威胁预警|首现新型RDPMiner挖矿蠕虫 受害主机易被添加恶意账户

近日，阿里云安全发现一种新型挖矿蠕虫RDPMiner，通过爆破Windows Server 3389端口RDP服务的方式进行挖矿木马传播，致使用户CPU占用率暴涨，机器卡顿，更被创建名为DefaultAccount的账号。攻击者可畅通无阻远程登录机器威胁用户业务和数据安全。

据该蠕虫连接的某矿池公布的HashRate，预估仅该矿池即有2000+机器连接进行挖矿，阿里云安全专家判断该挖矿蠕虫扩散性还在持续且活跃度高，且用户管理账号弱密码设置更给攻击者创造了有利的条件。

本文以RDPMiner整体攻击流程为主线，通过对入侵、获利、对抗与维持等进行详细分析，还原RDPMiner整个过程。并在文末给出专家建议，同时也提醒用户加强密码设置。

背景

在接到用户反馈Windows Server服务器CPU占用率暴涨，并被创建DefaultAccount的账号后，阿里云云防火墙同步监控到这些机器向外发出大量RDP请求。阿里云安全研究人员进行分析后，发现用户主机上运行着挖矿程序，导致CPU占用率居高不下。

进一步分析，攻击者利用该蠕虫程序暴力破解RDP服务、创建用户名为DefaultAccount的账号、修改注册表、开启挖矿程序。 接着再通过这台被入侵的机器对互联网其他主机进行爆破，进而达到入侵、获利、持久化等功能。

且挖矿蠕虫的攻击者具有较强的对抗意识，大部分二进制程序都被制作成了SFXRAR自解压缩程序（Self Extracting Archives）进行密码加密，并在执行完功能后，统一由脚本进行清理。阿里云安全监测到该蠕虫最早出现于2017年11月，持续时间长达1年多。

此次RDPMiner事件中，攻击ip来源地伊朗、美国、中国基本持平。由于中国的入侵ip很大部分是由于主机被入侵之后变成继续攻击的肉鸡，故最初发起攻击的ip以伊朗和美国居多。

RDPMiner蠕虫攻击及传播流程解析

如下图所示：攻击者在成功控制一台机器后，为进行下一轮的RDP爆破攻击，首先会在该机器的c:usersadministratordesktop目录下，植入并运行名为sector-v1.exe的多功能恶意程序工具包。工具包中的程序都进行了sfxrar加密，需要输入密码才能正常运行。