一支由数千台被黑客攻击的服务器组成的军队发现了加密货币

一个由15000多台受损服务器组成的新僵尸网络已被用于挖掘各种加密货币，其主人每月可获得约25000美元。



这款名为BondNet的僵尸网络于2016年12月首次被GuardiCore研究人员发现，他们使用在线手柄Bond007追踪到了这名僵尸网络恶意软件开发者。01，去中国。

据GuardiCore研究人员称，Bond007。01目前正在使用BondNet挖掘加密货币—；主要是Monero，但也有字节币、RieCoin和ZCash—；但他们警告说，黑客很容易出于恶意目的完全控制受损服务器，比如发动Mirai式DDoS攻击。

BondNet仅攻击Windows服务器计算机

由于挖掘加密货币需要大量的CPU/GPU电源，僵尸网络主机需要Windows服务器机器；而不是消费物联网设备。

然而，为了破坏Windows服务器机器，僵尸网络主机依赖不同的攻击技术。研究人员说，黑客利用旧的漏洞和弱的用户/密码组合来攻击大多数旧的和不受支持的Windows Server机器。

僵尸网络运营商利用的最常见缺陷包括已知的phpMyAdmin配置缺陷、JBoss中的漏洞，以及Oracle Web应用程序测试套件、MSSQL服务器、ElasticSearch、Apache Tomcat、Oracle Weblogic和其他服务中的漏洞。

一旦黑客获得Windows Server机器的访问权限，他就会部署Visual Basic文件来收集有关受感染系统的信息，然后安装远程访问特洛伊木马（RAT）和加密货币矿工，从被黑客攻击的服务器中获取巨额利润。

邦德网的僵尸网络基础设施

值得注意的一点是，僵尸网络运营商并没有使用所有受感染的机器来挖掘加密货币。该运营商已经建立了僵尸网络基础设施，由各种角色的受损服务器组成：

1. 一些受感染的机器充当扫描服务器，通过查看带有开放端口的IP地址列表，检查Internet上是否存在易受攻击的系统，这些端口已使用WinegDrop TCP端口扫描仪编译。

2. 一些服务器被用作文件服务器来托管挖掘软件。

3. 其他受感染的服务器在安装了goup—；一个用Golang编写的小型开源HTTP服务器。

GuardiCore研究人员在周四发布的报告中解释说：“在受害者机器上构建攻击基础设施有助于隐藏攻击者的真实身份和攻击来源。”。

“它还提供了高可用性基础设施，这在依赖受损服务器时非常有用，在其中一台服务器出现故障或失去与internet的连接时提供了无限的备份选项。”

BondNet已经感染了全球主要机构的15000多台服务器，其中包括知名的全球公司、大学和市议会，而其中大多数运行Windows server 2008 R2。

此外，BondNet僵尸网络每天向其网络中添加大约500台新机器，并且退市的服务器数量大致相同。

以下是如何检测威胁以及如何缓解：

为了防止您的计算机遭到黑客攻击，建议服务器管理员定期为所有软件应用安全补丁，更新固件，并使用更强大的密码，以保护其系统的安全。

与此同时，GuardiCore还提供了受损系统的网络和文件指示器，以帮助服务器管理员检查他们的机器是否属于受损系统。

研究人员还发布了一个检测和诊断系统；清理工具（下载时需要注册）帮助管理员从服务器中查找和删除BondNet机器人，以及如何在不使用脚本的情况下手动清理系统的说明。