近日，阿里云安全團(tuán)隊(duì)發(fā)布了《2018年云上挖礦分析報(bào)告》。該報(bào)告以阿里云2018年的攻防數(shù)據(jù)為基礎(chǔ)，對(duì)惡意挖礦態(tài)勢(shì)進(jìn)行了分析，并為個(gè)人和企業(yè)提出了合理的安全防護(hù)建議。

報(bào)告指出，盡管加密貨幣的價(jià)格在2018年經(jīng)歷了暴跌，但挖礦仍是網(wǎng)絡(luò)黑產(chǎn)團(tuán)伙在入侵服務(wù)器之后最直接的變現(xiàn)手段，越來越多的0-Day/N-Day漏洞在公布后的極短時(shí)間內(nèi)就被用于入侵挖礦，黑產(chǎn)團(tuán)伙利用漏洞發(fā)起攻擊進(jìn)行挖礦的趨勢(shì)仍將持續(xù)。

攻擊態(tài)勢(shì)分析

【熱點(diǎn)0-Day/N-Day漏洞利用成為挖礦團(tuán)伙的"武器庫",0-Day漏洞留給用戶進(jìn)行修復(fù)的窗口期變短】

2018年，多個(gè)應(yīng)用廣泛的web應(yīng)用爆出高危漏洞，對(duì)互聯(lián)網(wǎng)安全造成嚴(yán)重威脅。事后安全社區(qū)對(duì)漏洞信息的分析和漏洞細(xì)節(jié)的分享，讓利用代碼能夠方便的從互聯(lián)網(wǎng)上獲取。挖礦團(tuán)伙自然不會(huì)放過這些唾手可得的“武器庫”。此外一些持續(xù)未得到普遍修復(fù)的N-Day漏洞往往也會(huì)被挖礦團(tuán)伙利用。本報(bào)告梳理了部分熱點(diǎn)0-Day/N-Day漏洞被挖礦團(tuán)伙大量利用的事件。

同時(shí)阿里云觀察到，0-Day漏洞從披露到大規(guī)模利用之間的時(shí)間間隔越來越小。因此在高危0-Day漏洞爆出后未能及時(shí)修復(fù)的用戶，容易成為惡意挖礦的受害者。

【非Web網(wǎng)絡(luò)應(yīng)用暴露在公網(wǎng)后成為挖礦團(tuán)伙利用的重災(zāi)區(qū)】

企業(yè)對(duì)Web應(yīng)用可能造成的安全威脅已經(jīng)有足夠的重視，WAF、RASP、漏洞掃描等安全產(chǎn)品也提升了Web應(yīng)用的安全水位。而非Web網(wǎng)絡(luò)應(yīng)用(Redis、Hadoop、SQLServer等)往往并非企業(yè)核心應(yīng)用，企業(yè)在安全加固和漏洞修復(fù)上投入并不如Web應(yīng)用，往往導(dǎo)致高危漏洞持續(xù)得不到修復(fù)，因而挖礦團(tuán)伙也會(huì)針對(duì)性利用互聯(lián)網(wǎng)上這些持續(xù)存在的弱點(diǎn)應(yīng)用。本報(bào)告梳理了2018年非Web網(wǎng)絡(luò)應(yīng)用漏洞被挖礦團(tuán)伙利用的時(shí)間線。

【挖礦團(tuán)伙廣泛利用暴力破解進(jìn)行傳播，弱密碼仍然是互聯(lián)網(wǎng)面臨的主要威脅】

下圖為不同應(yīng)用被入侵導(dǎo)致挖礦所占百分比，可以發(fā)現(xiàn)SSH/RDP/SQLServer是挖礦利用的重點(diǎn)應(yīng)用，而這些應(yīng)用通常是因?yàn)槿趺艽a被暴力破解導(dǎo)致被入侵感染挖礦病毒。由此可以看出弱密碼導(dǎo)致的身份認(rèn)證問題仍然是互聯(lián)網(wǎng)面臨的重要威脅。

惡意行為

【挖礦后門普遍通過蠕蟲形式傳播】

大多數(shù)的挖礦團(tuán)伙在感染受害主機(jī)植入挖礦木馬后，會(huì)控制這些受害主機(jī)對(duì)本地網(wǎng)絡(luò)及互聯(lián)網(wǎng)的其他主機(jī)進(jìn)行掃描和攻擊，從而擴(kuò)大感染量。這些挖礦木馬傳播速度較快，且很難在互聯(lián)網(wǎng)上根除，因?yàn)橐坏┥倭恐鳈C(jī)受到惡意程序感染，它會(huì)受控開始攻擊其他主機(jī)，導(dǎo)致其它帶有漏洞或存在配置問題的主機(jī)也很快淪陷。

少量挖礦團(tuán)伙會(huì)直接控制部分主機(jī)進(jìn)行網(wǎng)絡(luò)攻擊，入侵受害主機(jī)后只在主機(jī)植入挖礦后門，并不會(huì)進(jìn)一步擴(kuò)散。最有代表性的就是8220挖礦團(tuán)伙。這類團(tuán)伙一般漏洞利用手段比較豐富，漏洞更新速度較快。

【挖礦團(tuán)伙會(huì)在受害主機(jī)上通過持久化駐留獲取最大收益】

大多數(shù)的挖礦團(tuán)伙，都會(huì)嘗試在受害主機(jī)上持久化駐留以獲取最大收益。

通常在Linux系統(tǒng)中，挖礦團(tuán)伙通過crontab設(shè)置周期性被執(zhí)行的指令。在Windows系統(tǒng)中，挖礦團(tuán)伙通常使用schtask和WMI來達(dá)到持久化的目的。

如下為Bulehero木馬執(zhí)行添加周期任務(wù)的schtask命令:

cmd /c schtasks /create /sc minute /mo 1 /tn "Miscfost" /ru system /tr "cmd /c C:\Windows\ime\scvsots.exe" cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\Windows\scvsots.exe /p everyone:F"

【挖礦團(tuán)伙會(huì)通過偽裝進(jìn)程、加殼、代碼混淆、私搭礦池或代理等手段規(guī)避安全分析和溯源】

Bulehero挖礦網(wǎng)絡(luò)使用的病毒下載器進(jìn)程名為scvsots.exe，與windows正常程序的名字svchost.exe極其相似；其它僵尸網(wǎng)絡(luò)使用的惡意程序名，像taskhsot.exe、taskmgr.exe、java這類形似正常程序的名稱也是屢見不鮮。

在分析挖礦僵尸網(wǎng)絡(luò)的過程中我們發(fā)現(xiàn)，大多數(shù)后門二進(jìn)制程序都被加殼，最經(jīng)常被使用的是Windows下的UPX、VMP、sfxrar等，如下圖，幾乎每個(gè)RDPMiner使用的惡意程序都加了上述三種殼之一。

此外，挖礦團(tuán)伙使用的惡意腳本往往也經(jīng)過各種混淆。如下圖，JBossMiner挖礦僵尸網(wǎng)絡(luò)在其vbs惡意腳本中進(jìn)行混淆加密。

盡管人工分析時(shí)可以通過多種手段去混淆或解密，但加密和混淆對(duì)逃避殺毒軟件而言，仍是非常有效的手段。

惡意挖礦團(tuán)伙使用自己的錢包地址連接公開礦池，可能因?yàn)榈V池收到投訴導(dǎo)致錢包地址被封禁。挖礦團(tuán)伙傾向于更多的使用礦池代理或私搭礦池的方式進(jìn)行挖礦。進(jìn)而安全研究人員也難以通過礦池公布的HashRate和付款歷史估算出被入侵主機(jī)的數(shù)量和規(guī)模。

主流團(tuán)伙概述

1.DDG挖礦團(tuán)伙

從2017年底首次被曝光至今，DDG挖礦僵尸網(wǎng)絡(luò)一直保持著極高的活躍度。其主要惡意程序由go語言寫成，客觀上對(duì)安全人員研究分析造成了一定阻礙。而頻繁的程序配置改動(dòng)、技術(shù)手段升級(jí)，使它堪稱2018年危害最大的挖礦僵尸網(wǎng)絡(luò)。

2.8220挖礦團(tuán)伙

在諸多挖礦僵尸網(wǎng)絡(luò)中，8220團(tuán)伙的挖礦木馬獨(dú)樹一幟，因?yàn)樗⑽床捎萌湎x型傳播，而是直接對(duì)漏洞進(jìn)行利用。

這種方式理論上傳播速度較慢，相較于蠕蟲型傳播的僵尸網(wǎng)絡(luò)也更難存活，但8220挖礦團(tuán)伙仍以這種方式獲取了較大的感染量。

3.Mykings(theHidden)挖礦團(tuán)伙

Mykings（又名theHidden“隱匿者”）挖礦網(wǎng)絡(luò)在2017年中就被多家友商提及并報(bào)道。它從2014年開始出現(xiàn)，時(shí)至今日該僵尸網(wǎng)絡(luò)依然活躍，可以說是擁有非常旺盛的生命力。該僵尸網(wǎng)絡(luò)極為復(fù)雜，集成了Mirai、Masscan等惡意程序的功能，此外在payload、BypassUAC部分都使用極其復(fù)雜的加密混淆技術(shù)，掩蓋攻擊意圖，逃避安全軟件的檢測(cè)和安全研究人員的分析。該挖礦僵尸網(wǎng)絡(luò)在11月底更是被發(fā)現(xiàn)與“暗云”聯(lián)手，危害性再次增強(qiáng)。

4.Bulehero挖礦團(tuán)伙

5.RDPMiner挖礦團(tuán)伙

該挖礦僵尸網(wǎng)絡(luò)自2018年10月開始蔓延，之后多次更換挖礦程序名稱。

6.JbossMiner挖礦團(tuán)伙

阿里云安全團(tuán)隊(duì)于2018年3月報(bào)道過，從蜜罐中捕獲到JbossMiner的惡意程序樣本，該樣本由py2exe打包，解包反編譯后是一套由Python編寫的完整攻擊程序，包含源碼及依賴類庫等數(shù)十個(gè)文件。且對(duì)于Windows和Linux系統(tǒng)的受害主機(jī)，有不同的利用程序。

7.WannaMine

WannaMine是一個(gè)蠕蟲型僵尸網(wǎng)絡(luò)。這個(gè)挖礦團(tuán)伙的策略曾被CrowdStrike形容為“靠山吃山靠水吃水”(living off the land)，因?yàn)閻阂獬绦蛟诒桓腥镜闹鳈C(jī)上，首先會(huì)嘗試通過Mimikatz收集的密碼登錄其他主機(jī)，失敗之后再利用“永恒之藍(lán)”漏洞攻擊其他主機(jī)，進(jìn)行繁殖傳播。

8.Kworkerd

這是一個(gè)主要攻擊Redis數(shù)據(jù)庫未授權(quán)訪問漏洞的挖礦僵尸網(wǎng)絡(luò)，因其將挖礦程序的名字偽裝成Linux正常進(jìn)程Kworkerd故得名。

該木馬只利用一種漏洞卻仍有不少感染量，說明數(shù)據(jù)庫安全配置亟待得到用戶的重視。

9.DockerKiller

隨著微服務(wù)的熱度不斷上升，越來越多的企業(yè)選擇容器來部署自己的應(yīng)用。而Docker作為實(shí)現(xiàn)微服務(wù)首選容器，在大規(guī)模部署的同時(shí)其安全性卻沒有引起足夠的重視。2018年8月，Docker配置不當(dāng)導(dǎo)致的未授權(quán)訪問漏洞遭到挖礦團(tuán)伙的批量利用。

安全建議

如今盡管幣價(jià)低迷，但由于經(jīng)濟(jì)形勢(shì)承受下行的壓力，可能為潛在的犯罪活動(dòng)提供誘因。阿里云預(yù)計(jì)，2019年挖礦活動(dòng)數(shù)量仍將處于較高的水位；且隨著挖礦和漏洞利用相關(guān)知識(shí)的普及，惡意挖礦的入場(chǎng)玩家可能趨于穩(wěn)定且伴有少量增加。

基于這種狀況，阿里云安全團(tuán)隊(duì)為企業(yè)和個(gè)人提供如下安全建議：

• 安全系統(tǒng)中最薄弱的一環(huán)在于人，最大的安全問題也往往出于人的惰性，因此弱密碼、爆破的問題占了挖礦原因的半壁江山。無論是企業(yè)還是個(gè)人，安全意識(shí)教育必不可少；
• 0-Day漏洞修復(fù)的窗口期越來越短，企業(yè)需要提升漏洞應(yīng)急響應(yīng)的效率，一方面是積極進(jìn)行應(yīng)用系統(tǒng)更新，另一方面是關(guān)注產(chǎn)品的安全公告并及時(shí)升級(jí)，同時(shí)也可以選擇購買安全托管服務(wù)提升自己的安全水位；
• 伴隨著云上彈性的計(jì)算資源帶來的便利，一些非Web類的網(wǎng)絡(luò)應(yīng)用暴露的風(fēng)險(xiǎn)也同步上升，安全運(yùn)維人員應(yīng)該重點(diǎn)關(guān)注非Web類的應(yīng)用伴隨的安全風(fēng)險(xiǎn)，或者選擇購買帶IPS功能的防火墻產(chǎn)品，第一時(shí)間給0-Day漏洞提供防護(hù)。

?

原文鏈接
本文為云棲社區(qū)原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來咯，堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)

總結(jié)

以上是生活随笔為你收集整理的《2018年云上挖矿态势分析报告》发布，非Web类应用安全风险需重点关注的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。