利用僵尸网络发动DDoS攻击在安全界来说已经不算事了，但现在有安全公司发现，名为“Bondnet”的僵尸网络通过控制超过15000台的服务器，不仅能够发动DDoS攻击、窃取企业的数据，甚至还能用所控制的僵尸设备“挖矿”，开采不同种类的虚拟货币。
 

　　DDoS攻击不算事 Bondnet僵尸网络可挖矿

　　据披露，代号为Bood007.01的黑客从去年12月开始，主要开采暗网上常用的Monero(门罗币)，一天大约可获利1000美元(约6902.5元人民币)。

　　而Bondnet主要锁定Windows Server主机，利用系统弱密码问题，和常见老旧系统漏洞来入侵系统，例如phpMyAdmin配置错误漏洞，或JBoss、Oracle Web Application Testing Suite、ElasticSearch、MS SQL servers、Apache Tomcat、Oracle Weblogic等，再通过一系列Visual Basic脚本程序，来植入远端的木马和采矿程序。

　　最早一波Botnet攻击发生在香港，因为phpMyAdmin配置错误，让攻击者有机可乘，暗中植入了未知的DLL文件和编码过的Visual Basic脚本程序。虽然感染主机上安装了多种杀毒软件，但都没有发现到这些问题文件而告警。此外，攻击者还会植入WMI木马，来与C&C服务器沟通，传递设备的数据到C&C服务器，包括设备名称、RDP端口、帐号密码、Windows版本、正在活动的处理器数量、运行时间、操作系统的语言、CPU的架构(x86/x64)等等，这些数据使用ASCII编码，并且通过HTTP协议进行传输。
 

　　Botnet攻击流程图

　　研究人员指出，部分僵尸设备被用来执行采矿计算，攻击者会根据采集不同种类的加密货币，下载并安装相对应的矿工程序，采集加密货币的种类包括Monero、ByteCoin、RieCoin和ZCash等，这些加密货币都能兑换成美元。而且，为了确保采矿任务不会因系统重开机而中断，攻击者还设定了排期规则，每小时会自动启动一次采矿程序。

　　目前，Botnet所控大多数僵尸设备负责采矿工作，一部分僵尸设备则负责勒索攻击。而其目标则针对跨国企业、大学、市议会和其他政府机关来发动攻击。

(责任编辑：宋编辑)