2017年4月之后，MyKings傳播量開始出現爆發式增長，正是其利用“永恒之藍”漏洞武器攻擊所導致。通過在僵尸網絡中安裝門羅幣挖礦機，利用服務器資源挖礦，MyKings的門羅幣錢包已獲得超過百萬人民幣的收益。

　　2.2.2 ZombieBoy

　　2017年12月騰訊御見威脅情報中心檢測到一款挖礦木馬，其PDB文件中發現了明文字符串“C:\Users\ZombieBoy\Documents\Visual Studio 2017\Projects\nc\Release\nc.pdb”，在網上通過關鍵字“ZombieBoy”進行查找，我們發現了一款“永恒之藍”漏洞利用工具，推測黑客將此工具改造后于傳播挖礦木馬。我們根據特征將其其命名為ZombieBoyMiner，御見后臺統計數據顯示，該木馬在高峰時期感染超過7萬臺電腦。

　　漏洞利用工具ZombieBoy

　　2.3 波動下跌

　　ZombieBoyMiner出現時（2017年12月）正值比特幣價格的最高峰，之后開始波動下跌過程。接著，2018年3月，另一個利用“永恒之藍”漏洞大范圍攻擊的挖礦蠕蟲病毒WannaMiner被發現了。

　　2.3.1 WannaMiner

　　WannaMiner木馬將染毒機器構建成一個健壯的僵尸網絡，并且支持內網自更新，最終目標為通過挖礦獲利。由于其在內網傳播過程中通過SMB進行內核攻擊，可能造成企業內網大量機器出現藍屏現象。根據統計數據，WannaMiner礦蠕蟲感染量超過3萬臺。

　　WannaMiner的攻擊流程如下：

　　WannaMiner的攻擊流程

　　2.3.2 BuleHero

　　2018年8月出現了“最強漏洞攻擊“的挖礦蠕蟲病毒BuleHero。根據御見威脅情報中心持續跟蹤結果，除了“永恒之藍”漏洞外，BuleHero使用了以下漏洞進行攻擊：

　　LNK漏洞CVE-2017-8464

　　Tomcat任意文件上傳漏洞CVE-2017-12615

　　Apache Struts2遠程代碼執行漏洞CVE-2017-5638

　　Weblogic反序列化任意代碼執行漏洞CVE-2018-2628，CVE-2019-2725

　　Drupal遠程代碼執行漏洞CVE-2018-7600

　　Apache Solr 遠程代碼執行漏洞CVE-2019-0193

　　THinkphpV5漏洞CNDV-2018-24942

　　除了以上漏洞之外，BuleHero的最新版本還使用了2019年9月20日浙江杭州警方公布的“PHPStudy“后門事件中披露的位于php_xmlrpc.dll模塊中的漏洞。

　　“PHPStudy“后門利用

　　2.3.3 DTLMiner

　　2018年12月爆發了DTLMiner（永恒之藍下載器）挖礦木馬。黑客通過入侵某公司服務器，修改某款軟件的的升級配置文件，導致安裝該軟件的用戶在升級時下載了木馬文件。木馬運行后又利用“永恒之藍”漏洞在內網中快速傳播，導致僅2個小時受攻擊用戶就高達10萬。

　　DTLMiner構建僵尸網絡后，在中招機器植入門羅幣礦機程序挖礦。由于DTLMiner前期在短時時間內感染量大量機器，后續又持續更新，加入了MsSQL爆破、IPC$爆破、RDP爆破和Lnk漏洞利用等攻擊手法，使得其在2019年一直保持活躍。

　　升級組件漏洞被利用攻擊聲明

　　2.3.4 “匿影”

　　DTLMiner之后，2019年3月初出現了“匿影”挖礦木馬。該木馬大肆利用功能網盤和圖床隱藏自己，并攜帶NSA武器庫從而具備在局域網橫向傳播的能力。“匿影”所使用大量的公共服務如下：

繼續閱讀：

此文由 中國比特幣官網 編輯，未經允許不得轉載?。?a href="http://www.huohuxiazai.com/">首頁 > 比特幣挖礦 » 騰訊安全發布2019年度挖礦木馬報告（全文）