加密货币采矿是一个有利可图的业务, 但它也很昂贵, 因为它需要大量计算能力的投资。骗子使用恶意代码窃取受害者机器的计算资源，针对加密货币挖矿机的攻击数量继续增加。 [出自:jiwo.org]

攻击者3个月就弄到6.3万美元的 门罗币XMR

安全公司 ESET的安全研究员 已经发现了一个 恶意软件 的攻击活动, 他们用一个恶意的加密货币挖矿软件，感染了数百台Windows web 服务器。据专家说, 这次袭击背后的犯罪团伙，在短短三月内就做出了价值超过6.3万美元的 门罗币XMR 。

攻击者攻陷数百台IIS 6.0服务器 形成自己的门罗币挖矿僵尸网络

骗子修改了合法开源的门罗币挖矿软件， 并利用了 Microsoft IIS 6.0 中的已知缓冲区溢出漏洞 (CVE-2017-7269) 在没有打修补的Windows 服务器上部署恶意的门罗币挖矿软件。ESET发布的报告称，

"这个行动至少从 2017年5月就开始进行了, 攻击者用恶意的加密货币挖矿软件，感染没打补丁的 Windows 服务器。其目标就是为了利用受害者的矿机资源，挖自己的矿。

在三月的过程中, 这伙人成功的攻击了数百台服务器形成了自己的僵尸网络，挖到了价值超过6.3万美元的门罗币。

攻击者利用了IIS 6.0WebDAV远程代码执行漏洞CVE-2017-7269

在3月初，安全加报道了 IIS 6.0 WebDAV远程代码执行0day漏洞 CVE-2017-7269 PoC已经公开了 但Windows 2003已经没有更新服务了 ， CVE-2017-7269 漏洞的影响确实是挺大的, 根据 W3Techs 提供的数据, Microsoft 的 IIS 目前是第三大流行的 web 服务器解决方案 (所有网站中的 11.4%)。IIS 6.0 占 11.3%, 占到互联网Web服务器的大约1.3%。据BuiltWith的数据, IIS 6.0 版目前占整个互联网Web服务器使用量的2.3% , 超过830万的网站使用 IIS 6.0。

此漏洞不会影响 Microsoft Internet 信息服务的更新版本。为了减少网络攻击的风险, 可以在 IIS 6.0 安装中禁用 WebDAV 服务。

门罗币的盈利能力不错 攻击者们都盯上了

攻击者把精力集中在 门罗币XMR 上, 因为它专注于隐私, 并且在挖掘盈利能力方面还算不错, 它利用了称为 CryptoNight的proof-of-work 算法, , 适合计算机或服务器 cpu 和 GPU, 而不需要特定的挖掘硬件。

最近安全专家发现了越来越多的挖矿恶意软件。8月又出现了一个新的CoinMiner恶意挖矿软件，不但是无文件类型的，而且还利用了美国国家安全局NSA EternalBlue漏洞和 WMI 工具传播。

在 2017年5月, Proofpoint 的安全专家发现, 许多机器没有感染 WannaCry, 因为他们以前感染了 Adylkuzz加密货币挖矿恶意软件 , 也是利用了美国国家安全局NSA EternalBlue漏洞，传播并感染机器参与 门罗币僵尸网络。 Adylkuzz恶意软件1个月时间挖到了100万美金

在同一个月, GuardiCore的恶意软件专家发现了一个新的僵尸网络恶意软件, 被称为 BondNet, 当时在全球范围内感染了估计 1.5万台Windows 服务器。