僵尸網絡越來越成為傳播加密挖掘惡意軟件的首選工具。通過感染服務器和物聯網設備等各種企業資產，網絡犯罪分子可以利用數百或數千臺機器的集體處理能力來挖掘加密貨幣并傳播到更多設備。

該博客探討了新加坡一家公司的面向 Internet 的服務器是如何遭到破壞的。威脅參與者使用該設備橫向移動并部署加密挖掘軟件。兩天之內，該公司的幾臺設備就開始了加密貨幣挖礦。

創建僵尸網絡

在價值證明 (POV) 試用中安裝僅幾天后，它檢測到公司的一臺服務器從一個罕見的端點 167.71.87[.]85下載惡意可執行文件。

觀察到服務器在沒有用戶代理標頭的情況下與一系列罕見的外部端點建立 HTTP 連接。主要主機名是 t[.]amynx[.]com，這是一個與加密挖掘特洛伊木馬相關的開源情報 (OSINT) 域。

該設備通過 TCP 端口 445 (SMB) 向一系列外部 IP 發起重復的外部連接。緊隨其后的是對各種設備的異常大量內部連接嘗試，表明存在掃描活動。

發展僵尸網絡

惡意軟件開始從最初受感染的服務器橫向移動，主要是通過建立不正常的 RDP 連接鏈。隨后，服務器開始與 Internet 上的稀有端點建立外部 SMB 和 RPC 連接，以試圖找到更多易受攻擊的主機。

其他橫向移動活動包括通過 SMB 文件共享協議使用一系列不同的用戶名訪問多個內部設備的反復嘗試失敗。這意味著暴力網絡訪問，因為威脅者試圖通過反復試驗來猜測正確的帳戶詳細信息。

RDP和 Windows 服務控制等現有工具表明攻擊者正在使用“離地而生”技術。這使得系統管理員的工作變得更加困難，因為他們必須區分惡意使用內置工具和合法應用程序。

加密挖掘開始

最后，受感染的服務器通過 SMB 將可疑的可執行文件傳輸到多個內部設備來完成橫向移動，這些文件的名稱似乎是隨機生成的（例如 gMtWAvEc.exe、daSsZhPf.exe），以使用 Minergate 協議部署加密挖掘惡意軟件。

Minergate 是一個公共礦池，用于多種類型的加密貨幣，包括比特幣、門羅幣、以太坊、Zcash 和 Grin。最近幾個月，勒索軟件參與者已經開始從比特幣轉向門羅幣和其他更匿名的加密貨幣——但加密礦工多年來一直在使用山寨幣。

加密挖掘惡意軟件：風靡一時

加密挖掘攻擊非常普遍。雖然不像勒索軟件那樣具有破壞性，但它們會對網絡延遲產生嚴重影響，并且需要很長時間才能檢測和清理。雖然感染仍未引起注意，但它為受害者組織提供了一個后門——并且可以隨時從進行加密貨幣挖掘轉換為提供勒索軟件。在這種情況下，很明顯，攻擊者的目的是通過將惡意軟件與內部服務器和域控制器等目標一起傳輸來制造最大的破壞。

在不依賴已知威脅指標的情況下檢測到攻擊的每一步。Cyber?? AI Analyst 將整個調查過程自動化，從而節省了安全團隊在現場事件中的關鍵時間。

特別是隨著最近中國對比特幣農場的打擊，地下僵尸網絡和基于云的加密采礦可能會變得更加突出。隨著我們在不久的將來看到更多此類入侵，人工智能驅動的檢測、調查和響應將證明在任何時候都對保護各種規模的組織至關重要。