2018年Windows服务器挖矿木马总结报告( 六 )_：2018年Windows服务器挖矿木马总结报

图13 WannaMine的DDoS模块中所连接的载荷下载地址d4uk.7h4uk.com曾被其他家族使用

无独有偶，另一大挖矿家族Mykings也在2018年实现了身份的转换。2018年11月，Mykings与“暗云”木马家族合作，向受控计算机中植入“暗云”木马，功能包括但不限于挖矿、锁首页、暗刷和DDoS[6]。图14展示了Mykings僵尸网络与“暗云”木马合作后的攻击流程。

图14 Mykings僵尸网络与“暗云”木马合作后的攻击流程

可以预测，2019年将涌现更多这类的合作。挖矿木马家族除了往僵尸机中植入挖矿木马获利外，还会向其他黑产家族提供成熟的漏洞攻击武器与战术，或者将已控制的僵尸机出售给其他黑产家族。而类似“暗云”木马家族这类对黑产获利方式、获利渠道较为熟悉的家族则购买挖矿木马家族出售的僵尸机，或者与挖矿木马家族共同开发定制木马，谋求挖矿以外的利益最大化。