域名預(yù)訂/競價(jià)，好“米”不錯(cuò)過

據(jù)工業(yè)和信息化部網(wǎng)站消息,網(wǎng)絡(luò)安全管理局近日發(fā)布《2018年第二季度網(wǎng)絡(luò)安全威脅態(tài)勢分析與工作綜述》(以下簡稱“工作綜述”),工作綜述稱,非法“挖礦”已成為嚴(yán)重的網(wǎng)絡(luò)安全問題。安全狗海青安全研究實(shí)驗(yàn)室通過持續(xù)對(duì)非法挖礦事件的追蹤和分析,已經(jīng)連續(xù)推出多篇非法挖礦木馬事件和病毒的分析報(bào)告。

2017年是勒索病毒爆發(fā)高峰期,勒索病毒感染率提高了40%,其主要驅(qū)動(dòng)力是ms17-010漏洞被惡意利用。與此同時(shí),挖礦木馬同時(shí)也處于快速增長的狀態(tài),有報(bào)告稱反病毒軟件探測到的挖礦木馬增長了8500%,2018年曝光挖礦木馬事件同樣在快速增長。現(xiàn)在,除了勒索病毒以外,對(duì)用戶而言,挖礦木馬也成為了不可忽視的安全威脅。

基于這個(gè)現(xiàn)狀,安全狗海青安全研究實(shí)驗(yàn)室根據(jù)當(dāng)前的安全狀況,針對(duì)挖礦木馬進(jìn)行了總結(jié)性的分析研究,并整理出相關(guān)聯(lián)的解決方案,以期協(xié)助用戶面對(duì)這類安全威脅。

一、蓬勃發(fā)展的“采礦業(yè)”

勒索軟件為網(wǎng)絡(luò)犯罪分子提供了一種收益極高但卻是一次性的牟利方式,與之相反,被感染挖礦木馬的“礦工”將提供更低但可持續(xù)時(shí)間更長的收入。如今,暗地里已經(jīng)圍繞著數(shù)字貨幣形成了一條黑色產(chǎn)業(yè)鏈,即“黑色的采礦業(yè)”(區(qū)別于合法的礦工,下文均簡稱采礦業(yè))。

“采礦業(yè)”作為網(wǎng)絡(luò)犯罪分子一種新的非法牟利的新方式,已經(jīng)開始“擠占”勒索病毒市場份額,勒索病毒已經(jīng)開始被商業(yè)化網(wǎng)絡(luò)犯罪所拋棄,取而代之的是復(fù)雜的挖礦木馬。勒索軟件直接從受害者身上非法牟利是十分扎眼的方式,會(huì)引來社會(huì)和媒體的廣泛關(guān)注,給犯罪分子帶來了不可控的麻煩,而“采礦業(yè)”則相對(duì)更加隱蔽,道德負(fù)擔(dān)更小,更加難以被發(fā)現(xiàn)。

這是一個(gè)簡單的“采礦業(yè)”的模型

犯罪分子利用控制的機(jī)器,種植挖礦木馬挖掘數(shù)字貨幣,經(jīng)過數(shù)次資金轉(zhuǎn)移,然后通過交易將數(shù)字貨幣換成money存入銀行,然后犯罪者從銀行取出現(xiàn)金。(注:我國監(jiān)管部門習(xí)慣用“虛擬貨幣”這個(gè)術(shù)語,專家學(xué)者則常常用“數(shù)字貨幣”指代,而國外一般稱之為“加密貨幣”。)

受害者數(shù)量是很重要的因素,受害者越多,為挖礦提供的算力就越多,挖掘的數(shù)字貨幣收益就越大。在對(duì)挖礦木馬感染情況進(jìn)行一些調(diào)查后,我們發(fā)現(xiàn)受害者的數(shù)量始終保持上漲的趨勢。

很明顯,遇到挖礦木馬的用戶正在快速增加。近年來挖礦木馬愈演愈烈,究其原因是近年數(shù)字貨幣價(jià)格飆升,比特幣和Altcoins的價(jià)格在2017年持續(xù)超過記錄。雖然經(jīng)過相關(guān)監(jiān)管部門干預(yù)和強(qiáng)力鎮(zhèn)壓,數(shù)字貨幣大幅度跳水,但仍然有利可圖,這誘使黑客大量利用受害機(jī)器挖掘數(shù)字貨幣。

二、挖礦木馬多維度特征

海青安全研究實(shí)驗(yàn)室對(duì)所分析的挖礦木馬及公開資料的情況進(jìn)行總結(jié)整理,得出以下幾個(gè)維度的特征。

從木馬的角度而言,有這些特征

1、黑客入侵后,直接將簡單的開源程序及其包含錢包地址等配置的配置文件傳入受害機(jī)器,然后運(yùn)行挖礦。

2、黑客修改了開源程序,將配置文件,錢包地址等內(nèi)置在可執(zhí)行文件中,并有時(shí)加了一些簡單的殼;錢包地址等配置或有加密,但仍可通過沙盒執(zhí)行直接獲得,但可能獲取不全,需要稍稍深入分析一下才可獲取全部礦池及錢包地址相關(guān)威脅情報(bào)。

3、基本與傳統(tǒng)木馬表現(xiàn)相同,“野火燒不盡,春風(fēng)吹又生”。整體看過去,此種情況下挖礦木馬可分為持久化模塊與挖礦模塊。如果出現(xiàn)多次殺毒都無法殺干凈的情況,那就有可能就含有持久化模塊。

4、挖礦蠕蟲。海青安全實(shí)驗(yàn)室監(jiān)控到兩年前的photominer挖礦還在持續(xù)且廣泛的傳播,該蠕蟲依靠弱口令、掛馬、社會(huì)工程學(xué)等手段進(jìn)行傳播。Wanna系列的挖礦蠕蟲也是層出不窮,由于ms17-010漏洞的廣泛傳播和利用,Wanna系列挖礦蠕蟲其感染性遠(yuǎn)勝于之前的photominer等挖礦蠕蟲。

到目前為止,更多的挖礦蠕蟲已經(jīng)轉(zhuǎn)向整合各種漏洞進(jìn)行傳播的性質(zhì),相比起之前類似photominer的挖礦蠕蟲,危害更大更廣。

5、抓雞挖礦。當(dāng)計(jì)算機(jī)被植入遠(yuǎn)控等后門之后,攻擊者通過遠(yuǎn)控執(zhí)行命令或直接文件傳輸挖礦木馬進(jìn)行挖礦。甚至有自動(dòng)化抓雞成功后,自動(dòng)種植挖礦程序進(jìn)行挖礦。

此前出現(xiàn)過的多起redis等挖礦事件,是通過客戶機(jī)器未授權(quán)訪問redis認(rèn)證的問題種植挖礦程序;而在檢測了許多機(jī)器后,發(fā)現(xiàn)并無黑客過多入侵活動(dòng)痕跡,可能只是恰巧被抓雞了而已。此外,被藏了后門的破解軟件、被劫持的WiFi等統(tǒng)統(tǒng)都可以用來抓肉雞進(jìn)行挖礦。

6、結(jié)合前沿黑客技術(shù)

在powershell和WMI被大牛們玩得飛起的時(shí)候,挖礦木馬開始結(jié)合沿黑客技術(shù)并向其看齊。出現(xiàn)了許多利用WMI和powershell作為輔助模塊的挖礦木馬。如explorer挖礦木馬,其核心模塊就是純粹的powershell腳本,只需要運(yùn)行這個(gè)腳本就會(huì)遠(yuǎn)程下載挖礦模塊進(jìn)行挖礦并進(jìn)行其他一系列操作。

7、網(wǎng)頁挖礦木馬

網(wǎng)站被攻擊者惡意植入了網(wǎng)頁挖礦木馬,只要訪問者通過瀏覽器瀏覽被惡意植入了網(wǎng)頁挖礦木馬的站點(diǎn)頁面,瀏覽器會(huì)即刻執(zhí)行挖礦指令,從而淪為僵尸礦機(jī),無償?shù)臑榫W(wǎng)頁挖礦木馬植入者提供算力,間接為其生產(chǎn)虛擬貨幣,這是一種資源盜用攻擊。由于網(wǎng)頁挖礦木馬存在很廣的傳播面和很不錯(cuò)的經(jīng)濟(jì)效益。

8、移動(dòng)設(shè)備挖礦木馬

不像勒索病毒,移動(dòng)設(shè)備挖礦木馬瞄準(zhǔn)的目標(biāo)市場是發(fā)展中國家。移動(dòng)端挖礦木馬是一種新型威脅,雖然移動(dòng)端功率不如傳統(tǒng)服務(wù)端及個(gè)人PC端功率大,但由于用戶數(shù)量規(guī)模巨大,用戶安全意識(shí)薄弱,仍然不可忽視。

除了木馬以外,黑客還可能使用礦池。礦池是一個(gè)把大家的算力糾合到一起挖礦軟件,然后根據(jù)大家提供的算力大小來平均分配挖到的幣。礦池挖礦的過程是把我們自己電腦的算力提供給礦主,礦主用我們的算力去挖礦,挖到的礦其實(shí)是存在礦主的錢包當(dāng)中,然后礦主再根據(jù)我們提供算力的比例,給我們的錢包支付相應(yīng)的扣除稅率的費(fèi)用。

黑客常用礦池分類

1、公開大礦池

如pool.minexmr.com等大礦池。直連礦池進(jìn)行挖礦。存在礦池與執(zhí)法人員合作追捕黑客的風(fēng)險(xiǎn)。

2、自建代理(黑客常用手段)

通過自建的代理中轉(zhuǎn)到大礦池,將算力糾合到一起后給大礦池挖礦。這樣既可以避免調(diào)查人員找到背后的大礦池,也避免了大礦池與執(zhí)法人員合作調(diào)查的風(fēng)險(xiǎn)。

3、自建礦池

一般情況下,黑客不會(huì)這么做,因?yàn)樗懔ν粔?區(qū)塊鏈同步難度也比較大。從收益來講,算力可能血本無歸,但這個(gè)可能性不能完全排除。

除了與挖礦直接相關(guān)聯(lián)的手段外,幣種也是很重要的因素。BTC、ETH、LTC、XRP、XMR...數(shù)字貨幣種類琳瑯滿目。但黑客最中意哪一種呢?

根據(jù)目前的分析,黑客最青睞的數(shù)字貨幣是monero(Xmr)、zcash、達(dá)世幣等。這些貨幣確保了交易的匿名性,對(duì)于網(wǎng)絡(luò)犯罪者來說非常方便,不必太擔(dān)心被追蹤。

1、Xmr(門羅幣)

Xmr向著匿名的方向一路狂奔,其匿名性深受黑客喜歡,所有進(jìn)行門羅幣挖礦的人都能夠在挖礦的時(shí)候保持完全的匿名,雙方的身份和交易金額都被隱藏。由于它采用了一種名為“環(huán)簽”的特殊簽名方式,使得同一筆交易被查詢時(shí)會(huì)出現(xiàn)很多個(gè)結(jié)果,僅僅通過查詢結(jié)果不僅不能看到具體交易金額,也無法判定交易雙方到底是誰。

2、zcash

zcash即大零幣,采用零知識(shí)證明機(jī)制提供完全的支付保密性,是目前匿名性最強(qiáng)的數(shù)字資產(chǎn)。目前Zcash匿名轉(zhuǎn)賬的時(shí)間周期比較長,大概需要20分鐘。網(wǎng)絡(luò)可以選擇普通轉(zhuǎn)賬或匿名轉(zhuǎn)賬,對(duì)隱私保護(hù)級(jí)別有所影響。

3、達(dá)世幣

達(dá)世幣中除了普通節(jié)點(diǎn)之外,還有一種節(jié)點(diǎn)叫“主節(jié)點(diǎn)”。主節(jié)點(diǎn)可以提供一系列服務(wù),如:匿名交易和即時(shí)支付。想進(jìn)行匿名交易的交易者發(fā)起匿名申請(qǐng),由主節(jié)點(diǎn)進(jìn)行混幣,一般是3筆交易一起進(jìn)行混幣。

舉個(gè)例子,一桌人把自己的錢都放在桌上,混在一起,然后再分別拿回相應(yīng)面值的錢,這樣就不知道你手里的錢到底是誰的了,這就是混幣。同樣,在混幣后,網(wǎng)絡(luò)就不知道究竟誰轉(zhuǎn)賬給了誰。

根據(jù)海青安全實(shí)驗(yàn)室捕獲并分析的樣本總結(jié)得出,所挖的幣種大部分是門羅幣,其他幣種較少。

門羅幣等匿名貨幣受到黑客歡迎主要有以下兩點(diǎn)原因:

一是門羅幣比比特幣更加匿名。(不怕追蹤)

二是不需要特定的設(shè)備就可以挖掘。(成本低)

這兩個(gè)原因?qū)е潞诳透觾A向于挖掘門羅幣等匿名貨幣,而不是比特幣等其他幣種。

三、未來安全趨勢

1、挖礦木馬與漏洞利用結(jié)合更加緊密

利用WebLogic漏洞挖礦事件、利用redis未授權(quán)訪問漏洞挖礦事件……這些跡象無不在反復(fù)證明,通用產(chǎn)品的漏洞被公布后,會(huì)很快被不法分子大規(guī)模利用,快速傳播挖礦木馬。

2、新型威脅移動(dòng)端挖礦木馬將加劇

挖礦木馬進(jìn)行工作時(shí)會(huì)造成手機(jī)產(chǎn)生大量熱量,可能損壞電池或其他元件,會(huì)造成挖礦肉雞短命,換句話說,犧牲了受害者設(shè)備的使用壽命。

采礦業(yè)的進(jìn)一步增長可能導(dǎo)致移動(dòng)端也成為非法挖礦的重災(zāi)區(qū)——目前,移動(dòng)端挖礦肉雞正在持續(xù)增長,雖然速度尚且穩(wěn)定,但一旦犯罪分子找到一種技術(shù)解決方案,使得移動(dòng)設(shè)備上的采礦利潤等同于PC上采礦的利潤,移動(dòng)端采礦將會(huì)變得跟PC端以及服務(wù)端一樣,成為非法挖礦的淵藪之一。

特別令人擔(dān)憂的是,針對(duì)移動(dòng)端挖礦的犯罪分子的主要目標(biāo)地區(qū) :中國和印度,占全球智能手機(jī)的三分之一左右。因此,如果智能手機(jī)采礦真正起飛,這兩個(gè)國家將特別容易受到影響。

3、變現(xiàn)成本降低,黑產(chǎn)越來越猖獗

以前利用惡意軟件或廣告業(yè)獲益后,想要洗錢還得頗費(fèi)周折,但數(shù)字貨幣盛行之后,幾個(gè)簡單的步驟就可以直接獲益變現(xiàn)。由于門羅幣等幣種的匿名性,天生自帶洗錢屬性,而且不用特定的挖礦設(shè)備,成本低,這些因素對(duì)黑產(chǎn)來說十分具有吸引力。

4、挖礦木馬將越來越“沉默”

正如文章開頭所敘述的那樣,“低調(diào)”是挖礦木馬和勒索軟件極大的不同之處,挖礦木馬也早已從最早期的瞬間耗盡礦工資源的瘋狂挖礦模式(極易被發(fā)現(xiàn)從而結(jié)束礦工生命周期),到現(xiàn)在的細(xì)水長流、小流成河的挖礦模式(智能控制對(duì)礦機(jī)資源的占用從而實(shí)現(xiàn)長期隱蔽)。

四、解決方案

僅從技術(shù)角度而言,挖礦木馬與大多數(shù)的其他木馬,如DDoS木馬、遠(yuǎn)控木馬等并無本質(zhì)區(qū)別,僅僅只是目的不一樣,因此在防護(hù)上有頗多可以借鑒參考之處。

就對(duì)受害人的危害而言,挖礦木馬與勒索病毒相比并不遑多讓,只是由于勒索軟件過于容易引發(fā)公眾關(guān)注,但挖礦木馬同樣需要警惕。近期,海青安全實(shí)驗(yàn)室發(fā)現(xiàn)有受害機(jī)器同時(shí)被植入了勒索病毒和挖礦木馬的情況。雖然大部份情況下挖礦木馬只是盜用受害者的計(jì)算資源(即占用CPU資源),本身不會(huì)對(duì)受害者造成其他破壞性的攻擊,但嚴(yán)重時(shí)則會(huì)嚴(yán)重影響受害網(wǎng)站的用戶體驗(yàn),長遠(yuǎn)來看,相當(dāng)于透支了受害者的機(jī)器的使用壽命。

通過對(duì)挖礦木馬特性和相關(guān)入侵事件的持續(xù)跟蹤和分析,安全狗提供的云眼產(chǎn)品可以提供一系列的防御措施。

事前防御

1、檢測并修復(fù)弱口令

事前檢測并修改弱口令,使用弱口令進(jìn)行傳播的自動(dòng)化工具和弱口令在傳播途徑中屬于重要一環(huán)的惡意代碼將會(huì)失去大部分戰(zhàn)力。如photominer使用FTP弱口令進(jìn)行傳播、常用22端口、3389端口抓雞等手段,對(duì)用戶都將無效

2、制定嚴(yán)格的端口管理策略

事前制定嚴(yán)格的端口管理策略,可以降低主機(jī)的攻擊面,減小攻擊向量,防范攻擊者入侵到內(nèi)網(wǎng)后利用默認(rèn)端口漏洞如ms17-010漏洞進(jìn)行攻擊。

退一步講,即使用戶中了挖礦病毒,由于其嚴(yán)格的端口策略,挖礦木馬仍然無法正常工作,降低對(duì)業(yè)務(wù)的影響。3、設(shè)置防爆破策略

攻擊者使用的自動(dòng)化工具或蠕蟲類挖礦木馬大多內(nèi)置爆破模塊,事前設(shè)置防爆破策略可以提高攻擊者攻擊成本,記錄爆破攻擊事件,阻止攻擊者采用暴力破解手段對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行攻擊,有效地降低攻擊者成功率。

4、一鍵更新漏洞補(bǔ)丁

事前更新漏洞補(bǔ)丁,防范操作系統(tǒng)本身漏洞對(duì)于業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn),抵御攻擊者利用系統(tǒng)漏洞進(jìn)行攻擊的手段。

事中實(shí)時(shí)防御與監(jiān)控

1、阻止對(duì)關(guān)鍵注冊(cè)表的篡改

針對(duì)關(guān)鍵注冊(cè)表的篡改將被阻止,針對(duì)挖礦木馬的持久化模塊進(jìn)行阻斷,有效防御使用持久化機(jī)制的挖礦木馬,使挖礦木馬能簡單、迅速地被清除,不被持久化機(jī)制所干擾。

2、阻止進(jìn)程創(chuàng)建異常進(jìn)程

阻止進(jìn)程創(chuàng)建異常行為,可針對(duì)利用業(yè)務(wù)系統(tǒng)漏洞進(jìn)入機(jī)器植入挖礦木馬的情況。自動(dòng)阻止挖礦木馬的植入行為。

3、安全監(jiān)控

通過對(duì)網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會(huì)話、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測,以發(fā)現(xiàn)異常的可疑行為,如隱蔽的挖礦木馬行為,同時(shí)有助于及時(shí)發(fā)現(xiàn)正在發(fā)生的事件,減小挖礦木馬對(duì)業(yè)務(wù)的影響。

4、威脅情報(bào)

結(jié)合威脅情報(bào)提供的遠(yuǎn)控或高危黑IP,及時(shí)感知正在發(fā)生的攻擊行為及事件,在防御中掌握主動(dòng)權(quán),防御者通過阻止攻擊者的高級(jí)手段來改變游戲的規(guī)則,入侵前的相關(guān)階段切入,在已發(fā)生或正在發(fā)生的事故中不斷改進(jìn)防御策略,甚至建立威脅情報(bào)驅(qū)動(dòng)的響應(yīng)機(jī)制。

病毒木馬實(shí)時(shí)防御、檢測與處置

1、實(shí)時(shí)防御惡意代碼

實(shí)時(shí)阻斷惡意代碼的運(yùn)行,預(yù)防惡意代碼的入侵,有效及時(shí)的提醒當(dāng)前計(jì)算機(jī)的安全狀況。

2、檢測惡意代碼

檢測業(yè)務(wù)系統(tǒng)中存在的惡意代碼,及時(shí)查處隱藏在系統(tǒng)內(nèi)的惡意代碼,防范安全風(fēng)險(xiǎn)。

3、處置惡意代碼

清理或隔離惡意代碼,及時(shí)止損。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！