隨著加密貨幣市值的一路飆升�,利用挖礦腳本來實(shí)現(xiàn)流量變現(xiàn)����,使得挖礦病毒成為不法分子利用最為頻繁的攻擊方式��。新的挖礦攻擊展現(xiàn)出了類似蠕蟲的行為��,并結(jié)合了高級(jí)攻擊技術(shù)�,以增加對(duì)目標(biāo)服務(wù)器感染的成功率����。惡意 JavaScript 通常被注入或植入 Web 服務(wù)器,當(dāng)用戶訪問網(wǎng)頁時(shí)�����,瀏覽器就會(huì)被感染�,將他們的計(jì)算機(jī)變成礦工。
9月4日�����,工信部官網(wǎng)發(fā)布《2018年第二季度網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析與工作綜述》��,指出非法“挖礦”嚴(yán)重威脅互聯(lián)網(wǎng)網(wǎng)絡(luò)安全,工信部將組織各相關(guān)單位開展木馬僵尸�、病毒、移動(dòng)惡意程序等相關(guān)惡意程序的專項(xiàng)治理工作���。文件顯示�����,第二季度共監(jiān)測網(wǎng)絡(luò)安全威脅約1841萬個(gè)����,其中基礎(chǔ)電信企業(yè)監(jiān)測約1683萬個(gè)��,網(wǎng)絡(luò)安全專業(yè)機(jī)構(gòu)監(jiān)測約3萬個(gè)�����,重點(diǎn)互聯(lián)網(wǎng)企業(yè)��、域名機(jī)構(gòu)和網(wǎng)絡(luò)安全企業(yè)監(jiān)測約155萬個(gè)��。
目前��,網(wǎng)絡(luò)安全威脅態(tài)勢(shì)呈現(xiàn)以下特點(diǎn):一方面�����,部分互聯(lián)網(wǎng)用戶郵箱疑似被控���,嚴(yán)重危害用戶個(gè)人信息安全�。第二季度����,監(jiān)測發(fā)現(xiàn)近十萬個(gè)互聯(lián)網(wǎng)用戶郵箱疑似被黑客控制,并用來發(fā)送垃圾郵件��,相關(guān)郵箱的賬號(hào)和密碼很可能已泄露或被竊取�,存在被進(jìn)一步竊密或?qū)嵤┽烎~攻擊的風(fēng)險(xiǎn)。由于所涉郵箱數(shù)量較多且密碼等重要信息很可能已泄露��,郵箱用戶的個(gè)人信息安全受到嚴(yán)重威脅�����。另一方面���,工業(yè)互聯(lián)網(wǎng)平臺(tái)和智能設(shè)備成為網(wǎng)絡(luò)威脅的重要目標(biāo)����。據(jù)國家工業(yè)信息安全發(fā)展研究中心監(jiān)測,第二季度我國境內(nèi)共有22個(gè)工業(yè)互聯(lián)網(wǎng)平臺(tái)提供服務(wù)�����,針對(duì)這些工業(yè)互聯(lián)網(wǎng)平臺(tái)的����、來源于境外的網(wǎng)絡(luò)攻擊事件共有656起,涉及北京�、重慶、湖南�����、內(nèi)蒙古等地區(qū)�����。
1���、黑客入侵后,直接將簡單的開源程序及其包含錢包地址等配置的配置文件傳入受害機(jī)器,然后運(yùn)行挖礦��。2�����、黑客修改了開源程序,將配置文件,錢包地址等內(nèi)置在可執(zhí)行文件中,并有時(shí)加了一些簡單的殼;錢包地址等配置或有加密,但仍可通過沙盒執(zhí)行直接獲得,但可能獲取不全,需要稍稍深入分析一下才可獲取全部礦池及錢包地址相關(guān)威脅情報(bào)����。3、基本與傳統(tǒng)木馬表現(xiàn)相同,“野火燒不盡,春風(fēng)吹又生”�。整體看過去,此種情況下挖礦木馬可分為持久化模塊與挖礦模塊�。如果出現(xiàn)多次殺毒都無法殺干凈的情況,那就有可能就含有持久化模塊。
4�、挖礦蠕蟲。海青安全實(shí)驗(yàn)室監(jiān)控到兩年前的photominerwww.kaifx.cn挖礦還在持續(xù)且廣泛的傳播,該蠕蟲依靠弱口令�、掛馬、社會(huì)工程學(xué)等手段進(jìn)行傳播�����。Wanna系列的挖礦蠕蟲也是層出不窮,由于ms17- 010 漏洞的廣泛傳播和利用,Wanna系列挖礦蠕蟲其感染性遠(yuǎn)勝于之前的photominer等挖礦蠕蟲�����。到目前為止,更多的挖礦蠕蟲已經(jīng)轉(zhuǎn)向整合各種漏洞進(jìn)行傳播的性質(zhì),相比起之前類似photominer的挖礦蠕蟲,危害更大更廣���。
5�、抓雞挖礦�。當(dāng)計(jì)算機(jī)被植入遠(yuǎn)控等后門之后,攻擊者通過遠(yuǎn)控執(zhí)行命令或直接文件傳輸挖礦木馬進(jìn)行挖礦��。甚至有自動(dòng)化抓雞成功后,自動(dòng)種植挖礦程序進(jìn)行挖礦�����。此前出現(xiàn)過的多起redis等挖礦事件,是通過客戶機(jī)器未授權(quán)訪問redis認(rèn)證的問題種植挖礦程序;而在檢測了許多機(jī)器后,發(fā)現(xiàn)并無黑客過多入侵活動(dòng)痕跡,可能只是恰巧被抓雞了而已���。此外,被藏了后門的破解軟件、被劫持的WiFi等統(tǒng)統(tǒng)都可以用來抓肉雞進(jìn)行挖礦���。6����、結(jié)合前沿黑客技術(shù)在powershell和WMI被大牛們玩得飛起的時(shí)候,挖礦木馬開始結(jié)合沿黑客技術(shù)并向其看齊��。出現(xiàn)了許多利用WMI和powershell作為輔助模塊的挖礦木馬���。如explorer挖礦木馬,其核心模塊就是純粹的powershell腳本,只需要運(yùn)行這個(gè)腳本就會(huì)遠(yuǎn)程下載挖礦模塊進(jìn)行挖礦并進(jìn)行其他一系列操作�����。7����、網(wǎng)頁挖礦木馬,網(wǎng)站被攻擊者惡意植入了網(wǎng)頁挖礦木馬,只要訪問者通過瀏覽器瀏覽被惡意植入了網(wǎng)頁挖礦木馬的站點(diǎn)頁面,瀏覽器會(huì)即刻執(zhí)行挖礦指令,從而淪為僵尸礦機(jī),無償?shù)臑榫W(wǎng)頁挖礦木馬植入者提供算力,間接為其生產(chǎn)虛擬貨幣,這是一種資源盜用攻擊�����。由于網(wǎng)頁挖礦木馬存在很廣的傳播面和很不錯(cuò)的經(jīng)濟(jì)效益�����。8�、移動(dòng)設(shè)備挖礦木馬�����,不像勒索病毒,移動(dòng)設(shè)備挖礦木馬瞄準(zhǔn)的目標(biāo)市場是發(fā)展中國家�����。移動(dòng)端挖礦木馬是一種新型威脅,雖然移動(dòng)端功率不如傳統(tǒng)服務(wù)端及個(gè)人PC端功率大,但由于用戶數(shù)量規(guī)模巨大,用戶安全意識(shí)薄弱,仍然不可忽視����。除了木馬以外,黑客還可能使用礦池。礦池是一個(gè)把大家的算力糾合到一起挖礦軟件,然后根據(jù)大家提供的算力大小來平均分配挖到的幣�����。礦池挖礦的過程是把我們自己電腦的算力提供給礦主,礦主用我們的算力去挖礦,挖到的礦其實(shí)是存在礦主的錢包當(dāng)中,然后礦主再根據(jù)我們提供算力的比例,給我們的錢包支付相應(yīng)的扣除稅率的費(fèi)用。日前����,虛擬貨幣“挖礦”活動(dòng)正式被國家發(fā)展改革委列為淘汰類產(chǎn)業(yè),針對(duì)“挖礦”活動(dòng)的全面整治行動(dòng)正在全國范圍內(nèi)積極有效地推進(jìn)�����。然而不法分子為牟取暴利�����,仍在通過種種手段繞過防御體系���,通過入侵他人的CPU���、GPU等設(shè)備進(jìn)行非法虛擬貨幣“挖礦”。
一旦參與“挖礦”活動(dòng)��,或者是中招挖礦病毒之后�,企業(yè)會(huì)有多大損失呢?
挖礦病毒在運(yùn)行時(shí),占用大量系統(tǒng)資源�,造成系統(tǒng)卡頓后容易被用戶察覺,所以會(huì)使用偽裝成系統(tǒng)文件���、無文件持久化等技術(shù)保護(hù)自身�,即使被用戶發(fā)現(xiàn)也不會(huì)被輕易清除�����,長時(shí)間占用用戶的系統(tǒng)資源�,挖礦獲取利益。雖然挖礦行為并不會(huì)像勒索病毒一樣使得業(yè)務(wù)癱瘓�����,但會(huì)嚴(yán)重影響終端性能�,造成電腦卡慢����,不僅企業(yè)整體算力大減,還會(huì)付出額外的電力成本和運(yùn)維成本�����。數(shù)據(jù)顯示,截至2020年�,全球比特幣“挖礦”的年耗電量大約是149.37太瓦時(shí)(1太瓦時(shí)為10億度電),這一數(shù)字已經(jīng)超過馬來西亞��、烏克蘭��、瑞典的耗電量�����,接近耗電排名第25名的越南���。
點(diǎn)名通報(bào)���,很有可能被“拉閘”
隨著一系列針對(duì)虛擬貨幣“挖礦”活動(dòng)整治文件和要求的發(fā)布,各省市區(qū)域相關(guān)單位已開始積極響應(yīng)和開展行動(dòng)�,國內(nèi)江蘇、浙江���、廣東等省相繼開展虛擬貨幣“挖礦”活動(dòng)專項(xiàng)整治���。而一旦被“通報(bào)”之后�,如果 “屢教不改”�����,發(fā)電企業(yè)則有權(quán)利對(duì)你“拉閘斷電”�。
一些“挖礦”的主機(jī)還可能會(huì)被植入勒索病毒���,攜帶APT攻擊代碼等�,導(dǎo)致組織重要數(shù)據(jù)泄露����,或者黑客利用已經(jīng)控制的機(jī)器,作為繼續(xù)對(duì)內(nèi)網(wǎng)滲透或攻擊其他目標(biāo)的跳板���,導(dǎo)致更嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件發(fā)生�����。
通過對(duì)重要遠(yuǎn)控木馬的樣本分析發(fā)現(xiàn),挖礦木馬已經(jīng)獲得全面進(jìn)化�����,專業(yè)化攻擊團(tuán)隊(duì)的網(wǎng)絡(luò)武器級(jí),成為信息安全的最大威脅之一���,發(fā)現(xiàn)�����、防御挖礦木馬的手段已經(jīng)不再是單一的通過網(wǎng)絡(luò)協(xié)議檢測實(shí)現(xiàn)���。我們根據(jù)一個(gè)利用MS17-010(“永恒之藍(lán)”)漏洞進(jìn)行傳播的真實(shí)案例,披露變種“挖礦”病毒感染后的主要流程分析與檢測方法�����,方便企業(yè)管理員及時(shí)排查處理���。
不法分子以釣魚網(wǎng)站�����、惡意郵件��、系統(tǒng)漏洞等多種手段進(jìn)行滲透���,通過跳板主機(jī)攻陷域名服務(wù)器及業(yè)務(wù)服務(wù)器�����,批量部署“挖礦”病毒
病毒成功進(jìn)入主機(jī)后�,在系統(tǒng)目錄下釋放并執(zhí)行其“挖礦”主程序��,實(shí)施“挖礦”
病毒利用MS17-010(“永恒之藍(lán)”)漏洞進(jìn)行傳播并組建僵尸網(wǎng)絡(luò)
該新型變種病毒會(huì)定期訪問境外服務(wù)器����,自動(dòng)更新并下發(fā)至局域網(wǎng)內(nèi)其他主機(jī),使僵尸網(wǎng)絡(luò)持續(xù)迭代
病毒具有很強(qiáng)的隱藏能力��,能夠監(jiān)測業(yè)務(wù)運(yùn)行情況�����,僅在設(shè)備運(yùn)行的低谷期進(jìn)行“挖礦”活動(dòng)��,并在用戶打開任務(wù)管理器時(shí)自動(dòng)隱藏主進(jìn)程逃避檢測
挖礦木馬會(huì)占用CPU進(jìn)行超頻運(yùn)算���,從而占用主機(jī)大量的CPU資源���,嚴(yán)重影響服務(wù)器上的其他應(yīng)用的正常運(yùn)行。黑客為了得到更多的算力資源�����,一般都會(huì)對(duì)全網(wǎng)進(jìn)行無差別掃描�����,同時(shí)利用SSH爆破和漏洞利用等手段攻擊主機(jī)����。因此,可以從網(wǎng)絡(luò)殺傷鏈分解�����,細(xì)致了大多數(shù)挖礦木馬的攻擊手段�����。
挖礦木馬顯著的行為特征就是極大的占用CPU及GPU資源主要包括:高CPU和GPU使用率����、響應(yīng)速度慢、 崩潰或頻繁重新啟動(dòng)����、系統(tǒng)過熱�、異常網(wǎng)絡(luò)活動(dòng)(例如�����,連接挖礦相關(guān)的網(wǎng)站或IP地址)���。因此�����,其檢測則可以部署在網(wǎng)絡(luò)側(cè)和主機(jī)側(cè)����,利用基于黑名單的檢測技術(shù)���、基于惡意行為的檢測技術(shù)��,以及基于機(jī)器學(xué)習(xí)的檢測技術(shù)來實(shí)現(xiàn)�����。
除了檢查表現(xiàn)異常的計(jì)算機(jī)之外�,企業(yè)還應(yīng)查看防火墻和代理日志,了解它們正在建立的連接����,以檢測隱蔽的惡意挖礦活動(dòng)�。企業(yè)最好能準(zhǔn)確地獲知有權(quán)連接的位置和IP地址,如果此過程過于繁瑣��,請(qǐng)至少查看防火墻日志并阻止已知的加密礦工服務(wù)器地址����。近日 Nextron 的一篇博客文章分析了常見加密礦池,推薦查看防火墻或 DNS 服務(wù)器是否受到影響�����。
例如��,查看是否有包含 *xmr.* *pool.com *pool.org 和 pool.* 的日志�,看看是否有人正在濫用企業(yè)網(wǎng)絡(luò)。如果企業(yè)有一個(gè)高度敏感的網(wǎng)絡(luò)����,可以設(shè)置白名單允許必要的IP地址訪問,不過���,在云計(jì)算時(shí)代�����,這種方法很難實(shí)現(xiàn)����。
-
建議關(guān)閉不必要的端口及異常的外聯(lián)訪問,以切斷傳播途徑�����;
-
建議及時(shí)更新應(yīng)用與系統(tǒng)��,及時(shí)修補(bǔ)漏洞���;
-
對(duì)于來源不明與可疑文件先檢測后打開���,防止惡意代碼借機(jī)傳播;
-
不要點(diǎn)擊來源不明的郵件�、附件以及郵件中包含的鏈接;
-
采用符合規(guī)范的高強(qiáng)度密碼��,并定期更新密碼����,以規(guī)避弱口令風(fēng)險(xiǎn)�����;
-
養(yǎng)成良好的網(wǎng)絡(luò)安全習(xí)慣����,如不使用安全性不明的應(yīng)用等��;
-
落實(shí)安全巡檢工作��,定期檢查設(shè)備與系統(tǒng)的安全狀況�����;
-
優(yōu)化安全防護(hù)體系的安全策略�,完善安全機(jī)制��。