據(jù)工業(yè)和信息化部網(wǎng)站消息,網(wǎng)絡安全管理局近日發(fā)布《2018年第二季度網(wǎng)絡安全威脅態(tài)勢分析與工作綜述》(以下簡稱“工作綜述”),工作綜述稱,非法“挖礦”已成為嚴重的網(wǎng)絡安全問題。安全狗海青安全研究實驗室通過持續(xù)對非法挖礦事件的追蹤和分析,已經(jīng)連續(xù)推出多篇非法挖礦木馬事件和病毒的分析報告。
2017年是勒索病毒爆發(fā)高峰期,勒索病毒感染率提高了40%,其主要驅(qū)動力是ms17-010漏洞被惡意利用。與此同時,挖礦木馬同時也處于快速增長的狀態(tài),有報告稱反病毒軟件探測到的挖礦木馬增長了8500%,2018年曝光挖礦木馬事件同樣在快速增長?,F(xiàn)在,除了勒索病毒以外,對用戶而言,挖礦木馬也成為了不可忽視的安全威脅。
基于這個現(xiàn)狀,安全狗海青安全研究實驗室根據(jù)當前的安全狀況,針對挖礦木馬進行了總結(jié)性的分析研究,并整理出相關聯(lián)的解決方案,以期協(xié)助用戶面對這類安全威脅。
一、蓬勃發(fā)展的“采礦業(yè)”
勒索軟件為網(wǎng)絡犯罪分子提供了一種收益極高但卻是一次性的牟利方式,與之相反,被感染挖礦木馬的“礦工”將提供更低但可持續(xù)時間更長的收入。如今,暗地里已經(jīng)圍繞著數(shù)字貨幣形成了一條黑色產(chǎn)業(yè)鏈,即“黑色的采礦業(yè)”(區(qū)別于合法的礦工,下文均簡稱采礦業(yè))。
“采礦業(yè)”作為網(wǎng)絡犯罪分子一種新的非法牟利的新方式,已經(jīng)開始“擠占”勒索病毒市場份額,勒索病毒已經(jīng)開始被商業(yè)化網(wǎng)絡犯罪所拋棄,取而代之的是復雜的挖礦木馬。勒索軟件直接從受害者身上非法牟利是十分扎眼的方式,會引來社會和媒體的廣泛關注,給犯罪分子帶來了不可控的麻煩,而“采礦業(yè)”則相對更加隱蔽,道德負擔更小,更加難以被發(fā)現(xiàn)。
這是一個簡單的“采礦業(yè)”的模型
犯罪分子利用控制的機器,種植挖礦木馬挖掘數(shù)字貨幣,經(jīng)過數(shù)次資金轉(zhuǎn)移,然后通過交易將數(shù)字貨幣換成money存入銀行,然后犯罪者從銀行取出現(xiàn)金。(注:我國監(jiān)管部門習慣用“虛擬貨幣”這個術語,專家學者則常常用“數(shù)字貨幣”指代,而國外一般稱之為“加密貨幣”。)
受害者數(shù)量是很重要的因素,受害者越多,為挖礦提供的算力就越多,挖掘的數(shù)字貨幣收益就越大。在對挖礦木馬感染情況進行一些調(diào)查后,我們發(fā)現(xiàn)受害者的數(shù)量始終保持上漲的趨勢。
很明顯,遇到挖礦木馬的用戶正在快速增加。近年來挖礦木馬愈演愈烈,究其原因是近年數(shù)字貨幣價格飆升,比特幣和Altcoins的價格在2017年持續(xù)超過記錄。雖然經(jīng)過相關監(jiān)管部門干預和強力鎮(zhèn)壓,數(shù)字貨幣大幅度跳水,但仍然有利可圖,這誘使黑客大量利用受害機器挖掘數(shù)字貨幣。
二、挖礦木馬多維度特征
海青安全研究實驗室對所分析的挖礦木馬及公開資料的情況進行總結(jié)整理,得出以下幾個維度的特征。
從木馬的角度而言,有這些特征
1、黑客入侵后,直接將簡單的開源程序及其包含錢包地址等配置的配置文件傳入受害機器,然后運行挖礦。
2、黑客修改了開源程序,將配置文件,錢包地址等內(nèi)置在可執(zhí)行文件中,并有時加了一些簡單的殼;錢包地址等配置或有加密,但仍可通過沙盒執(zhí)行直接獲得,但可能獲取不全,需要稍稍深入分析一下才可獲取全部礦池及錢包地址相關威脅情報。
3、基本與傳統(tǒng)木馬表現(xiàn)相同,“野火燒不盡,春風吹又生”。整體看過去,此種情況下挖礦木馬可分為持久化模塊與挖礦模塊。如果出現(xiàn)多次殺毒都無法殺干凈的情況,那就有可能就含有持久化模塊。
4、挖礦蠕蟲。海青安全實驗室監(jiān)控到兩年前的photominer挖礦還在持續(xù)且廣泛的傳播,該蠕蟲依靠弱口令、掛馬、社會工程學等手段進行傳播。Wanna系列的挖礦蠕蟲也是層出不窮,由于ms17-010漏洞的廣泛傳播和利用,Wanna系列挖礦蠕蟲其感染性遠勝于之前的photominer等挖礦蠕蟲。
到目前為止,更多的挖礦蠕蟲已經(jīng)轉(zhuǎn)向整合各種漏洞進行傳播的性質(zhì),相比起之前類似photominer的挖礦蠕蟲,危害更大更廣。
5、抓雞挖礦。當計算機被植入遠控等后門之后,攻擊者通過遠控執(zhí)行命令或直接文件傳輸挖礦木馬進行挖礦。甚至有自動化抓雞成功后,自動種植挖礦程序進行挖礦。
此前出現(xiàn)過的多起redis等挖礦事件,是通過客戶機器未授權(quán)訪問redis認證的問題種植挖礦程序;而在檢測了許多機器后,發(fā)現(xiàn)并無黑客過多入侵活動痕跡,可能只是恰巧被抓雞了而已。此外,被藏了后門的破解軟件、被劫持的WiFi等統(tǒng)統(tǒng)都可以用來抓肉雞進行挖礦。
6、結(jié)合前沿黑客技術
在powershell和WMI被大牛們玩得飛起的時候,挖礦木馬開始結(jié)合沿黑客技術并向其看齊。出現(xiàn)了許多利用WMI和powershell作為輔助模塊的挖礦木馬。如explorer挖礦木馬,其核心模塊就是純粹的powershell腳本,只需要運行這個腳本就會遠程下載挖礦模塊進行挖礦并進行其他一系列操作。
7、網(wǎng)頁挖礦木馬
網(wǎng)站被攻擊者惡意植入了網(wǎng)頁挖礦木馬,只要訪問者通過瀏覽器瀏覽被惡意植入了網(wǎng)頁挖礦木馬的站點頁面,瀏覽器會即刻執(zhí)行挖礦指令,從而淪為僵尸礦機,無償?shù)臑榫W(wǎng)頁挖礦木馬植入者提供算力,間接為其生產(chǎn)虛擬貨幣,這是一種資源盜用攻擊。由于網(wǎng)頁挖礦木馬存在很廣的傳播面和很不錯的經(jīng)濟效益。
8、移動設備挖礦木馬
不像勒索病毒,移動設備挖礦木馬瞄準的目標市場是發(fā)展中國家。移動端挖礦木馬是一種新型威脅,雖然移動端功率不如傳統(tǒng)服務端及個人PC端功率大,但由于用戶數(shù)量規(guī)模巨大,用戶安全意識薄弱,仍然不可忽視。
除了木馬以外,黑客還可能使用礦池。礦池是一個把大家的算力糾合到一起挖礦軟件,然后根據(jù)大家提供的算力大小來平均分配挖到的幣。礦池挖礦的過程是把我們自己電腦的算力提供給礦主,礦主用我們的算力去挖礦,挖到的礦其實是存在礦主的錢包當中,然后礦主再根據(jù)我們提供算力的比例,給我們的錢包支付相應的扣除稅率的費用。
黑客常用礦池分類
1、公開大礦池
如pool.minexmr.com等大礦池。直連礦池進行挖礦。存在礦池與執(zhí)法人員合作追捕黑客的風險。
2、自建代理(黑客常用手段)
通過自建的代理中轉(zhuǎn)到大礦池,將算力糾合到一起后給大礦池挖礦。這樣既可以避免調(diào)查人員找到背后的大礦池,也避免了大礦池與執(zhí)法人員合作調(diào)查的風險。
3、自建礦池
一般情況下,黑客不會這么做,因為算力往往不夠,區(qū)塊鏈同步難度也比較大。從收益來講,算力可能血本無歸,但這個可能性不能完全排除。
除了與挖礦直接相關聯(lián)的手段外,幣種也是很重要的因素。BTC、ETH、LTC、XRP、XMR...數(shù)字貨幣種類琳瑯滿目。但黑客最中意哪一種呢?
根據(jù)目前的分析,黑客最青睞的數(shù)字貨幣是monero(Xmr)、zcash、達世幣等。這些貨幣確保了交易的匿名性,對于網(wǎng)絡犯罪者來說非常方便,不必太擔心被追蹤。
1、Xmr(門羅幣)
Xmr向著匿名的方向一路狂奔,其匿名性深受黑客喜歡,所有進行門羅幣挖礦的人都能夠在挖礦的時候保持完全的匿名,雙方的身份和交易金額都被隱藏。由于它采用了一種名為“環(huán)簽”的特殊簽名方式,使得同一筆交易被查詢時會出現(xiàn)很多個結(jié)果,僅僅通過查詢結(jié)果不僅不能看到具體交易金額,也無法判定交易雙方到底是誰。
2、zcash
zcash即大零幣,采用零知識證明機制提供完全的支付保密性,是目前匿名性最強的數(shù)字資產(chǎn)。目前Zcash匿名轉(zhuǎn)賬的時間周期比較長,大概需要20分鐘。網(wǎng)絡可以選擇普通轉(zhuǎn)賬或匿名轉(zhuǎn)賬,對隱私保護級別有所影響。
3、達世幣
達世幣中除了普通節(jié)點之外,還有一種節(jié)點叫“主節(jié)點”。主節(jié)點可以提供一系列服務,如:匿名交易和即時支付。想進行匿名交易的交易者發(fā)起匿名申請,由主節(jié)點進行混幣,一般是3筆交易一起進行混幣。
舉個例子,一桌人把自己的錢都放在桌上,混在一起,然后再分別拿回相應面值的錢,這樣就不知道你手里的錢到底是誰的了,這就是混幣。同樣,在混幣后,網(wǎng)絡就不知道究竟誰轉(zhuǎn)賬給了誰。
根據(jù)海青安全實驗室捕獲并分析的樣本總結(jié)得出,所挖的幣種大部分是門羅幣,其他幣種較少。
門羅幣等匿名貨幣受到黑客歡迎主要有以下兩點原因:
一是門羅幣比比特幣更加匿名。(不怕追蹤)
二是不需要特定的設備就可以挖掘。(成本低)
這兩個原因?qū)е潞诳透觾A向于挖掘門羅幣等匿名貨幣,而不是比特幣等其他幣種。
三、未來安全趨勢
1、挖礦木馬與漏洞利用結(jié)合更加緊密
利用WebLogic漏洞挖礦事件、利用redis未授權(quán)訪問漏洞挖礦事件……這些跡象無不在反復證明,通用產(chǎn)品的漏洞被公布后,會很快被不法分子大規(guī)模利用,快速傳播挖礦木馬。
2、新型威脅移動端挖礦木馬將加劇
挖礦木馬進行工作時會造成手機產(chǎn)生大量熱量,可能損壞電池或其他元件,會造成挖礦肉雞短命,換句話說,犧牲了受害者設備的使用壽命。
采礦業(yè)的進一步增長可能導致移動端也成為非法挖礦的重災區(qū)——目前,移動端挖礦肉雞正在持續(xù)增長,雖然速度尚且穩(wěn)定,但一旦犯罪分子找到一種技術解決方案,使得移動設備上的采礦利潤等同于PC上采礦的利潤,移動端采礦將會變得跟PC端以及服務端一樣,成為非法挖礦的淵藪之一。
特別令人擔憂的是,針對移動端挖礦的犯罪分子的主要目標地區(qū) :中國和印度,占全球智能手機的三分之一左右。因此,如果智能手機采礦真正起飛,這兩個國家將特別容易受到影響。
3、變現(xiàn)成本降低,黑產(chǎn)越來越猖獗
以前利用惡意軟件或廣告業(yè)獲益后,想要洗錢還得頗費周折,但數(shù)字貨幣盛行之后,幾個簡單的步驟就可以直接獲益變現(xiàn)。由于門羅幣等幣種的匿名性,天生自帶洗錢屬性,而且不用特定的挖礦設備,成本低,這些因素對黑產(chǎn)來說十分具有吸引力。
4、挖礦木馬將越來越“沉默”
正如文章開頭所敘述的那樣,“低調(diào)”是挖礦木馬和勒索軟件極大的不同之處,挖礦木馬也早已從最早期的瞬間耗盡礦工資源的瘋狂挖礦模式(極易被發(fā)現(xiàn)從而結(jié)束礦工生命周期),到現(xiàn)在的細水長流、小流成河的挖礦模式(智能控制對礦機資源的占用從而實現(xiàn)長期隱蔽)。
四、解決方案
僅從技術角度而言,挖礦木馬與大多數(shù)的其他木馬,如DDoS木馬、遠控木馬等并無本質(zhì)區(qū)別,僅僅只是目的不一樣,因此在防護上有頗多可以借鑒參考之處。
就對受害人的危害而言,挖礦木馬與勒索病毒相比并不遑多讓,只是由于勒索軟件過于容易引發(fā)公眾關注,但挖礦木馬同樣需要警惕。近期,海青安全實驗室發(fā)現(xiàn)有受害機器同時被植入了勒索病毒和挖礦木馬的情況。雖然大部份情況下挖礦木馬只是盜用受害者的計算資源(即占用CPU資源),本身不會對受害者造成其他破壞性的攻擊,但嚴重時則會嚴重影響受害網(wǎng)站的用戶體驗,長遠來看,相當于透支了受害者的機器的使用壽命。
通過對挖礦木馬特性和相關入侵事件的持續(xù)跟蹤和分析,安全狗提供的云眼產(chǎn)品可以提供一系列的防御措施。
事前防御
1、檢測并修復弱口令
事前檢測并修改弱口令,使用弱口令進行傳播的自動化工具和弱口令在傳播途徑中屬于重要一環(huán)的惡意代碼將會失去大部分戰(zhàn)力。如photominer使用FTP弱口令進行傳播、常用22端口、3389端口抓雞等手段,對用戶都將無效
2、制定嚴格的端口管理策略
事前制定嚴格的端口管理策略,可以降低主機的攻擊面,減小攻擊向量,防范攻擊者入侵到內(nèi)網(wǎng)后利用默認端口漏洞如ms17-010漏洞進行攻擊。
退一步講,即使用戶中了挖礦病毒,由于其嚴格的端口策略,挖礦木馬仍然無法正常工作,降低對業(yè)務的影響。3、設置防爆破策略
攻擊者使用的自動化工具或蠕蟲類挖礦木馬大多內(nèi)置爆破模塊,事前設置防爆破策略可以提高攻擊者攻擊成本,記錄爆破攻擊事件,阻止攻擊者采用暴力破解手段對業(yè)務系統(tǒng)進行攻擊,有效地降低攻擊者成功率。
4、一鍵更新漏洞補丁
事前更新漏洞補丁,防范操作系統(tǒng)本身漏洞對于業(yè)務系統(tǒng)的安全風險,抵御攻擊者利用系統(tǒng)漏洞進行攻擊的手段。
事中實時防御與監(jiān)控
1、阻止對關鍵注冊表的篡改
針對關鍵注冊表的篡改將被阻止,針對挖礦木馬的持久化模塊進行阻斷,有效防御使用持久化機制的挖礦木馬,使挖礦木馬能簡單、迅速地被清除,不被持久化機制所干擾。
2、阻止進程創(chuàng)建異常進程
阻止進程創(chuàng)建異常行為,可針對利用業(yè)務系統(tǒng)漏洞進入機器植入挖礦木馬的情況。自動阻止挖礦木馬的植入行為。
3、安全監(jiān)控
通過對網(wǎng)絡內(nèi)部主機的進程、會話、資源等指標參數(shù)進行監(jiān)測,以發(fā)現(xiàn)異常的可疑行為,如隱蔽的挖礦木馬行為,同時有助于及時發(fā)現(xiàn)正在發(fā)生的事件,減小挖礦木馬對業(yè)務的影響。
4、威脅情報
結(jié)合威脅情報提供的遠控或高危黑IP,及時感知正在發(fā)生的攻擊行為及事件,在防御中掌握主動權(quán),防御者通過阻止攻擊者的高級手段來改變游戲的規(guī)則,入侵前的相關階段切入,在已發(fā)生或正在發(fā)生的事故中不斷改進防御策略,甚至建立威脅情報驅(qū)動的響應機制。
病毒木馬實時防御、檢測與處置
1、實時防御惡意代碼
實時阻斷惡意代碼的運行,預防惡意代碼的入侵,有效及時的提醒當前計算機的安全狀況。
2、檢測惡意代碼
檢測業(yè)務系統(tǒng)中存在的惡意代碼,及時查處隱藏在系統(tǒng)內(nèi)的惡意代碼,防范安全風險。
3、處置惡意代碼
清理或隔離惡意代碼,及時止損。
申請創(chuàng)業(yè)報道,分享創(chuàng)業(yè)好點子。點擊此處,共同探討創(chuàng)業(yè)新機遇!