“匿影”挖矿病毒借助公共网盘和图床隐匿自身

2019年3月4日,金山毒霸安全团队监测到一款在内网中传播的挖矿病毒,该病毒打包了方程式攻击工具包,在内网中利用永恒之蓝(Eternalblue)和双脉冲星(DoublePulsar)进行横向传播,被感染的电脑首先会解析特定URL上的内容,然后进行挖矿、对抗杀毒软件等操作,最终组成其僵尸网络中的一员。不同于以往的僵尸网络,该病毒的C&C服务器,需要通过EmerDNS、Namecoin这类基于区块链的加密货币进行转换,进而得到真实的地址信息,由于这类区块链拥有去中心化、匿名等特点,导致它们无法被某个机构统一关停,危害较大。并且病毒运行中所需要的文件下载、感染上报统计等内容,均由公用网盘(upload.ee)、匿名网盘(anonfiles.com)、图床(thyrsi.com)提供,而非某个固定的IP地址,因而也提升了安全分析人员和自动化分析系统反查的难度。