ibm websphere mq [当心!你的电脑可能已经变成为黑客赚钱的挖矿机]怎么成为电脑黑客(4)

图12 “mateMiner”使用WMI存储shellcode代码片段

由于PowerShell和WMI有极高的灵活性，僵尸网络能够通过两者有效管理傀儡机，并且减少恶意文件的释放，躲避杀毒软件的查杀。

先进的控制与命令方式是持续驻留的关键。每个僵尸网络都有一个最终的控制端，这个控制端负责向僵尸网络中的每个节点下发控制指令。由于控制端的存活时间并不长，其ip地址会频繁进行更换，因此挖矿木马僵尸网络需要一套完备的控制体系以保证随时与控制端联系。

“隐匿者”僵尸网络就拥有一套完善的控制体系。图13展示了“隐匿者”僵尸网络中僵尸程序与控制端之间的交互。

图13 “隐匿者”僵尸网络僵尸程序与控制端交互图

“隐匿者”有多个功能不同的控制服务器，分别负责挖矿木马的更新、僵尸程序的更新以及远控木马的下发。当傀儡机中的僵尸程序启动时，会进行一次自检，以确定是否有新版本的僵尸程序存在。同时，“隐匿者”也在SQLServer中写入这样一段自检的shellcode，以保证僵尸程序被杀后还能从控制端下载新的僵尸程序。而僵尸程序所请求的控制端ip地址是不固定的，“隐匿者”通过访问指定博客获取博文内容，通过博文内容解密得到控制端ip。控制者只需修改博文内容就能够实现控制端ip的更换。

当然，将控制端ip的快速更新展现得淋漓尽致的当数“yamMiner”挖矿木马僵尸网络了。其控制端ip地址基本保持了一星期一更新的频率。图14展示了“yamMiner”僵尸网络2017年11月至12月控制端ip地址更新时间线。

图14 “yamMiner”僵尸网络2017年11月-12月更新概况

通过观察“yamMiner”僵尸网络2017年11月到12月向控制端发起的请求数量我们发现了一个有趣的细节。这可以从图15展现。

图15 “yamMiner”僵尸网络2017年11月-12月发送请求数量概况

不难看出，当“yamMiner”的控制端ip发生变化的时候，傀儡机中的僵尸程序能够立即连接新的ip地址，所以就有了图中新控制端ip地址出现时旧控制端ip地址请求数量下降到0的现象。

实现这样的效果就要求傀儡程序能够实时获知ip地址的变化情况，而“yamMiner”就是利用Java Commons Collections反序列化漏洞周期性地在傀儡机上执行命令，修改傀儡程序连接的控制端ip。

由于这一功能是在Java进程中实现的，能够有效躲避杀软的查杀。一般情况下僵尸网络控制端ip地址存活时间不长，优秀的挖矿木马僵尸网络会利用漏洞在傀儡机执行命令更改控制端ip或者将控制端ip存储在例如博客内容这类容易修改又不容易被发现的位置。如果傀儡机所有者不修补计算机系统中存在的漏洞或者删除计算机中持续工作的一些项目（例如SQLServer中的恶意Job），僵尸程序就能在傀儡机中生生不息。

（4）总结

挖矿机僵尸网络是2017年爆发的一个安全威胁，它的危害程度可以从黑客获利的金额展现。图16和图17分别展示了 “yamMiner”僵尸网络的门罗币钱包之一和“隐匿者”僵尸网络的门罗币钱包。

图16 “yamMiner”僵尸网络门罗币钱包之一概况

图17 “隐匿者”僵尸网络门罗币钱包概况

截至笔者撰稿时“隐匿者”僵尸网络从傀儡机中总共挖到了2010枚门罗币，合计61万美元。

“yamMiner”僵尸网络其中一个钱包就获利4万美元，而“yamMiner”拥有多个门罗币钱包，可想而知其总获利金额。挖矿木马带来的暴利导致各家僵尸网络竞争的白热化，其中不乏对其他僵尸网络的攻击。例如“mateMiner”僵尸网络会根据其他僵尸网络的矿池端口结束相应进程，如图18所示。

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/jisuanjixue/article-54396-4.html