挖矿木马的传播方式有哪些
挖矿木马的传播方式如下:
利用漏洞
Windows系统漏洞、服务器组件插件漏洞、中间件漏洞以及web漏洞;redis、ssh、3389、mssql、IPC$等各种弱口令漏洞。利用系统漏洞或弱口令快速获取相关服务器权限,植入挖矿木马。
使用NSA武器
“方程式黑客组织”使用的部分网络武器被公开,其中包括可以远程攻破全球约70% Windows系统的漏洞利用工具。包括永恒之蓝、永恒冠军、永恒浪漫、永恒协作、翡翠纤维、古怪地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客NSA武器进行批量漏洞扫描攻击,获取更多肉鸡,植入挖矿木马贡献算力。
无文件挖矿
通过在Powershell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地,直接在Powershell.exe进程中运行,这种注入“白进程”执行的方式可能造成难以检测和清除恶意代码。
通过弱密码暴力破解传播
挖矿木马会通过弱密码暴力破解进行传播,但这种方法攻击时间较长。
利用网页挂马
网站在其网页内嵌了挖矿 JavaScript 脚本,用户一旦进入此类网站,JS 脚本就会自动执行,自动下载若干个病毒。部分系统存在flash高危安漏洞,也被攻击者利用,使电脑自动运行挖矿代码。
暴力挖矿病毒
360 发现了可以迅速传播的挖矿劫持程序WinstarNssmMiner。这个恶意程序的特别之处在于,卸载它会让受害者的计算机崩溃。WinstarNssmMiner首先启动svchost.exe进程并向其植入代码,然后将该进程的属性设置为CriticalProcess。由于计算机将其视为关键进程,因此一旦强制结束该进程,计算机就会蓝屏。
黑吃黑
因为比特币地址很长,为了方便使用很多人会选择保存在本地,很多挖矿木马会带有劫持剪贴板功能,当监视到受害主机出现比特币交易时,会将收款钱包替换为自己的钱包地址,从而盗取受害者资产。
利用软件供应链攻击传播
软件供应链攻击是指利用软件供应商与最终用户之间的信任关系,在合法软件正常传播和升级过程中,利用软件供应商的各种疏忽或漏洞,对合法软件进行劫持或篡改,从而绕过传统安全产品检查,达到非法目的的攻击。例如,2018 年 12 月出现的 DTLMiner 是利用现有软件升级功能进行木马分发,属于供应链攻击传播。攻击者在后台的配置文件中插入木马下载链接,导致在软件升级时下载木马文件。
利用社交软件、邮件传播
攻击者将木马程序伪装成正规软件、热门文件等,通过社交软件或邮件发送给受害者,受害者一旦打开相关软件或文件就会激活木马。