ibm websphere mq [当心!你的电脑可能已经变成为黑客赚钱的挖矿机]怎么成为电脑黑客(2)

（1） 僵尸网络的建立

僵尸网络是否能成规模关键在于僵尸网络的初步建立。黑客需要一个能够完成入侵的攻击武器以获得更多计算机的控制权。

“永恒之蓝”漏洞攻击武器的出现助长了挖矿木马僵尸网络的建立。2017年4月，shadow broker公布了NSA（美国国家安全局）方程式组织的漏洞攻击武器“永恒之蓝”。2017年5月爆发的造成空前影响的“WannaCry”勒索病毒就是通过“永恒之蓝”进行传播的。而在“WannaCry”爆发之前，已有挖矿木马利用“永恒之蓝”进行传播。“永恒之蓝”有两个其他漏洞利用工具无法企及的优势：

（1）攻击无需载体。不同于利用浏览器漏洞或者办公软件漏洞进行的“被动式攻击”，“永恒之蓝”漏洞利用攻击是一种“主动式攻击”，黑客只需要向目标发送攻击数据包而不需要目标进行额外的操作即可完成攻击。

（2）攻击目标广。只要目标计算机开启445端口且未及时打补丁，黑客就可以成功入侵目标计算机。黑客完全可以进行全网扫描捕捉猎物。

正因此，“永恒之蓝”一时间成了挖矿木马僵尸网络的标配。表1展示了2017年爆发的几个挖矿木马僵尸网络配备“永恒之蓝”漏洞利用武器的情况。

表1 挖矿木马僵尸网络配置“永恒之蓝”模块情况

挖矿木马僵尸网络家族

是否配备“永恒之蓝”模块

Adylkuzz

√

隐匿者

√

mateMiner

√

fontsMiner

√

Bondnet

×

yamMiner

×

其中一些僵尸网络是完全依靠“永恒之蓝”漏洞攻击武器站稳脚跟的，例如“隐匿者”僵尸网络。图4展示了“隐匿者”僵尸网络僵尸程序传播量变化趋势。不难看出，借助于“永恒之蓝”漏洞攻击武器，“隐匿者”在2017年4月底爆发式增长。（更多细节见报告：）

图4 “隐匿者”僵尸网络僵尸程序各版本传播量

随着漏洞的更多细节公之于众，各式各样的“永恒之蓝”漏洞攻击工具问世。在2017年9月出现并呈增长趋势的“mateMiner”僵尸网络中集成了由Powershell编写的“永恒之蓝”漏洞攻击模块。图5展示了部分攻击代码。

图5 “mateMiner”僵尸网络“永恒之蓝”模块部分代码片段

除了“永恒之蓝”漏洞攻击武器之外，其它各类Nday漏洞也备受挖矿木马僵尸网络的亲睐。“yamMiner”僵尸网络就是利用Java 反序列化漏洞进行服务器入侵的。

“yamMiner”僵尸网络2016年底出现，并在2017年呈现增长趋势，目前仍处在活跃状态。该僵尸网络建立之初，通过Java Commons Collections反序列化漏洞入侵服务器，漏洞如下所示：

漏洞

描述

CVE-2015-7450

IBM WebSphere Java Comments Collections组件反序列化漏洞

CVE-2015-4852

Oracle WebLogic Server Java反序列化漏洞

更多细节见：

使用Nday漏洞进行入侵攻击对于未打补丁的计算机而言效果立竿见影。而国内未能及时打补丁的计算机数量并不少，这也是这类挖矿木马僵尸网络持续保持活跃的重要原因之一。

（2）僵尸网络的扩张

当僵尸网络初具雏形后，黑客需要通过现有的傀儡机攻击更多的计算机，通过量的积累转化为可见的利益。因此，僵尸网络中的每一台傀儡机都是攻击的发起者，而他们的目标是互联网中的所有计算机。

“永恒之蓝”漏洞攻击武器在僵尸网络的扩张中起到重要的作用。在上文中展示了“永恒之蓝”漏洞攻击武器在僵尸网络建立时发挥的重要作用，这些同样作用于僵尸网络的扩张，在此不再赘述。

端口扫描和爆破也是僵尸网络扩张的帮手。“隐匿者”挖矿木马僵尸网络中带有全网扫描模块，僵尸程序会不断地对随机ip进行指定端口扫描，若端口开放则尝试进行爆破，爆破成功后则登录目标计算机植入挖矿木马和僵尸程序，继续进一步的扩张。图6展示了“隐匿者”挖矿木马僵尸网络端口扫描模块代码片段。表2展示了“隐匿者”僵尸网络爆破模块、爆破对象以及当前支持情况。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-54396-2.html