2017年4月之后，MyKings传播量开始出现爆发式增长，正是其利用“永恒之蓝”漏洞武器攻击所导致。通过在僵尸网络中安装门罗币挖矿机，利用服务器资源挖矿，MyKings的门罗币钱包已获得超过百万人民币的收益。

　　2.2.2 ZombieBoy

　　2017年12月腾讯御见威胁情报中心检测到一款挖矿木马，其PDB文件中发现了明文字符串“C:\Users\ZombieBoy\Documents\Visual Studio 2017\Projects\nc\Release\nc.pdb”，在网上通过关键字“ZombieBoy”进行查找，我们发现了一款“永恒之蓝”漏洞利用工具，推测黑客将此工具改造后于传播挖矿木马。我们根据特征将其其命名为ZombieBoyMiner，御见后台统计数据显示，该木马在高峰时期感染超过7万台电脑。

　　漏洞利用工具ZombieBoy

　　2.3 波动下跌

　　ZombieBoyMiner出现时（2017年12月）正值比特币价格的最高峰，之后开始波动下跌过程。接着，2018年3月，另一个利用“永恒之蓝”漏洞大范围攻击的挖矿蠕虫病毒WannaMiner被发现了。

　　2.3.1 WannaMiner

　　WannaMiner木马将染毒机器构建成一个健壮的僵尸网络，并且支持内网自更新，最终目标为通过挖矿获利。由于其在内网传播过程中通过SMB进行内核攻击，可能造成企业内网大量机器出现蓝屏现象。根据统计数据，WannaMiner矿蠕虫感染量超过3万台。

　　WannaMiner的攻击流程如下：

　　WannaMiner的攻击流程

　　2.3.2 BuleHero

　　2018年8月出现了“最强漏洞攻击“的挖矿蠕虫病毒BuleHero。根据御见威胁情报中心持续跟踪结果，除了“永恒之蓝”漏洞外，BuleHero使用了以下漏洞进行攻击：

　　LNK漏洞CVE-2017-8464

　　Tomcat任意文件上传漏洞CVE-2017-12615

　　Apache Struts2远程代码执行漏洞CVE-2017-5638

　　Weblogic反序列化任意代码执行漏洞CVE-2018-2628，CVE-2019-2725

　　Drupal远程代码执行漏洞CVE-2018-7600

　　Apache Solr 远程代码执行漏洞CVE-2019-0193

　　THinkphpV5漏洞CNDV-2018-24942

　　除了以上漏洞之外，BuleHero的最新版本还使用了2019年9月20日浙江杭州警方公布的“PHPStudy“后门事件中披露的位于php_xmlrpc.dll模块中的漏洞。

　　“PHPStudy“后门利用

　　2.3.3 DTLMiner

　　2018年12月爆发了DTLMiner（永恒之蓝下载器）挖矿木马。黑客通过入侵某公司服务器，修改某款软件的的升级配置文件，导致安装该软件的用户在升级时下载了木马文件。木马运行后又利用“永恒之蓝”漏洞在内网中快速传播，导致仅2个小时受攻击用户就高达10万。

　　DTLMiner构建僵尸网络后，在中招机器植入门罗币矿机程序挖矿。由于DTLMiner前期在短时时间内感染量大量机器，后续又持续更新，加入了MsSQL爆破、IPC$爆破、RDP爆破和Lnk漏洞利用等攻击手法，使得其在2019年一直保持活跃。

　　升级组件漏洞被利用攻击声明

　　2.3.4 “匿影”

　　DTLMiner之后，2019年3月初出现了“匿影”挖矿木马。该木马大肆利用功能网盘和图床隐藏自己，并携带NSA武器库从而具备在局域网横向传播的能力。“匿影”所使用大量的公共服务如下：

继续阅读：

此文由 中国比特币官网 编辑，未经允许不得转载！：首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告（全文）