DDoS攻擊不算事 Bondnet殭屍網絡可挖礦

利用殭屍網絡發動DDoS攻擊在安全界來說已經不算事了，但現在有安全公司發現，名為“Bondnet”的殭屍網絡通過控制超過15000臺的服務器，不僅能夠發動DDoS攻擊、竊取企業的數據，甚至還能用所控制的殭屍設備“挖礦”，開採不同種類的虛擬貨幣。

DDoS攻擊不算事 Bondnet殭屍網絡可挖礦

據披露，代號為Bood007.01的黑客從去年12月開始，主要開採暗網上常用的Monero（門羅幣），一天大約可獲利1000美元（約6902.5元人民幣）。

而Bondnet主要鎖定Windows Server主機，利用系統弱密碼問題，和常見老舊系統漏洞來入侵系統，例如phpMyAdmin配置錯誤漏洞，或JBoss、Oracle Web Application Testing Suite、ElasticSearch、MS SQL servers、Apache Tomcat、Oracle Weblogic等，再通過一系列Visual Basic腳本程序，來植入遠端的木馬和採礦程序。

最早一波Botnet攻擊發生在香港，因為phpMyAdmin配置錯誤，讓攻擊者有機可乘，暗中植入了未知的DLL文件和編碼過的Visual Basic腳本程序。雖然感染主機上安裝了多種殺毒軟件，但都沒有發現到這些問題文件而告警。此外，攻擊者還會植入WMI木馬，來與C&C服務器溝通，傳遞設備的數據到C&C服務器，包括設備名稱、RDP端口、帳號密碼、Windows版本、正在活動的處理器數量、運行時間、操作系統的語言、CPU的架構（x86/x64）等等，這些數據使用ASCII編碼，並且通過HTTP協議進行傳輸。

Botnet攻擊流程圖（圖片來自guardicore.com）

研究人員指出，部分殭屍設備被用來執行採礦計算，攻擊者會根據採集不同種類的加密貨幣，下載並安裝相對應的礦工程序，採集加密貨幣的種類包括Monero、ByteCoin、RieCoin和ZCash等，這些加密貨幣都能兌換成美元。而且，為了確保採礦任務不會因系統重開機而中斷，攻擊者還設定了排期規則，每小時會自動啟動一次採礦程序。

目前，Botnet所控大多數殭屍設備負責採礦工作，一部分殭屍設備則負責勒索攻擊。而其目標則針對跨國企業、大學、市議會和其他政府機關來發動攻擊。