序执行成功的概率。
2. Mykings(隐匿者)
Mykings在2017年被多家安全厂商披露,至今仍然处于活跃状态,也是迄今为止发现的最复杂的僵尸网络之一。Mykings主要利用“永恒之蓝”漏洞,针对MsSQL、Telnet、RDP、CCTV等系统组件活设备进行密码暴力破解。Mykings在暴力破解成功后,利用扫描攻击进行蠕虫式传播。Mykings不仅局限于挖矿获利,还与其他黑产家族合作完成锁首页、DDoS攻击等工作。
3. Bulehero
Bulehero被披露于2018年8月,其专注于攻击Windows服务器,由于最早使用bulehero.in域名,因此被命名为Bulehero。早期,Bulehero并非使用bulehero.in这个域名作为载荷下载URL,而是直接使用IP地址173.208.202.234。Bulehero不仅使用弱密码暴力破解,并且利用多个服务器组件漏洞进行攻击,攻击主要分为Windows系统漏洞、Web组件漏洞、各类弱密码暴力破解攻击三种类型。
2018年12月,Bulehero成为首个使用远程代码执行漏洞入侵服务器的病毒,而这次入侵也使Bulehero控制的僵尸机数量暴涨。
4. 8220Miner
8220Miner被披露于2018年8月,因固定使用8220端口而被命名。8220Miner是一个长期活跃的,利用多个漏洞进行攻击和部署挖矿程序的国内团伙,也是最早使用Hadoop Yarn未授权访问漏洞攻击的挖矿木马,除此之外,其还使用了多种其他的Web服务漏洞。8220Miner并未采用蠕虫式传播,而是使用固定的一组IP地址进行全网攻击。未来更持久的驻留主机,以获得最大收益,其使用rootkit技术进行自我隐藏。
2018年年初,由于披露的Web服务漏洞POC数量较多,因此8220Miner较为活跃。2018年下半年至今,随着披露的Web服务漏洞POC数量的减少,8220Miner进入沉默其。
5. “匿影”挖矿木马
2019年3月,出现了一种携带NSA全套武器库的新变种挖矿木马“匿影”,该挖矿木马大肆利用功能网盘和图床隐藏自己,在局域网中利用“永恒之蓝”和“双脉冲星”等漏洞进行横向传播。由于该挖矿木马具有极强的隐蔽性和匿名的特点,因此给安全厂商的分析检测增加了难度。
自该挖矿木马被发现以来,其进行了不断更新,增加了挖矿币种、钱包ID、矿池、安装流程、代理等基础设施,简化了攻击流程,启用了最新的挖矿账户,同时挖掘PASC币、门罗币等多种数字加密货币。
6. DDG
DDG被披露于2017年10月,是一个Linux系统下用go语言实现的挖矿木马。2018年,DDG一跃成为继Mykings之后,收益第二多的挖矿木马。DDG利用Orientdb漏洞、Redis为授权访问漏洞、SSH弱密码进行入侵。入侵主机后会下载i.sh的恶意脚本和DDG恶意程序,然后启动disable.sh脚本清理其他挖矿程序,在与攻击者控制的中控服务器通信后启动挖矿程序,挖掘门罗币等获利。
7. h2Miner
h2Miner是一个Linux系统下的挖矿木马,其以恶意shell脚本h2.sh进行命名。主要利用Redis未授权访问漏洞或SSH弱密码作为暴力入口,同时利用多种Web服务漏洞进行攻击,使用主从同步的方法从恶意服务器上同步恶意module,之后在目标机器上加载此恶意module,并执行恶意指令。该挖矿木马的活跃度一直较低,直到2019年12月18日,因Redis入侵方法的改变才突然爆发,成为互联网上又一活跃的挖矿木马。
8. MinerGuard
2019年4月,MinerGuard爆发,其与DDG一样是由go语言实现的挖矿木马,但不同的是它可跨Windows和Linux两个平台进行交叉感染。其利用Redis未授权访问漏洞、SSH弱密码、多种Web服务漏洞进行入侵,成功入侵主机后会运行门罗币挖矿程序,并且通过多个网络服务器漏洞及暴力破解服务器的方法传播。攻击者可以随时通过远程服务器为MinerGuard发送新的病毒模块,且通过以太坊钱包更新病毒服务器地址。
9. Kworkerds
Kworkerds于2018年9月爆发,是一个跨Windows和Linux平台的挖矿木马,它最大的特点是通过劫持动态链接库植入rootkit后门。Kworkerds主要利用Redis未授权访问漏洞、SSH弱密码、WebLogic远程代码执行等进行入侵,入侵后下载mr.sh/2mr.sh恶意脚本运行,植入挖矿程序。该挖矿木马在代码结构未发生重大变化的基础上频繁更换恶意文件下载地址,具备较高的活跃度。
10. Watchdogs
Watchdogs是2019年4月爆发的Linux系统下的挖矿木马。Watchdogs利用SSH弱密码、WebLogic远程代码执行、Jenkins漏洞、ActiveMQ漏洞等进行入侵,还利用新公开的Confluence RCE漏洞大肆传播。其包含自定义版本的UPX加壳程序,会尝试获取root权限,进行隐藏。