1.5万台服务器组成的僵尸网络BondNet

有个由1.5万台服务器组成的僵尸网络BondNet，专门进行门罗币挖矿！

GuardiCore最近发布警告称，有个超过1.5万台服务器组成的僵尸网络正在进行门罗币挖矿，攻击者甚至能够很轻易地彻底控制这些服务器。
该僵尸网络名为BondNet，从去年12月份就开始活跃了，预计其幕后操纵者一天就能赚1000美元，一个月可以超过25000美元。
为了黑入这些服务器，攻击者在其上安装WMI后门与C&C服务器通讯，并采用各种公开的exploit，所以不光是挖矿，要进行进一步攻击也是完全可行的。


BondNet以每天500台设备的速度扩张，最早入侵的服务器已经运转了超过7.5年

僵尸网络运营商使用漏洞和弱凭证的混合来破坏Windows Server机器，包括已知的phpMyAdmin配置错误，JBoss中的漏洞，Oracle Web应用程序测试套件，ElasticSearch，MSSQL服务器，某公司 Tomcat，Oracle Weblogic和其他常见服务。

所有攻击的共同之处在于使用Visual Basic文件下载并安装远程访问木马（RAT）和门罗币挖矿。受损机器然后用于扩展僵尸网络基础设施，进行攻击，或提供恶意软件文件，如矿工可执行文件。研究人员说，其他机器将托管C＆C服务器。

尽管这些骗子似乎侧重于采矿Monero，但在某些情况下，矿业公司（例如ByteCoin，RieCoin或ZCash）（均可兑换为美元）也将下降。下载并安装最新版本的采矿程序，并按时启动计划任务，确保矿工进程能够重新启动。

僵尸网络使用的后门是从Amazon S3 bucket（mytest01234）下载的WMI RAT ，并使用已知的MOF文件方法进行安装。设置为每晚晚上11点运行，后门定义了一个新的WMI提供程序类，允许攻击者通过WMI事件执行代码，并隐藏WMI服务进程后面的活动。

后门启用Guest帐户并重置其密码，以便攻击者可以使用远程桌面协议（RDP），服务器消息块（SMB）或Microsoft远程过程调用（RPC）进行远程连接。

接下来，它收集有关机器的信息，包括计算机名称，RDP端口，访客用户名，操作系统版本，活动处理器数，以小时计算的正常运行时间，原始感染矢量，受害者是否运行中文版Windows，操作系统语言，和CPU架构（x86 / x64），并将其发送到C＆C编码的HTTP。恶意软件还会下载一个命令文件并执行它（这些命令是模糊的Visual Basic代码，并在内存中执行）。

在受害者转载的C＆C服务器上，攻击者安装了一个goup分支，它是一个用Golang编写的小型开源HTTP服务器。攻击者的网络服务器可以使用AES跟踪受害者并加密磁盘上的文件。由C＆C服务器提供的文件使用.asp和.zip扩展名允许攻击者避免审计和防火墙警报。

攻击者通过RDP连接到受害计算机并复制包含服务器的ZIP文件，开源服务管理器（nssm）和命令文件来手动部署新的命令和控制实例。使用附带的批处理脚本安装服务器，名称为w3wp，与Microsoft IIS主机进程相同，并在启动时运行。因为攻击者有时忘记保存all.asp ，一些C＆C服务器不会保存木马发送的信息。

僵尸网络的基础架构由具有各种角色的受损服务器构成：C＆C服务器，文件服务器，扫描服务器等。攻击者使用TCP端口扫描程序WinEggDrop扫描Internet以获取新目标。扫描服务器还检查不同框架中的公共，未修补的漏洞，并存储攻击服务器的IP以尝试妥协。

许多受害者被用作文件服务器来提供挖掘软件，并且它们具有与C＆C相同的Web服务器。但是，WMI木马文件托管在Amazon S3存储区中。

“虽然组织可以将其视为增加电费单的一个小问题，但是通过相对简单的修改，这个后门能够完全控制成千上万的受害机器，其中许多受害机器包含诸如邮件服务器之类的敏感信息。GuardiCore总结说，今天的采矿可能很容易成为受害者网络中的ransomware运动，数据泄露或横向移动。