2018年Windows服务器挖矿木马总结报告( 九 )_：2018年Windows服务器挖矿木马总结报

图18 Mykings家族2018年攻击趋势

三、“8220”组织[13]

图19 “8220”组织典型的攻击流程

2017年11月，一攻击组织使用当时还是0day状态的Weblogic反序列化漏洞（CVE-2017-10271）入侵服务器植入挖矿木马，这是第一次被公开披露的使用0day漏洞入侵服务器植入挖矿木马的案例，而这个攻击组织就是“8220”组织。

“8220”组织传播的挖矿木马攻击流程十分简单，即通过Web应用漏洞入侵Windows服务器之后通过PowerShell下载挖矿木马执行，再通过计划任务在计算机中持续驻留。不同于WannaMine家族和Mykings家族，“8220”组织传播的挖矿木马并不具有蠕虫传播的功能，但是该组织活跃时依然能够成功入侵大量Windows服务器。可以断定，“8220”组织手中必然保存着一个存在漏洞的服务器IP地址的列表，使该组织能够定期对大量服务器实施打击。