由超过1.5万台服务器组成的僵尸网络BondNet目前正在挖掘密币,GuardiCore告警称攻击者能够完全控制被攻陷的机器。
BondNet活跃于2016年12月份,主要挖掘备受犯罪分子青睐的密币Monero。僵尸网络的运营人员预计每天的收益是1000美元左右。为了攻陷服务器,攻击者使用了多种公开利用代码,随后他们安装了WMI后门建立跟C&C服务器的通信。攻击者于是能够完全控制服务器并窃取上面的数据、将信息用于勒索或发动更多的攻击活动。
GuardiCore安全公司认为BondNet渗透了超过1.5万台设备,其中约2000台被攻陷服务器每天跟C&C服务器汇报。另外,这个僵尸网络每天还会向网络增加约500台新机器,且删除约同等数量的服务器。被攻陷时间最长的已超过7年半。
BondNet僵尸网络运营人员使用多种漏洞和弱凭证攻陷Windows Server及其,包括已知的phpMyAdmin配置漏洞,以及JBoss、甲骨文web应用程序测试组件、ElasticSearch、MSSQL服务器、Apache Tomcat、甲骨文Weblogic以及其它常见服务中的利用代码。
跟其它攻击一样,BondNet僵尸网络也使用了VB文件下载并安装一个远程访问木马和一台密币挖矿机。被攻陷的机器随后用于扩展僵尸网络基础架构、发动攻击或者提供恶意软件文件如挖矿机可执行文件。其他机器也会托管这些C&C服务器。
虽然犯罪分子主要是挖掘Monero,不过在某些情况下他们也会释放其它挖矿机如ByteCoin、RieCoin或ZCash(都可转换为美元)。攻击者下载并安装挖矿程序的最新版本、安排任务、每小时进行触发,以确保挖矿程序能不受重启影响。
BondNet使用的后门是从亚马逊S3存储桶 (mytest01234) 中下载的WMI RAT,并且通过已知的MOF文件方法安装。这个后门每晚上11点开始运行,定义了一个新的WMI提供商分类,这样攻击者就能够将代码作为一个WMI事件执行并将攻击活动隐藏于WMI服务进程中。
这个后门启用了Guest账户并重置其密码,这样攻击者就能够通过RDP、SMB或RPC来远程连接。接着,后门会收集设备信息包括计算机名称、RDP端口、guest用户名、操作系统版本、活跃进程数量、正常运行小时数、原始的感染向量、受害者是否在运行Windows的中文版本、操作系统语言以及CPU基础架构 (x86/x64) 并经由HTTP将其编码发送给C&C。这款恶意软件还会下载一份命令文件并执行(命令通过VB代码混淆并“在内存中”执行)。
攻击者还会在受害者变成的C&C服务器上安装用Golang编程的小规模开源HTTP服务器。攻击者的网络服务器能追踪受害者并通过AES加密磁盘文件。攻击者为文件添加了.asp和.zip扩展以躲避审计和防火墙警报。
攻击者通过RDP跟受害者及其连接并拷贝了包含服务器的ZIP文件、一份开源服务器管理器和命令文件的方式手动部署了新的命令和控制实例。这台服务器是通过一个批量脚本即跟微软IIS主机进程一样的w3wp安装的,并在开机时运行。由于攻击者有时候会忘记保存all.asp,一些C&C服务器并不会保存木马发送的信息。
BondNet的基础架构是通过具有多种角色的被攻陷服务器构建的,即C&C服务器、文件服务器、扫描服务器等。攻击者利用TCP端口扫描器WinEggDrop在互联网扫描新的目标。这些扫描服务器还会在不同的框架中查看公开的未修复漏洞,并存储这些IP地址以便实施攻陷。
很多受害者都会用作文件服务器来挖掘软件,并且他们都有相同的web服务器作为C&C。WMI木马文件托管在一台亚马逊S3存储桶中。
本文由360代码卫士编译,不代表360观点,转载请注明“转自360代码卫士www.codesafe.cn”。