加密采矿团伙帮僵尸网络，将感染主机扩大至30,000台

网络安全一直都是我们关注的一方面，现在的网络攻击在不断的发展，并且新型的网络攻击技术也在不断的出现。我们所了解到的网络攻击一般都是垃圾邮件、勒索软件这些，那么这些是怎么出现的呢？其实现在我们所说的恶意软件、垃圾邮件、勒索软件等这些，主要的来源就是僵尸网络。

僵尸网络就是指通过一种或是多种传播的手段，让主机感染上bot程序病毒，也就是我们所说的僵尸病毒，从而在网络攻击者与被感染主机之间形成一对多的网络控制。网络攻击者可以通过多种途径将僵尸网络感染到大量的主机上，一旦主机被感染，那么感染的主机就会接收网络攻击者的指令，进而组成一个僵尸网络。

近期，SentinelOne的安全研究人员，就发现了名为“8220 Gang”的加密采矿团伙，将云僵尸网络扩大至全球的30000台主机。据了解，该团伙主要就是专注于感染主机，并且还会通过知道的漏洞以及暴力攻击的手段来进行加密货币矿工活动。这次的事件中，该团伙主要就是通过利用云应用程序和Linux的漏洞，将云僵尸网络进行传播的。经过网络安全员的研究，可以发现，这个组织所使用的攻击技术并不是很高，但是对经济的目标性强，他们还会通过Redis、Docker、Confluence等被公开的漏洞版本，对GCP、Azure等主机进行感染。

我们可以知道感染脚本是僵尸网络进行运行的主要代码，而感染脚本的核心组件就是bot ，它所执行的操作列表如下所示：

1、海啸 IRC 僵尸网络恶意软件样本连接和验证。

2、被攻击者的主机准备和清理，其中包括删除一些常见的云安全工具。

3、IRC 僵尸网络恶意软件和矿工下载/配置和修复持久性。

4、所在地的 SSH 密钥收集、横向传播和连通性测试。

5、具备横向传播能力的内部网络 SSH 扫描器。

6、PwnRig 加密货币矿工执行。

该团伙还会利用互联网的可访问性，来进行识别和选择受害者。但是可以知道的是，感染脚本的最新版本是通过阻止列表来进行避免感染待机主机的。僵尸网络的危害性是比较大的，我们在进行上网浏览时，也需要注意辨别，避免被僵尸网络感染上。通常来说我们可以接触到的僵尸网络，一般是吸引人的小游戏，引诱我们点击下载，下载的时一般的杀毒软件还无法进行检测出来。所以，我们需要学习僵尸网络的一些知识，来提高僵尸网络的警惕。

来源：HK酋长

原文链接:https://www.hake.cc/page/article/4385.html