利用僵尸网络发动DDoS攻击在安全界来说已经不算事了,但现在有安全公司发现,名为“Bondnet”的僵尸网络通过控制超过15000台的服务器,不仅能够发动DDoS攻击、窃取企业的数据,甚至还能用所控制的僵尸设备“挖矿”,开采不同种类的虚拟货币。
DDoS攻击不算事 Bondnet僵尸网络可挖矿
据披露,代号为Bood007.01的黑客从去年12月开始,主要开采暗网上常用的Monero(门罗币),一天大约可获利1000美元(约6902.5元人民币)。
而Bondnet主要锁定Windows Server主机,利用系统弱密码问题,和常见老旧系统漏洞来入侵系统,例如phpMyAdmin配置错误漏洞,或JBoss、Oracle Web Application Testing Suite、ElasticSearch、MS SQL servers、Apache Tomcat、Oracle Weblogic等,再通过一系列Visual Basic脚本程序,来植入远端的木马和采矿程序。
最早一波Botnet攻击发生在香港,因为phpMyAdmin配置错误,让攻击者有机可乘,暗中植入了未知的DLL文件和编码过的Visual Basic脚本程序。虽然感染主机上安装了多种杀毒软件,但都没有发现到这些问题文件而告警。此外,攻击者还会植入WMI木马,来与C&C服务器沟通,传递设备的数据到C&C服务器,包括设备名称、RDP端口、帐号密码、Windows版本、正在活动的处理器数量、运行时间、操作系统的语言、CPU的架构(x86/x64)等等,这些数据使用ASCII编码,并且通过HTTP协议进行传输。
Botnet攻击流程图
研究人员指出,部分僵尸设备被用来执行采矿计算,攻击者会根据采集不同种类的加密货币,下载并安装相对应的矿工程序,采集加密货币的种类包括Monero、ByteCoin、RieCoin和ZCash等,这些加密货币都能兑换成美元。而且,为了确保采矿任务不会因系统重开机而中断,攻击者还设定了排期规则,每小时会自动启动一次采矿程序。
目前,Botnet所控大多数僵尸设备负责采矿工作,一部分僵尸设备则负责勒索攻击。而其目标则针对跨国企业、大学、市议会和其他政府机关来发动攻击。