利用僵尸網(wǎng)絡(luò)發(fā)動(dòng)DDoS攻擊在安全界來(lái)說(shuō)已經(jīng)不算事了，但現(xiàn)在有安全公司發(fā)現(xiàn)，名為“Bondnet”的僵尸網(wǎng)絡(luò)通過(guò)控制超過(guò)15000臺(tái)的服務(wù)器，不僅能夠發(fā)動(dòng)DDoS攻擊、竊取企業(yè)的數(shù)據(jù)，甚至還能用所控制的僵尸設(shè)備“挖礦”，開采不同種類的虛擬貨幣。

　　DDoS攻擊不算事 Bondnet僵尸網(wǎng)絡(luò)可挖礦

據(jù)披露，代號(hào)為Bood007.01的黑客從去年12月開始，主要開采暗網(wǎng)上常用的Monero（門羅幣），一天大約可獲利1000美元（約6902.5元人民幣）。

而Bondnet主要鎖定Windows Server主機(jī)，利用系統(tǒng)弱密碼問題，和常見老舊系統(tǒng)漏洞來(lái)入侵系統(tǒng)，例如phpMyAdmin配置錯(cuò)誤漏洞，或JBoss、Oracle Web Application Testing Suite、ElasticSearch、MS SQL servers、Apache Tomcat、Oracle Weblogic等，再通過(guò)一系列Visual Basic腳本程序，來(lái)植入遠(yuǎn)端的木馬和采礦程序。

最早一波Botnet攻擊發(fā)生在香港，因?yàn)閜hpMyAdmin配置錯(cuò)誤，讓攻擊者有機(jī)可乘，暗中植入了未知的DLL文件和編碼過(guò)的Visual Basic腳本程序。雖然感染主機(jī)上安裝了多種殺毒軟件，但都沒有發(fā)現(xiàn)到這些問題文件而告警。此外，攻擊者還會(huì)植入WMI木馬，來(lái)與C&C服務(wù)器溝通，傳遞設(shè)備的數(shù)據(jù)到C&C服務(wù)器，包括設(shè)備名稱、RDP端口、帳號(hào)密碼、Windows版本、正在活動(dòng)的處理器數(shù)量、運(yùn)行時(shí)間、操作系統(tǒng)的語(yǔ)言、CPU的架構(gòu)（x86/x64）等等，這些數(shù)據(jù)使用ASCII編碼，并且通過(guò)HTTP協(xié)議進(jìn)行傳輸。

　　Botnet攻擊流程圖

研究人員指出，部分僵尸設(shè)備被用來(lái)執(zhí)行采礦計(jì)算，攻擊者會(huì)根據(jù)采集不同種類的加密貨幣，下載并安裝相對(duì)應(yīng)的礦工程序，采集加密貨幣的種類包括Monero、ByteCoin、RieCoin和ZCash等，這些加密貨幣都能兌換成美元。而且，為了確保采礦任務(wù)不會(huì)因系統(tǒng)重開機(jī)而中斷，攻擊者還設(shè)定了排期規(guī)則，每小時(shí)會(huì)自動(dòng)啟動(dòng)一次采礦程序。

目前，Botnet所控大多數(shù)僵尸設(shè)備負(fù)責(zé)采礦工作，一部分僵尸設(shè)備則負(fù)責(zé)勒索攻擊。而其目標(biāo)則針對(duì)跨國(guó)企業(yè)、大學(xué)、市議會(huì)和其他政府機(jī)關(guān)來(lái)發(fā)動(dòng)攻擊。