2018年Windows服务器挖矿木马总结报告( 八 )_：2018年Windows服务器挖矿木马总结报

图16 WannaMine家族2018年攻击趋势

二、Mykings[10]（隐匿者[11]）

图17 Mykings家族典型的攻击流程

Mykings家族最早可以追溯到2014年，在2017年被多家安全厂商披露，至今仍然处在活跃状态中。Mykings家族拥有一套成熟的弱口令扫描与爆破体系，能够爆破MsSQL、Telnet、RDP、CCTV等系统组件或设备，其爆破模块除了复用Mirai僵尸网络和Masscan扫描器的部分代码外，还集成了内容丰富的弱口令字典以及针对MsSQL的多种命令执行方式。在获利方式上，Mykings家族不仅仅局限于通过挖矿获利，也通过与其他黑产家族合作完成锁首页、DDoS等工作。

2018年，Mykings家族攻击趋势较为稳定。2018年上半年Mykings家族呈平稳上升趋势，年中时曾经对MsSQL发起一次大规模的爆破攻击，在这次攻击中Mykings家族使用新的载荷下载地址，并尝试使用“白利用”技术对抗杀毒软件，也是在这一波攻击之后，Mykings家族控制的僵尸机数量大幅上涨[12]。与WannaMine家族相似，Mykings家族在2018年下半年稍显沉寂，直到2018年11月与“暗云”家族合作后才有所改观。