典型挖矿家族系列分析四丨LemonDuck挖矿僵尸网络

时间 :  2023年03月10日  来源:  安天CERT

1.引言


随着近些年区块链技术和加密货币等虚拟货币的兴起,挖矿木马的开源导致获取挖矿木马的门槛降低,除大量黑产组织持续运营挖矿木马之外,更有其他此前非运营挖矿木马的黑产组织将运营方向转为挖矿木马,导致挖矿木马的持续活跃。2021年9月3日,国家发展改革委等部门发布关于整治虚拟货币“挖矿”活动的通知[1],明确要求整治虚拟货币挖矿活动,打击挖矿活动已然势在必行。在发文后的这一年里挖矿整治活动效果显著,政企校等组织单位所遭遇的挖矿木马数量持续降低。依据有关数据,2022年加密货币价格多次下跌、市场价值整体呈现下降趋势,但传播挖矿木马对于攻击者而言仍有利可图,因此,在2022年中还是有很多小型挖矿木马家族兴起。例如Hezb、“1337”和Kthmimu等挖矿木马家族等。

安天CERT将近几年历史跟踪储备的典型流行挖矿木马家族组织梳理形成专题报告,在近几个月依次发布,并持续追踪新的流行挖矿家族。专题报告将详细介绍挖矿木马家族历史演进、详细分析家族样本迭代版本、梳理历史攻击事件、提供感染后排查手段以及公布更多的IoCs,另外我们也会不断完善自身安全产品能力,采取有效技术方案对挖矿木马实施检测和清除,帮助政企校等组织单位有效防护和清除挖矿木马。

2.挖矿木马简介


2.1 什么是挖矿

“挖矿”是指通过执行工作量证明或其他类似的电脑算法来获取虚拟货币,“矿”代表的是虚拟货币,挖矿的工人通常称为“矿工”。而“挖矿木马”是一种集成化恶意代码,能够通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算力进行挖矿,从而获取非法收益。这类非法入侵用户计算机的挖矿程序被称作挖矿木马。

挖矿方式有两种:一种是solo式(直接连入中心网络工作),产出收益均归自己所有;另一种是连入矿池,收益与矿池分成。由于连入矿池的技术难度较低并且收益相对稳定,所以挖矿木马通常会采用这种方式。挖矿类型也有两种:一种是被动型挖矿,在用户不知情的情况下被植入挖矿程序,获取的虚拟货币归植入挖矿程序的入侵者所有;另一种是主动型挖矿,人员主动利用计算资产运行挖矿程序,获取的虚拟货币归计算资产所有者或使用者所有。挖矿的本质是计算符合条件的hash值并返回,采用的方式为暴力破解式计算,主要特征表现为消耗主机资源,浪费用户电力资源。

2.2 为什么挖矿活动会日益猖獗?

将其与同样很流行的勒索活动进行对比可以发现,相对于勒索软件,挖矿活动收入更加稳定。在勒索事件中,一方面很难精确定位加密到有重要内容的主机,另一方面受害者交付赎金后又不能保证一定得到解锁服务,这就导致了勒索活动的规模和获得的赎金严重不成正比。

而在挖矿活动中,挖矿木马只要运行在计算机上就可以在矿池中获得shares(具体情况要根据矿池的分配模式)并转换成收益。挖矿的难度也比勒索活动要低,其大部分会使用开源的程序并注册一个钱包地址,挖矿过程中不需要投入其他精力便可坐享其成。

另外,虚拟货币的增值性和匿名性也是促使挖矿木马日益猖獗的原因之一。通过虚拟货币不仅可以逃避现实世界的金融追查手段而且还获得了具有增值潜力的货币,可谓一箭双雕,这也是挖矿木马更喜欢匿名货币(例:门罗币)的原因。

2.3 挖矿木马的危害

通常情况下,受害者会认为挖矿木马只是会让系统卡顿,并不会对自身造成太大的影响,但是挖矿木马除了会让系统卡顿之外,还会降低计算机设备性能和使用寿命,危害组织运营,浪费电力能源。不仅如此,现在的挖矿木马普遍会留置后门,导致受害者主机沦为攻击者的控制节点,以此组建僵尸网络,继而下发命令攻击其他计算机,因此,现阶段的挖矿木马已经不单单是执行挖矿这一简单操作,而是逐步开始利用入侵能力牟取更多非法利益。

3.概述


LemonDuck挖矿僵尸网络首次活动于2018年12月14日,其运营组织采用了供应链传播的方式,即入侵驱动人生更新服务器,替换其中的更新程序下载链接,使得用户在更新驱动人生相关软件时,向用户主机植入该挖矿僵尸网络程序,同时借助永恒之蓝漏洞传播,实现广泛传播。据研究人员披露,其在活动后的两个小时内感染了10万台主机[2]。在运营恶意挖矿木马或僵尸网络领域出现了供应链传播,这引起了大部分网络安全厂商的高度关注。此后的三年多时间内,该挖矿僵尸网络不断新增以多种漏洞利用、服务口令破解、钓鱼邮件投递为主的传播方式,拓展传播能力。该僵尸网络在持续更新过程中形成了模块化的组合能力,在更新各模块时也窃取目标主机基本信息。

从LemonDuck挖矿僵尸网络上述攻击技术及活动特征可以看出,其运营组织具备了APT组织的技术能力,却主动从事吸引网络安全界关注的网络犯罪活动,主要目的在于获利,同时有别于一般网络犯罪组织,技术能力多样化、获利能力较为突出。

4.LemonDuck挖矿僵尸网络介绍


LemonDuck挖矿僵尸网络,又名“永恒之蓝下载器木马”、DTLMiner。这些名称主要与该木马的传播、攻击活动有关,如初期利用驱动人生更新服务器进行传播、在目标系统中利用永恒之蓝漏洞传播、C2通信和PowerShell脚本代码中附带“Lemon Duck”字符串等。同时在以往的更新活动中,由于设置了特定名称的计划任务,被研究人员以名称为基础,命名为“蓝茶行动”[3]和“黑球行动”[4]

LemonDuck挖矿僵尸网络是一个集成多种恶意功能的恶意软件,主要以僵尸网络和挖矿活动而活跃于目标网络中。其模块迭代频繁,迭代效率高,模块功能渐趋丰富;其在更新过程中依次添加不同漏洞利用组件、移动存储设备、钓鱼邮件等传播方式,极大提高传播效率;同时更新过程中拓展主营业务,新增信息窃取、恶意软件下发功能。

表4‑1 LemonDuck挖矿僵尸网络基本信息

家族名称

名称繁多,永恒之蓝下载器木马、永恒之蓝木马下载器、LemonDuck(柠檬鸭)、DTLMiner

首次披露时间

20181215

首次活动时间

20181214

命名原因

驱动人生软件供应链传播,永恒之蓝漏洞传播,PowerShell脚本及C2连接的User-Agent存在“Lemon_Duck”字符串

威胁类型

挖矿、僵尸网络

针对目标

无特定目标

传播方式

供应链传播、永恒之蓝漏洞利用、SMB暴力破解、$IPC暴力破解、钓鱼邮件、SSH暴力破解、Redis暴力破解、RDP暴力破解、Yarn未授权访问漏洞、钓鱼邮件

自从LemonDuck挖矿僵尸网络被首次披露后,其后续活动愈加猖獗,不断新增攻击、传播、防御规避方式。其中包括SMB弱口令传播[5]、MySQL暴力破解[6]、挖矿模块转为无文件形式[7]、新增“震网三代”漏洞(CVE-2017-8464)利用知[8]、SSH暴力破解知[9]、新增ClipBanker窃密木马[10]、新增针对Docker目标的攻击[11]等。

表4‑2 LemonDuck攻击事件时间线

时间

事件

201812

劫持“驱动人生”等多个软件升级通道进行挖矿木马下发,利用“永恒之蓝”漏洞进行传播

20191

将后门程序和挖矿程序写入计划任务,增加Mimikatz密码搜集模块,并通过SMB弱口令进行内网横向暴力破解

20192

新增MySQL暴力破解攻击,修改数据库管理员账号密码

20193

更新横向传播模块ipcii.exe,无文件攻击模块由PowerShell后门下载,不再由母体PE释放,新增弱口令暴力破解+wmicPassthehash+SMBClient/SMBExec

20194

新增无文件挖矿模块

20197

新增“震网三代”漏洞(CVE-2017-8464)利用,通过可移动硬盘和网络共享进行传播

201910

新增Bluekeep漏洞CVE-2019-0708检测上报功能

20204

新增钓鱼邮件攻击

20205

新增SMBGhost漏洞CVE-2020-0796检测上报功能,新增SSH暴力破解代码

20206

新增Windows端漏洞SMBGhost漏洞(CVE-2020-0796)利用,新增LinuxSSH暴力破解功能,已经开始跨平台挖矿木马传播

20208

新增Hadoop Yarn未授权访问漏洞攻击方式

202012

新增WebLogic未授权命令执行漏洞(CVE-2020-14882)攻击传播方式

20212

Linux平台引用Outlaw挖矿僵尸网络大部分模块,并加入扫描传播模块

20219

新增IPC暴力破解、ElasticSearch漏洞、Apache solr远程命令执行漏洞、Docker remote API未授权访问

202111

新增类Zegost后门,新增ClipBanker窃密木马,新增可执行程序挖矿

20224

新增以Docker为目标进行挖矿操作

LemonDuck攻击活动时间轴,如图4-1所示:

图4‑1 LemonDuck攻击活动时间轴

5.LemonDuck挖矿僵尸网络对应的ATT&CK映射图谱


安天CERT梳理了该僵尸网络历次攻击活动对应的技术特点分布图:

图5‑1 技术特点对应ATT&CK的映射

具体ATT&CK技术行为描述表:

表5‑1 事件对应的ATT&CK技术行为描述表

ATT&CK阶段/类别

具体行为

注释

初始访问

利用面向公众的应用程序

利用软件漏洞进行传播

网络钓鱼

使用钓鱼邮件进行传播

入侵供应链

入侵驱动人生更新服务器的传播挖矿木马

执行

利用命令和脚本解释器

使用PowerShellbat命令

利用计划任务/工作

添加计划任务

持久化

利用计划任务/工作

添加计划任务,定时执行

防御规避

 

删除主机中的信标

清除相关操作日志

混淆文件或信息

编码相关恶意脚本文件

凭证访问

从存储密码的位置获取凭证

获取SSH登录凭证

发现

发现系统信息

探测目标系统版本信息

发现系统所有者/用户

探测目标系统用户

发现系统时间

探测目标系统时间

横向移动

利用远程服务漏洞

利用目标主机漏洞进行传播

执行内部鱼叉式钓鱼攻击

利用目标主机邮箱通讯录发送钓鱼邮件传播

利用远程服务

利用SSH服务横向移动

收集

收集本地系统数据

收集目标系统敏感信息

数据渗出

使用Web服务回传

使用HTTP GET请求回传数据

影响

资源劫持

劫持系统计算资源用于挖矿

6.防护建议


针对挖矿攻击,安天建议企业采取如下防护措施:

1.安装终端防护:安装反病毒软件,针对不同平台建议安装安天智甲终端防御系统Windows/Linux版本;

2.加强SSH口令强度:避免使用弱口令,建议使用16位或更长的口令,包括大小写字母、数字和符号在内的组合,同时避免多个服务器使用相同口令;

3.及时更新补丁:建议开启自动更新功能安装系统补丁,服务器应及时更新系统补丁;

4.及时更新第三方应用程序补丁:建议及时更新第三方应用程序,特别是与业务相关的,如Hadoop Yarn、WebLogic、Docker等应用程序补丁;

5.开启日志:开启关键日志收集功能(安全日志、系统日志、错误日志、访问日志、传输日志和Cookie日志),为安全事件的追踪溯源提供基础;

6.主机加固:对系统进行渗透测试及安全加固;

7.部署入侵检测系统(IDS):部署流量监控类软件或设备,便于对恶意代码的发现与追踪溯源。安天探海威胁检测系统(PTD)以网络流量为检测分析对象,能精准检测出已知海量恶意代码和网络攻击活动,有效发现网络可疑行为、资产和各类未知威胁;

安天服务:若遭受恶意软件攻击,建议及时隔离被攻击主机,并保护现场等待安全工程师对计算机进行排查;安天7*24小时服务热线:400-840-9234。

经验证,安天智甲终端防御系统(简称IEP)可实现对该挖矿僵尸网络的有效查杀。

图6‑1 安天智甲可实现对该挖矿僵尸网络的有效查杀

7.样本分析


本次样本分析不局限于单个样本,主要针对LemonDuck挖矿僵尸网络家族更新过程中特殊的功能进行分析,便于读者更加全面地了解LemonDuck挖矿僵尸网络。

7.1 永恒之蓝漏洞传播

使用永恒之蓝漏洞利用组件,在样本更新过程中,使用Py2exe或Pyinstaller进行打包。

图7‑1 永恒之蓝漏洞利用组件

7.2 钓鱼邮件传播

利用新冠病毒相关信息,传播携带名为“urgent.doc”恶意文档的钓鱼邮件。

图7‑2 钓鱼邮件(图片来源:瑞星)

该恶意文档实质为一个rtf文件,具备CVE-2017-8570漏洞利用功能,实现打开文档触发漏洞并执行其中的PowerShell代码。

图7‑3 漏洞文档

后期还在样本中添加自动化的钓鱼邮件传播功能,如遍历目标主机的邮箱通讯目录。

图7‑4 遍历邮箱通讯目录

预设的邮件标题和正文。

图7‑5 预设的邮件标题和正文

预设要发送的附件。

图7‑6 预设要发送的附件

7.3 后门木马“增肥”自身

增肥自身分为两个步骤,第一阶段通过创建批处理使用type命令进行自身文件拷贝。

图7‑7 创建批处理脚本

第二阶段,依据原始文件大小、随机生成写入数据大小及随机创建的写入数据等参数,生成新的后门木马文件数据,而后写入原始文件进行覆盖,最终的文件大小基本都在40MB以上。实现自身文件大小及哈希值的随机变化,规避基础防御方案。

图7‑8 随机生成数据并填充

7.4 无文件挖矿

使用开源的Invoke-ReflectivePEInjection将挖矿程序注入到PowerShell进程内存中执行,实现无文件挖矿。

图7‑9 无文件挖矿

7.5 CVE-2017-8464漏洞利用

新增CVE-2017-8464(震网三代)漏洞利用功能,结合磁盘类型检测功能,实现在网络共享磁盘或移动存储介质中传播具备漏洞的恶意快捷方式,诱导目标点击触发漏洞利用代码,提高了僵尸网络传播能力。

图7‑10 CVE-2017-8464漏洞利用

7.6 针对Linux平台的攻击

7.6.1 结束其他挖矿进程

通过进程名、文件名及网络连接等参数,结束其他挖矿木马的进程。

图7‑11 结束其他挖矿木马进程

7.6.2 下载并执行挖矿木马

通过多种方式下载并执行挖矿木马。

图7‑12 下载并执行挖矿木马

7.6.3 利用目标主机的SSH凭证尝试横向传播

通过受害主机上的私钥信息及历史SSH连接的IP地址,遍历验证私钥和其他主机是否匹配,尝试免密SSH连接远程主机,同时在远程主机上执行下载并执行脚本的命令。

图7‑13 横向传播

7.6.4 清除日志

针对Linux平台的脚本,在其结尾部分包含清除相关日志数据的功能。

图7‑14 日志清除

8.LemonDuck模块迭代


8.1 母体文件迭代

母体文件主要功能为释放执行云控模块,下载执行传播模块。随着传播范围的扩大和LemonDuck挖矿僵尸网络组件新增频繁及功能丰富,母体文件的作用也被转移,后续基本依靠PowerShell后门完成组件更新和传播。

表8‑1 母体文件迭代

母体文件文件格式

备注

PE文件

通过驱动人生升级通道投递目标。释放云控木马和下载执行攻击传播模块,同时具备搜集系统敏感信息的功能,动态获取云控代码。

供应链传播连接:hxxp://pull.update.ackng.com/ziptool/pullexecute/f79cb9d2893b254cc75dfb7f3e454a69.exe

hxxp://dl.haqo.net/dl.exe

v1: F79CB9D2893B254CC75DFB7F3E454A69

PE文件

hxxp://172.104.73.9/dll.exehxxp://dl.haqo.net/updatedl.exe hxxp://120.52.51.13/dl.haqo.net/dl.exe

v2FB89D40E24F5FF55228C38B2B07B2E77

PE文件

永恒之蓝传播连接:

hxxp://dl.haqo.net/dll.exe?fr=xxhxxp://dl.haqo.net/updater.exe?ID=xxxxx   (附带参数的链接,在访问是需要上传目标主机敏感信息)

v3: 59B18D6146A2AA066F661599C496090D

8.2 云控模块迭代

云控模块初期活跃,后期挖矿僵尸网络主要通过后门模块进行更新和下载相关组件。

表8‑2 云控模块迭代

文件格式

来源

PE文件

存在母体PE文件资源节,实质是一个shellcode加载器,动态获取母体PE进程的共享内存中的shellcode,实现远控功能。

PE文件

独立进程

具备名为Ddriver服务进行进行启动

具备名为Ddriver计划任务进行启动

8.3 传播模块迭代

传播模块的迭代主要体现在模块载体文件格式变化、传播模块功能变化。其中文件格式主要为PE文件和PowerShell脚本,功能变化上陆续新增永恒之蓝漏洞、CVE-2017-8464(lnk漏洞)、Bluekeep漏洞、Yarn未授权访问漏洞、RDP\SMB\MSSQL\$IPC暴力破解等传播方式。

表8‑3 传播模块迭代

时间

文件类型

备注

20181214

PE文件

永恒之蓝漏洞利用模块由Python编写,具备成功利用后植入的命令(下载并执行)。漏洞利用模块由py2exe程序打包。

永恒之蓝漏洞利用

2019125

PE文件

新增mimikatz搜集登录密码

新增SMB弱口令暴力破解

2019210

PE文件

文件由Pyinstaller打包

2019223

PE文件

新增MSSQL暴力破解

201938

PE文件

PowerShell后门下载

PowerShell脚本

无文件技术,PowerShell脚本

具备永恒之蓝漏洞利用、SMB暴力破解

2019328

PowerShell脚本

无文件技术,

新增Invoke-SMBExec,利用NTMLhash字典进行Pass the Hash攻击

2019719

PowerShell脚本

新增CVE-2017-8464 lnk漏洞利用,感染移动存储介质和网络共享盘,新增MSSQL暴力破解

PowerShell脚本

新增RDP暴力破解、$IPC暴力破解

202043

PowerShell脚本

钓鱼邮件传播,附件urgent.doc包含漏洞CVE-2017-8570

2020610

PowerShell脚本

新增CVE-2020-0796漏洞攻击

新增SSHRedis暴力破解,针对Linux服务器

2020624

PE文件

新增由Python打包的exe文件,具备永恒之蓝漏洞、MSSQL暴力破解、$IPCSMB暴力破解等方式传播

2020818

PowerShell脚本

新增利用Yarn未授权访问漏洞攻击Linux服务器

8.4 后门模块迭代

后门模块实现定时获取PowerShell代码,实现长久驻留目标系统,更新挖矿僵尸网络其他组件。

表8‑4 后门模块迭代

文件类型

备注

无文件形式

以名为MicrosoftwindowsBluetooths的计划任务中执行PowerShell代码,从某url中定时获取代码执行。50分钟一次

hxxp://r.minicen.ga/r?purl

无文件形式

以名为Bluetooths的计划任务中执行PowerShell代码,从某url中定时获取代码执行。50分钟一次

http://v.beahh.com/v+目标主机域名(url

无文件形式

计划任务名:\Microsoft\windows\Rass

http://v.beahh.com/wm?smb

8.5 挖矿模块迭代

挖矿模块在迭代过程中主要表现在落地形式上,从shellcode、PE文件、PowerShell无文件及ELF文件等载体形式在Windows和Linux系统上实现挖矿功能。

表8‑5 挖矿模块迭代

文件类型

矿池

备注

无文件,shellcode

172.105.204.237:443

由母体文件从hxxp://i.haqo.net/i.png获取,通过共享内存方式共享给云控模块

未知

未知

hxxp://dl.hago.net/xmrig-64_1.mlz

hxxp://dl.hago.net/xmrig-32_1.mlz

PE文件

未知

Xmrig,以独立进程启动

PowerShell

lplp1.beahh.com:443

lplp1.abbny.com:443

lplp1.ackng.net:443

216.250.99.49:443

无文件挖矿,由PowerShell下载在内存中执行。
hxxp://down.beahh.com/d64.dat(64
)

hxxp://down.beahh.com/d32.dat(32)

c90ecc4e12e085c7fbc571d9ba6d00d4

f21c98d43e678568917dabf121436b74

ELF

lplp.ackng.com:444

无文件传播模块新增SSHRedis暴力破解后,成功后植入脚本,由脚本下载挖矿程序

hxxp://d.ackng.com/ln/xr.zip

8.6 信息窃取模块迭代

信息窃取主要是获取目标主机的计算机名、GUID、MAC地址、系统版本和系统时间等,主要以Get请求方式访问该挖矿僵尸网络相关组件下载链接时,附带在参数中。除了这种方式外,还有通过传播模块中的email、cookie、ftp及http库实现窃取目标主机cookie和email信息。

表8‑6 信息窃取模块迭代

链接

http[:]//dl.haqo.net/updater.exe?ID=yuefmigojqcn&GUID=3B885DD9-1DF9-E54C-A5C5-D08BB6A85DEC&_T=1551595904

http[:]//dl.haqo.net/ins.exez?ID=rzcsyote&GUID=3B885DD9-1DF9-E54C-A5C5-D08BB6A85DEC&_T=1548372990

http[:]//dl.haqo.net/stak.mlz?ID=DGSJ-GUOQUANJU&GUID=5279AC0C-493F-11E2-B45D-A474EB8B2600&_T=1550901673

http[:]//pp.abbny.com/u.png?ID=CICADC&GUID=C9414D56-B061-F3EB-815F-196AE988AC3D&MAC=00:0C:29:88:AC:3D&OS=Windows%208.1&BIT=64&_T=1673568416

http[:]//oo.beahh.com/u.png?_t=1669015209&bit=32&guid=3980a6ba-e025-44f5-ae6e-d2ca02dd47a9&id=tom-pc&mac=52:54:00:d2:51:ea&os=windows%207

http[:]//oo.beahh.com/t.php?ID=WALKER-PC&GUID=08A73516-31A7-11EC-9367-AD3FA9840C81&MAC=16:7C:9A:14:3B:3A&OS=Windows%207&BIT=64&CARD=Standard%20VGA%20Graphics%20Adapter&_T=1634726

9.IoCs


Domain

d[.]ackng.com

d[.]beahh.com

d[.]ttr3p.com

dl[.]hago.net

dl[.]haqo.net

dl[.]haqo[.]net

down[.]bddp.net

down[.]beahh.com

down[.]sqlnetcat.com

i[.]hago.net

i[.]haqo.net

ii[.]hago.net

ii[.]haqo.net

info[.]abbny.com

info[.]amynx.com

info[.]beahh.com

info[.]hago.ne

info[.]haqo.net

info[.]zz3r0.com

log[.]bddp.net

loop2[.]hago.net

loop[.]abbbny.com

loop[.]haqo.net

lplp1[.]abbny.com:443

lplp1[.]ackng.net:443

lplp1[.]beahh.com:443

lplp[.]ackng.com:444

o[.]beahh.com

oo[.]beahh.com

oop2[.]hago.net

oop[.]abbbny.com

oop[.]hago.net

p[.]abbny.com

p[.]beahh.com

p[.]estonine.com

pp[.]abbny.com

ppabbny[.]com

pslog[.]estonine.com

pull[.]update[.]ackng[.]com

t[.]ackng.com

t[.]amxny.com

t[.]amynx.com

t[.]amynx.con

t[.]awcna.com

t[.]netcatkit.com

t[.]sqlnetcat.com

t[.]tr2q.com

t[.]zer9g.com

t[.]zz3r0.com

update[.]bddp.net

v[.]bddp.net

v[.]beahh.com

w[.]beahh.com

w[.]zz3r0.com

wbeahh[.]com

IP

172.105.204.237:443

216.250.99.49:443

HASH

F79CB9D2893B254CC75DFB7F3E454A69

74E2A43B2B7C6E258B3A3FC2516C1235

2E9710A4B9CBA3CD11E977AF87570E3B

59B18D6146A2AA066F661599C496090D

30429A24F312153C0EC271CA3FEABF3D

F9144118127FF29D4A49A30B242CEB55

FB89D40E24F5FF55228C38B2B07B2E77

1E0DB9FDBC57525A2A5F5B4C69FAC3BB

5AB6F8CA1F22D88B8EF9A4E39FCA0C03

D4E2EBCF92CF1B2E759FF7CE1F5688CA

32653B2C277F18779C568A1E45CACC0F

AB1C947C0C707C0E0486D25D0AE58148

BC26FD7A0B7FE005E116F5FF2227EA4D

A4B7940B3D6B03269194F728610784D6

85013CC5D7A6DB3BCEE3F6B787BAF957

667A3848B411AF0B6C944D47B559150F

0A4DCD170708F785F314C16797BAADDB

DEF0E980D7C2A59B52D0C644A6E40763

23196DE0EDE25FB9659713FA6799F455

CE924B12FFC55021F5C1BCF308F29704

2FBCE2ECF670EB186C6E3E5886056312

E05827E44D487D1782A32386123193EF

66EA09330BEE7239FCB11A911F8E8EA3

47064F56C84D674AB1935186A365219F

8A2042827A7FCD901510E9A21C9565A8

FA13FD1BB0A2FAAC06CB94592DD6BB1B

6D444144D8E7A07CBA1FD5B042A49012

C90ECC4E12E085C7FBC571D9BA6D00D4

F21C98D43E678568917DABF121436B74

6AA4DE709246FB080C621A6D3E7F9360

DEBE7B1929D4AD269DD8C4B159ABD269

AE0AC43FEBAD2AC885E3F8A020A2103E

07DD4357A22AF86CC73710239E7DBC07

4EC29049AC81521C37DAD2DA6754D6A3

FFEB6DC402F37542889AE2D17B0EDDF2

F1BF55BA24D1A05E80A7CA1D6774AB3D

9ABFFFAF7A4877C9187C3F8A6E59B065

F19D9A77C3F6F07E43F5822F9A796104

8516C4592D8DE8B25DF3A5E9AEFF12E0

8EC31DD982FA038D99FBBBDDFCEB044C

556D5B9FCA78386C15EC59B2E9105E60

43255582721DC0A0796491FE91851630

76E47B53D5D57D7595EF687E9AE92891

3380700C5D87F1F0538DC506FB464FFC

2E2E3ABC4BEB42ED902C4AB820C18AF6

98BF04D3D6E25C0CAC4AC6AF604BCDBF

D4C35DA00EF1122401DF0FB2B0EA782B

4764ADA8BD0665B7EDA593B81DF116E2

3A6714003C362564145108E354F52F39

300967F8E0C01600742CBD4D15844EF0

BBCBEC1A0671B3D67929B628E433A8D5

F444A893A14510684A6490B6748772EF

E6AE2AEF792D3064A24BF7CF935439D8

9D00CCCBB3B73171BF58FE66BF7DAFF7

C08080797A5DA1D05CDBA5760B30B2C1

6965AA9A1EE2B04496D89A6BBCDB37FF

7C029C86CA1ABA2D269BC5C43418CC75

A3CF8550866FBAAF8D98566243B78758

E5AE6D154A6BEFC00DEEA0CCB49DC9B8

88949E6A329C6B2796DDCC81564CEE1A

E3687C56B8BE535398051405F8221D82

7805776504E8A39C2A892D89E2492C12

CC67B69740C7BD0744ACD3242729CE15

99ECCA08236F6CF766D7D8E2CC34EFF6

2977084F9CE3E9E2D356ADAF2B5BDCFD

17703523F5137BC0755A7E4F133FC9D3

8B0CB7A0760E022564465E50CE3271BB

5B3C44B503C7E592E416F68D3924620F

EF3A4697773F84850FE1A086DB8EDFE0

8EC20F2CBAD3103697A63D4444E5C062

AC48B1EA656B7F48C34E66D8E8D84537

D61D88B99C628179FA7CF9F2A310B4FB

F944742B01606605A55C1D55C469F0C9

ABD6F640423A9BF018853A2B40111F76

57812BDE13F512F918A0096AD3E38A07

D8E643C74996BF3C88325067A8FC9D78

125A6199FD32FAFEC11F812358E814F2

FB880DC73E4DB0A43BE8A68EA443BFE1

8D46DBE92242A4FDE2EA29CC277CCA3F

48FBE4B6C9A8EFC11F256BDA33F03460

98F48F31006BE66A8E07B0AB189B6D02

6BB4E93D29E8B78E515653426929C824

E009720BD4BA5A83C4B0080EB3AEA1FB

092478F1E16CBDDB48AFC3EECAF6BE68

CA717602F0700FABA6D2FE014C9E6A8C

888DC1CA4B18A3D424498244ACF81F7D

C21CAA84B327262F2CBCC12BBB510D15

E04ACEC7AB98362D87D1C53D84FC4B03

E49367B9E942CF2B891F60E53083C938

B204EAD0DCC9CA1053A1F26628725850

B6F0E01C9E2676333490A750E58D4464

95ADF923BA32CC5004277867181680C8

31CE6662BE59CA4C01C1730BC7150F19

55F0DD8C306DB9FC8B9E45705CD66598

C17CDEE1AFDC272A46B1CF25C1F44DCC

24C4149468926BEDCB41F50AC88B40F3

3162E619F8EB49F4DD6B48CB09075E10

94838EDD7470271386153D3B89FE6A6C

E561003B347F391EEC44759DE1DA5EBF

FF75C064248579F4BDABEC6D6DBA89D6

2AE7F2F4F0B114ED074BA191ACF1665A

B1BB11AEF730C4B0D2C2C94FDBF2A823

A8BF439DFC1391D5124D4CCCBD6C7664

4D93C29622E285E068B613EF114517FD

46B1DA47A20AFAA11207A493EBFBD090

E47495DA1B30BDA0E42089CA6FC07B62

3C4C0E75810C0FDAE2B0162B42FE04A0

5BB6F5AF311C3A5576379874FC193EF3

E5B8744C220D703F9A0E43F3A202C785

4001BA98A424FDB63047A23AF97EC590

A921B532D5D239E4A2E71E5F853195CD

CFCFC563F33CB2E96F2FF51F6F603FA3

参考链接


[1] 国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知
http://www.gov.cn/zhengce/zhengceku/2021-09/25/content_5639225.htm
[2] 驱动人生木马详细分析报告 2小时感染10万台电脑挖门罗币
https://s.tencent.com/research/report/610.html
[3] 永恒之蓝木马下载器展开“蓝茶”行动,已变身“邮件蠕虫”
https://s.tencent.com/research/report/957.html
[4] 永恒之蓝木马下载器发起 黑球行动,新增SMBGhost漏洞检测能力
https://mp.weixin.qq.com/s/QEE95HTKzuT4-NykfvHfGQ
[5] 永恒之蓝下载器木马持续活跃:始于供应链攻击,不断变换攻击手法
https://s.tencent.com/research/report/657.html
[6] 打不死的小强:永恒之蓝下载器木马又双叒叕升级了新的攻击方式
https://s.tencent.com/research/report/660.html
[7] 永恒之蓝木马下载器开创无文件挖矿新模式
https://s.tencent.com/research/report/702.html
[8] 永恒之蓝下载器木马再次更新,新增移动盘及网络共享盘传播
https://s.tencent.com/research/report/768.html
[9] 永恒之蓝木马下载器再更新,云上主机成为新目标
https://s.tencent.com/research/report/1163.html
[10] “柠檬鸭”进化归来,旨在瞄准政府、能源等行业进行挖矿、窃密攻击
https://mp.weixin.qq.com/s/8uh9peTW3EPkFpODFl137A
[11] LemonDuck Targets Docker for Cryptomining Operations
https://www.crowdstrike.com/blog/lemonduck-botnet-targets-docker-for-cryptomining-operations/