挖矿木马主要入侵方式

　　3.5.1 漏洞攻击类型

　　挖矿木马攻击时利用的漏洞最主要类型为Windows系统漏洞（“永恒之蓝”），其次是WebLogic相关组件漏洞，Apache相关组件漏洞。常用于攻击的包括以下CVE编号的漏洞：

　　MS17-010“永恒之蓝”CVE-2017-0143

　　Weblogic反序列化任意代码执行漏洞CVE-2017-10271，CVE-2018-2628，CVE-2019-2725

　　Apache Struts2远程代码执行漏洞CVE-2017-5638

　　Apache Solr 远程代码执行漏洞CVE-2019-0193

　　Apache Tomcat远程代码执行漏洞CVE-2017-12615

　　挖矿木马主要漏洞攻击类型

　　3.5.2 爆破攻击类型

　　挖矿木马主要的爆破攻击类型为SQL爆破(包括MsSQL、MySQL)，其次是IPC$和SSH。由于部分IT管理人员缺乏安全意识，许多数据库和远程登录服务被设置为弱口令。SplashData公布的2019排名前五位的最差密码分别是“123456”、“123456789”、“qwerty”、“password”和“1234567”，这些密码也是黑客在爆破攻击时的首选。

　　挖矿木马通过内置的包含大量简单密码的字典进行自动匹配，很容易破解此类弱口令并入侵系统。

　　挖矿木马主要爆破攻击类型

　　四、2019年挖矿木马的技术特点

　　4.1传播特点

　　4.1.1 供应链感染

　　2018年底出现的DTLMiner是利用现有软件的升级功能进行木马分发，属于供应链感染的典型案例。黑客在后台配置文件中插入木马下载链接，导致软件在升级时下载木马文件。由于软件本身拥有巨大的用户量，导致木马在短时间内感染量大量的机器。

　　DTLMiner篡改的配置文件

　　4.1.2 跨平台攻击

　　挖矿木马经历了从控制普通电脑到以控制企业主机为主，从只控制Windows挖矿到混合感染多个平台的变化。2019年腾讯御见威胁情报中心发现了”Agwl“，“萝莉帮”，WannaMine，Satan等多个针对linux的挖矿木马。

　　2019年3月，Satan病毒出现最新变种，该变种病毒针对Windows系统和Linux系统进行无差别攻击，然后在中招电脑中植入勒索病毒勒索比特币、同时植入挖矿木马挖矿门罗币。

　　Satan病毒跨平台攻击

　　我们发现黑产为了实现的利益最大化，还会将挖矿木马与勒索软件、远控后门、剪贴板大盗、DDOS等木马的打包进行混合攻击。以下列举2019年的7个流行家族及其在攻击中植入的病毒种类：

　　多种病毒组合攻击

　　4.1.3 社交网络

　　2019年12月御见威胁情报中心发现了通过社会工程骗术传播的“老虎”挖矿木马（LaofuMiner）。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名，通过社交网络发送到目标电脑，受害者双击查看文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中毒电脑下载挖矿木马，中毒电脑随即沦为矿工。

继续阅读：

此文由 比特币官网 编辑，未经允许不得转载！：首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告（全文）