利用僵尸网络发动DDoS攻击在安全领域已经不是问题,但现在一些安全公司发现,名为“Bondnet”的僵尸网络不仅可以通过控制15000多台服务器发动DDoS攻击和窃取企业数据,还可以利用被控制的僵尸网络“挖矿”,挖掘不同种类的虚拟货币。
DDoS攻击不算什么。Bondnet僵尸网络可以挖矿。
据披露,这位代号为Bood007.01的黑客从去年12月开始,主要是挖掘暗网上常用的Monero(门罗币),一天大约赚1000美元(约合人民币6902.5元)。
Bondnet主要锁定Windows Server主机,利用系统的弱密码问题和常见的旧系统漏洞入侵系统,如phpMyAdmin配置错误漏洞。或者JBoss,Oracle Web应用测试套件,ElasticSearch,MS SQL服务器,Apache Tomcat,Oracle Weblogic等。然后通过一系列的Visual Basic脚本程序,来植入远程木马和挖矿程序。
最早的僵尸网络攻击发生在香港,因为phpMyAdmin的配置错误,给了攻击者秘密植入未知DLL文件和编码Visual Basic脚本的机会。虽然被感染的主机上安装了多种杀毒软件,但没有一个发现这些问题文件并报警。此外,攻击者还会植入WMI木马与CC服务器通信,并将设备数据传输到CC服务器,包括设备名称、RDP端口、账号密码、Windows版本、活动处理器数量、运行时间、操作系统语言、CPU架构(x86/x64)等。这些数据以ASCII编码,通过HTTP协议传输。
僵尸网络攻击流程图(图片来自guardicore.com)
研究人员指出,一些机器人被用于执行挖掘计算,攻击者会根据不同种类加密货币的集合下载并安装相应的矿工程序,包括Monero、ByteCoin、RieCoin和ZCash等。这些加密货币可以兑换成美元。而且为了保证挖掘任务不会因为系统重启而中断,攻击者还设置了一个调度规则,每小时自动启动一次挖掘程序。
目前僵尸网络控制的僵尸网络大多负责挖矿,也有部分僵尸网络负责敲诈攻击。而其目标是针对跨国企业、大学、市议会和其他政府机构发动攻击。
