利用僵尸网络发动ddos攻击在安全界来说已经不算事了,但现在有安全公司发现,名为“bondnet”的僵尸网络通过控制超过15000台的服务器,不仅能够发动ddos攻击、窃取企业的数据,甚至还能用所控制的僵尸设备“挖矿”,开采不同种类的虚拟货币。
ddos攻击不算事 bondnet僵尸网络可挖矿
据披露,代号为bood007.01的黑客从去年12月开始,主要开采暗网上常用的monero(门罗币),一天大约可获利1000美元(约6902.5元人民币)。
而bondnet主要锁定windows server主机,利用系统弱密码问题,和常见老旧系统漏洞来入侵系统,例如phpmyadmin配置错误漏洞,或jboss、oracle web application testing suite、elasticsearch、ms sql servers、apache tomcat、oracle weblogic等,再通过一系列visual basic脚本程序,来植入远端的木马和采矿程序。
最早一波botnet攻击发生在香港,因为phpmyadmin配置错误,让攻击者有机可乘,暗中植入了未知的dll文件和编码过的visual basic脚本程序。虽然感染主机上安装了多种杀毒软件,但都没有发现到这些问题文件而告警。此外,攻击者还会植入wmi木马,来与c&c服务器沟通,传递设备的数据到c&c服务器,包括设备名称、rdp端口、帐号密码、windows版本、正在活动的处理器数量、运行时间、操作系统的语言、cpu的架构(x86/x64)等等,这些数据使用ascii编码,并且通过http协议进行传输。
botnet攻击流程图
研究人员指出,部分僵尸设备被用来执行采矿计算,攻击者会根据采集不同种类的加密货币,下载并安装相对应的矿工程序,采集加密货币的种类包括monero、bytecoin、riecoin和zcash等,这些加密货币都能兑换成美元。而且,为了确保采矿任务不会因系统重开机而中断,攻击者还设定了排期规则,每小时会自动启动一次采矿程序。
目前,botnet所控大多数僵尸设备负责采矿工作,一部分僵尸设备则负责勒索攻击。而其目标则针对跨国企业、大学、市议会和其他政府机关来发动攻击。
本文转自d1net(转载)