Bondat蠕虫再度来袭!控制PC构建挖矿僵尸网络
近日,360 互联网 安全中心监测到流行蠕虫家族Bondat的感染量出现一轮小爆发。在这次爆发中,Bondat利用受害机器资源 进行门罗币挖矿,并组建一个攻击WordPress站点的僵尸网络。根据360网络安全研究院对此次Bondat蠕虫爆发时使用的控制端域名bellsyscdn.com和urchintelemetry.com的监控数据来看,Bondat蠕虫此次爆发至少影响15000台个人电脑。
图: Bondat蠕虫控制端域名bellsyscdn.com和urchintelemetry.com访问量变化趋势
Bondat蠕虫又来袭 利用浏览器隐秘挖矿
Bondat蠕虫最早出现在2013年,是一个能够执行控制端下发的任意指令的“云控”蠕虫家族。Bondat蠕虫一般通过可移动磁盘传播,并依靠一个JS脚本完成信息收集、自我复制、命令执行、构建僵尸网络等多项任务。
图:Bondat蠕虫的简单工作原理
早期的Bondat蠕虫主要通过修改浏览器主页获利。随着加密数字货币的兴起,Bondat蠕虫也涉足加密数字货币挖矿领域。在3月底的这次爆发中,Bondat蠕虫通过控制端下发门罗币挖矿代码并在受害者计算机上运行。
经过监测和分析可以看到,Bondat蠕虫会根据用户计算机的实际情况,选择使用Chrome浏览器、Firefox浏览器或Edge浏览器的其中之一,来访问已经嵌入挖矿脚本的指定网站进行门罗币挖矿。也就是说,中招的用户在不知不觉间就沦为了Bondat蠕虫的“挖矿工”。
Bondat蠕虫选择通过浏览器挖矿,而不是像其他僵尸网络一样将挖矿木马植入用户计算机中,其实这样做的收益会降低很多,但是隐蔽性却更高。看来Bondat蠕虫的目的不是“干一票就走”,而是想要“放长线钓大鱼”。
Bondat蠕虫主要通过可移动磁盘传播,并借助可移动磁盘中的文件隐蔽自身。Bondat蠕虫会检索可移动磁盘中特定格式的文件(例如doc、jpg),在创建与这些文件同名的快捷方式的同时隐藏这些文件,而这些快捷方式指向Bondat蠕虫的启动器Drive.bat。当用户使用可移动磁盘时,极有可能将这些快捷方式误认为为正常文件,进而导致Bondat蠕虫的执行。
Bondat蠕虫与杀软对抗 360可全面拦截查杀
Bondat蠕虫也会与杀毒软件进行对抗,这不仅影响杀毒软件的判断也增加了分析人员的工作量。此外,Bondat蠕虫还会尝试结束部分杀毒软件和安全软件进程。结束进程的同时,Bondat蠕虫会弹出一个伪造的程序错误提示框,此时无论用户点击确定或者取消都无法阻止进程结束,并且之后该进程无法再次启动。攻击者的本意可能是想伪造杀毒软件或安全软件异常退出时的假象,让用户误以为确实是这些软件内部出现了问题,但这也非常容易引起用户的怀疑,所以攻击者在这一点上有点“聪明反被聪明误”了。
图:Bondat蠕虫结束进程时弹出的窗口
各类U盘传播的蠕虫,一直以来都是学校,打印店,各类单位局域网内的“常客”,而Bondat蠕虫除会引发之前常见蠕虫的问题之外,还会大量消耗计算机资源,造成计算机卡慢等问题。Bondat蠕虫在对抗杀软方面,也做了大量工作,比如抛弃直接植入挖矿木马转而选择浏览器挖矿就增加了其隐蔽性。因此用户更需要对此提高警惕。防御这类蠕虫的攻击,主要可以从以下几方面入手:
1.使用U盘,移动硬盘时应该格外注意,建议使用具有U盘防护功能的安全软件;
2.发现计算机长时间异常卡顿,可以使用360安全卫士进行扫描体检;
3.定期对计算机进行病毒木马查杀,防止蠕虫病毒持续驻留。
4.而对于WordPrees站点管理者而言,使用强度较大的登陆密码,并且及时修补相关漏洞是阻止站点遭到攻击最有效的方法。
此外,安全专家建议广大用户及时安装360安全卫士,无需升级就可以全面拦截和查杀此类木马。