Positive Technologies的安全研究人员今天透露，一项重大僵尸网络操作已经攻击并接管其他恶意软件操作的网络外壳(网络服务器的后门)一年多了。

研究人员将僵尸网络与一个名为中微子(也称为Kasidet)的前Windows特洛伊木马联系起来，该木马的运营商似乎已经从桌面用户转移到在线服务器，在那里安装了加密货币挖掘恶意软件。

根据Positive Technologies的说法，中微子团队在这一新阶段的操作始于2018年初，当时该团队建立了一个多功能僵尸网络，用于扫描互联网上的随机IP地址，并搜索特定的网络应用程序和服务器以发现感染。

为了摧毁其他服务器，中微子僵尸网络使用了各种技术，比如利用新旧漏洞，搜索没有密码的phpMyAdmin服务器，强行进入phpMyAdmin、Tomcat、MS. SQL系统的根账号。

这种操作方式没有什么特别新颖或者有趣的地方，因为到目前为止，这是大多数僵尸网络现在的操作方式。

中微子暴力迫使竞争对手的网壳。

然而，安全研究人员表示，他们还发现中微子做了奇怪的事情，这在许多其他僵尸网络中是看不到的。例如，中微子搜索使用默认密码运行的以太网节点，连接到这些系统，并窃取任何本地存储的资金。

然而，中微子与目前活跃的大多数其他加密僵尸网络的区别在于，它专注于劫持网络外壳。

网络外壳是一个后门脚本，可以通过网络访问，黑客可以将这些脚本植入他们试图破坏的服务器。

Web shell有一个基于Web的接口，黑客可以连接到这些接口并通过他们的浏览器发出命令，或者他们可以向程序接口发送自动命令。

根据积极科技，中微子已经在网上搜索了159种不同类型的PHP网页外壳和两种JSP(Java服务器页面)。

僵尸网络编译一个网络外壳列表，然后发起暴力攻击，试图猜测网络外壳的登录凭据，并接管外壳和底层网络服务器。

僵尸网络运营商经常相互竞争，但大多数时候他们会感染设备，并使用防病毒系统来防止竞争对手避免和感染相同的设备。

这是非常罕见的，当你看到一个僵尸网络蚕食另一个恶意软件僵尸网络的感染主机。

非常嘈杂的僵尸网络。

至于中微子的成功，积极科技表示，僵尸网络已经成为查询其蜜罐的前三大发送方之一。

根据该公司的调查，僵尸网络在感染运行phpStudy的Windows服务器方面非常成功，phpStudy是一个受中国开发者欢迎的集成学习环境。

然而，其他类型的服务器也遭到了破坏，比如运行phpMyAdmin应用程序的服务器。

“为了保护服务器免受中微子感染，我们建议管理员在phpMyAdmin中检查根帐户的密码，”Positive Technologies的安全研究员Kirill Shipulin说。"请务必修补服务并安装最新的更新。记住，中微子会定期更新新的漏洞。”