用于釣魚攻擊的部分文件名如下：

　　LaofuMiner使用的釣魚文件

　　4.1.4 VNC爆破

　　2019年3月，Phorpiex僵尸網絡針對被廣泛使用的遠程管理工具“VNC”默認端口5900進行爆破攻擊，在高價值服務器上下載運行GandCrab 5.2勒索病毒加密重要系統資料實施敲詐勒索；若攻破有數字貨幣交易的電腦，則運行數字貨幣錢包劫持木馬搶錢；若被攻擊的只是普通電腦則被植入門羅幣挖礦木馬，成為Phorpiex控制的礦工電腦。

　　Phorpiex針對VNC服務爆破

　　4.1.5 感染型病毒

　　2019年4月感染型病毒Sality被發現利用建立的P2P網絡，傳播以盜取、劫持虛擬幣交易為目的的“剪切板大盜“木馬。

　　Sality可感染本地硬盤、可移動存儲設備、遠程共享目錄下的可執行文件，同時會利用可移動、遠程共享驅動器的自動播放功能進行感染，然后在中招系統下載并執行“剪切板大盜”木馬。

　　Sality修改可執行文件的入口點，以病毒代碼替換原始文件代碼，使得所有被感染程序啟動時執行病毒功能：

　　Sality感染可執行文件

　　“剪切板大盜“木馬通過剪切板內容中的字符格式特點判斷以太幣或比特幣錢包地址，并將切板內容替換為指定錢包，若用戶在此時粘貼并進行轉賬操作，數字資產便落入黑客的口袋：

　　“剪切板大盜“木馬替換錢包地址

　　4.2惡意代碼執行

　　4.2.1 Powershell

　　2019年4月3日DTLMiner在Powershell中反射加載PE映像，達到 “無文件”形式執行挖礦程序。這種方法直接在Powershell.exe進程中運行惡意代碼，注入“白進程”執行的方式可能造成難以檢測和清除挖礦代碼。這也是首次發現的，大規模利用“無文件”形式執行的挖礦木馬。

　　DTLMiner在感染系統上安裝計劃任務，反復下載和執行一段加密的Powershell腳本，在腳本代碼中嵌入了一段Base64編碼的字符$Code64，該段字符實際上是XMRIG挖礦程序的二進制數據。

　　Base64編碼的XMRig二進制數據

　　Powershell首先將$Code64解碼為Bytes格式，然后調用Invoke-ReflectivePEInjection函數在內存中反射PE注入執行挖礦程序。

　　DTLMiner反射注入執行挖礦程序

　　4.2.2 DLL側加載

　　KingMiner最早于2018年6月中旬出現，是一種針對Windows服務器MSSQL進行爆破攻擊的門羅幣挖礦木馬。攻擊者采用多種逃避技術來繞過虛擬機環境和安全檢測，導致一些反病毒引擎無法準確查殺。

　　未來逃避殺軟檢測，KingMiner啟動挖礦木馬時采用DLL側加載(DLL Side-Loading)技術，也就是“白+黑”技術，利用正常的有數字簽名的白文件來調用惡意DLL。其使用到的有微軟系統文件“Credential Backup andRestore Wizard(憑據備份和還原向導)”和多個知名公司的數字簽名的文件：

繼續閱讀：

此文由 中國比特幣官網 編輯，未經允許不得轉載?。?a href="http://www.huohuxiazai.com/">首頁 > 比特幣挖礦 » 騰訊安全發布2019年度挖礦木馬報告（全文）