2018年Windows服务器挖矿木马总结报告( 七 )_：2018年Windows服务器挖矿木马总结报

第三章 2018年挖矿木马家族典型一、WannaMine（GhostMiner[7]、PowerGhost[8]）

图15 WannaMine家族典型的攻击流程

WannaMine是2018年最活跃的挖矿木马家族之一，该家族主要针对搭建Weblogic的服务器，也攻击PHPMyadmin、Drupal等Web应用。当WannaMine入侵服务器之后，使用“永恒之蓝”漏洞攻击武器或Mimikatz进行横向渗透，将挖矿木马植入位于同一局域网的其他计算机中。WannaMine是“无文件”攻击技术的集大成者，在其绝大多数版本中都通过PowerShell应用程序将挖矿木马加载到内存中执行，未有文件“落地”。

WannaMine更新频繁，不仅定期更换载荷下载URL，且一旦有新的Web应用漏洞POC公开，WannaMine就会在第一时间将POC武器化。图16展示了2018年WannaMine家族的攻击趋势，年初的上涨来源于WannaMine家族第一次使用Weblogic反序列化漏洞（CVE-2017-10271）对服务器进行攻击[9]，而2018年底的突然上涨是WannaMine在更新停滞数月之后再次活跃所造成的。不难推测，WannaMine攻击者手中保存有存在漏洞的机器列表，以实现在短时间内控制大量机器的目的。