2018年Windows服务器挖矿木马总结报告( 五 )_：2018年Windows服务器挖矿木马总结报

二、挖矿木马使用漏洞一览

正所谓“工欲善其事，必先利其器”——利用成功率高、操作简便、适用于大规模攻击的漏洞往往受到攻击者青睐。表1展示了2018年挖矿木马入侵Windows服务器所使用的漏洞。攻击者手里往往持有一个能够针对多个平台的漏洞武器库和一个保存有存在漏洞计算机的IP地址的列表，具有僵尸网络性质的挖矿木马会将这个漏洞武器库集成到挖矿木马中，使挖矿木马实现“自力更生”，不具有僵尸网络性质的挖矿木马则会定期对列表中的IP地址发起攻击。一些频繁更新的挖矿木马更是在漏洞POC公开后的极短时间内将其运用在实际攻击中。

攻击平台漏洞编号 POC 公开与首次出现利用时间差 Weblogic CVE-2017-3248 6个月 CVE-2017-10271 0 天（0day） CVE-2018-2628 10天-20天 CVE-2018-2894 5个月 JBoss CVE-2010-0738 未知 CVE-2017-12149 20天-30天 Struts2 CVE-2017-5638 6000XMR（矿池已禁止查询该钱包）

表3 各挖矿家族钱包地址的获利情况

不过某些规模较大的挖矿家族依然在寻求其他的获利方式以最大化利用其控制的僵尸机器的价值。比如2018年6月，WannaMine家族在一次更新中增加了DDoS模块。该DDoS模块代码风格、攻击手法与WannaMine家族之前的情况大不相同，DDoS模块的载荷下载地址在2018年6月之前曾经被其他家族所使用[5]。不难推测，WannaMine可能与其他黑产家族进行合作，摇身一变成为“军火商”为其他黑产家族定制化恶意程序。