“WannaMine” 挖矿木马的 “install.exe” 主要通过以下几种方式传播:
- 利用漏洞传播:
- “永恒之蓝” 漏洞:这是该挖矿木马最主要的传播途径之一。“永恒之蓝” 是 Windows 系统的一个严重漏洞,允许攻击者在未经授权的情况下远程访问和控制计算机。“WannaMine” 利用此漏洞可以快速入侵目标计算机,并在局域网内进行蠕虫式传播,感染更多的设备。一旦一台计算机被感染,挖矿木马会自动扫描内网中其他存在该漏洞的计算机,并将自身传播过去。
- 其他系统组件漏洞:除了 “永恒之蓝” 漏洞,该挖矿木马还可能利用其他服务器组件或应用程序的漏洞,如针对 MSSQL、Telnet、RDP 等系统组件的漏洞。攻击者利用这些漏洞获取目标计算机的访问权限,然后植入 “install.exe” 程序。
- 弱口令暴力破解:攻击者会针对一些常见的服务,如 3389(远程桌面服务)、SSH(Secure Shell)、MSSQL 等进行弱口令暴力破解。如果目标计算机的用户名和密码设置过于简单或存在规律,容易被攻击者破解成功。一旦获得访问权限,攻击者就会上传 “install.exe” 程序到目标计算机并运行,从而使该计算机感染挖矿木马。
- 僵尸网络传播:一些僵尸网络家族为了获利,会利用已有的僵尸网络渠道来传播 “WannaMine” 挖矿木马。僵尸网络中的受感染计算机已经被攻击者控制,攻击者可以通过远程指令将挖矿木马程序发送到这些计算机上,并在后台运行,将其变为挖矿机器。
- 恶意软件捆绑:该挖矿木马可能会与其他正常的软件或文件捆绑在一起进行传播。例如,攻击者将 “install.exe” 与一些热门的软件下载包、游戏外挂、破解工具等捆绑,当用户下载并运行这些被捆绑的程序时,挖矿木马也会随之在用户的计算机上安装并运行。
- 钓鱼邮件:攻击者会发送带有恶意链接或附件的钓鱼邮件,诱导用户点击链接或下载附件。如果用户不小心点击了钓鱼邮件中的链接或下载并打开了附件,就有可能感染 “WannaMine” 挖矿木马。邮件中的附件可能伪装成正常的文档、图片或程序,但实际上是包含 “install.exe” 的恶意文件。