近日,阿里云安全团队发布了《2018 年云上挖矿分析报告》。该报告以阿里云 2018 年的攻防数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议。
报告指出,尽管加密货币的价格在 2018 年经历了暴跌,但挖矿仍是网络黑产团伙在入侵服务器之后最直接的变现手段,越来越多的 0 -Day/N-Day 漏洞在公布后的极短时间内就被用于入侵挖矿,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续。
攻击态势分析
【热点 0 -Day/N-Day 漏洞利用成为挖矿团伙的 ” 武器库 ”,0-Day 漏洞留给用户进行修复的窗口期变短】
2018 年,多个应用广泛的 web 应用爆出高危漏洞,对互联网安全造成严重威胁。事后安全社区对漏洞信息的分析和漏洞细节的分享,让利用代码能够方便的从互联网上获取。挖矿团伙自然不会放过这些唾手可得的“武器库”。此外一些持续未得到普遍修复的 N -Day 漏洞往往也会被挖矿团伙利用。本报告梳理了部分热点 0 -Day/N-Day 漏洞被挖矿团伙大量利用的事件。
同时阿里云观察到,0-Day 漏洞从披露到大规模利用之间的时间间隔越来越小。因此在高危 0 -Day 漏洞爆出后未能及时修复的用户,容易成为恶意挖矿的受害者。
【非 Web 网络应用暴露在公网后成为挖矿团伙利用的重灾区】
企业对 Web 应用可能造成的安全威胁已经有足够的重视,WAF、RASP、漏洞扫描等安全产品也提升了 Web 应用的安全水位。而非 Web 网络应用 (Redis、Hadoop、SQLServer 等) 往往并非企业核心应用,企业在安全加固和漏洞修复上投入并不如 Web 应用,往往导致高危漏洞持续得不到修复,因而挖矿团伙也会针对性利用互联网上这些持续存在的弱点应用。本报告梳理了 2018 年非 Web 网络应用漏洞被挖矿团伙利用的时间线。
【挖矿团伙广泛利用暴力破解进行传播,弱密码仍然是互联网面临的主要威胁】
下图为不同应用被入侵导致挖矿所占百分比,可以发现 SSH/RDP/SQLServer 是挖矿利用的重点应用,而这些应用通常是因为弱密码被暴力破解导致被入侵感染挖矿病毒。由此可以看出弱密码导致的身份认证问题仍然是互联网面临的重要威胁。
恶意行为
【挖矿后门普遍通过蠕虫形式传播】
大多数的挖矿团伙在感染受害主机植入挖矿木马后,会控制这些受害主机对本地网络及互联网的其他主机进行扫描和攻击,从而扩大感染量。这些挖矿木马传播速度较快,且很难在互联网上根除,因为一旦少量主机受到恶意程序感染,它会受控开始攻击其他主机,导致其它带有漏洞或存在配置问题的主机也很快沦陷。
少量挖矿团伙会直接控制部分主机进行网络攻击,入侵受害主机后只在主机植入挖矿后门,并不会进一步扩散。最有代表性的就是 8220 挖矿团伙。这类团伙一般漏洞利用手段比较丰富,漏洞更新速度较快。
【挖矿团伙会在受害主机上通过持久化驻留获取最大收益】
大多数的挖矿团伙,都会尝试在受害主机上持久化驻留以获取最大收益。
通常在 Linux 系统中,挖矿团伙通过 crontab 设置周期性被执行的指令。在 Windows 系统中,挖矿团伙通常使用 schtask 和 WMI 来达到持久化的目的。
如下为 Bulehero 木马执行添加周期任务的 schtask 命令:
cmd /c schtasks /create /sc minute /mo 1 /tn “Miscfost” /ru system /tr “cmd /c C:Windowsimescvsots.exe”cmd /c schtasks /create /sc minute /mo 1 /tn “Netframework” /ru system /tr “cmd /c echo Y|cacls C:Windowsscvsots.exe /p everyone:F”【挖矿团伙会通过伪装进程、加壳、代码混淆、私搭矿池或代理等手段规避安全分析和溯源】
Bulehero 挖矿网络使用的病毒下载器进程名为 scvsots.exe,与 windows 正常程序的名字 svchost.exe 极其相似;其它僵尸网络使用的恶意程序名,像 taskhsot.exe、taskmgr.exe、java 这类形似正常程序的名称也是屡见不鲜。
在分析挖矿僵尸网络的过程中我们发现,大多数后门二进制程序都被加壳,最经常被使用的是 Windows 下的 UPX、VMP、sfxrar 等,如下图,几乎每个 RDPMiner 使用的恶意程序都加了上述三种壳之一。
此外,挖矿团伙使用的恶意脚本往往也经过各种混淆。如下图,JBossMiner 挖矿僵尸网络在其 vbs 恶意脚本中进行混淆加密。
尽管人工分析时可以通过多种手段去混淆或解密,但加密和混淆对逃避杀毒软件而言,仍是非常有效的手段。
恶意挖矿团伙使用自己的钱包地址连接公开矿池,可能因为矿池收到投诉导致钱包地址被封禁。挖矿团伙倾向于更多的使用矿池代理或私搭矿池的方式进行挖矿。进而安全研究人员也难以通过矿池公布的 HashRate 和付款历史估算出被入侵主机的数量和规模。
主流团伙概述
1.DDG 挖矿团伙
从 2017 年底首次被曝光至今,DDG 挖矿僵尸网络一直保持着极高的活跃度。其主要恶意程序由 go 语言写成,客观上对安全人员研究分析造成了一定阻碍。而频繁的程序配置改动、技术手段升级,使它堪称 2018 年危害最大的挖矿僵尸网络。
2.8220 挖矿团伙
在诸多挖矿僵尸网络中,8220 团伙的挖矿木马独树一帜,因为它并未采用蠕虫型传播,而是直接对漏洞进行利用。
这种方式理论上传播速度较慢,相较于蠕虫型传播的僵尸网络也更难存活,但 8220 挖矿团伙仍以这种方式获取了较大的感染量。
3.Mykings(theHidden)挖矿团伙
Mykings(又名 theHidden“隐匿者”)挖矿网络在 2017 年中就被多家友商提及并报道。它从 2014 年开始出现,时至今日该僵尸网络依然活跃,可以说是拥有非常旺盛的生命力。该僵尸网络极为复杂,集成了 Mirai、Masscan 等恶意程序的功能,此外在 payload、BypassUAC 部分都使用极其复杂的加密混淆技术,掩盖攻击意图,逃避安全软件的检测和安全研究人员的分析。该挖矿僵尸网络在 11 月底更是被发现与“暗云”联手,危害性再次增强。
4.Bulehero 挖矿团伙
5.RDPMiner 挖矿团伙
该挖矿僵尸网络自 2018 年 10 月开始蔓延,之后多次更换挖矿程序名称。
6.JbossMiner 挖矿团伙
阿里云安全团队于 2018 年 3 月报道过,从蜜罐中捕获到 JbossMiner 的恶意程序样本,该样本由 py2exe 打包,解包反编译后是一套由 Python 编写的完整攻击程序,包含源码及依赖类库等数十个文件。且对于 Windows 和 Linux 系统的受害主机,有不同的利用程序。
7.WannaMine
WannaMine 是一个蠕虫型僵尸网络。这个挖矿团伙的策略曾被 CrowdStrike 形容为“靠山吃山靠水吃水”(living off the land),因为恶意程序在被感染的主机上,首先会尝试通过 Mimikatz 收集的密码登录其他主机,失败之后再利用“永恒之蓝”漏洞攻击其他主机,进行繁殖传播。
8.Kworkerd
这是一个主要攻击 Redis 数据库未授权访问漏洞的挖矿僵尸网络,因其将挖矿程序的名字伪装成 Linux 正常进程 Kworkerd 故得名。
该木马只利用一种漏洞却仍有不少感染量,说明数据库安全配置亟待得到用户的重视。
9.DockerKiller
随着微服务的热度不断上升,越来越多的企业选择容器来部署自己的应用。而 Docker 作为实现微服务首选容器,在大规模部署的同时其安全性却没有引起足够的重视。2018 年 8 月,Docker 配置不当导致的未授权访问漏洞遭到挖矿团伙的批量利用。
安全建议
如今尽管币价低迷,但由于经济形势承受下行的压力,可能为潜在的犯罪活动提供诱因。阿里云预计,2019 年挖矿活动数量仍将处于较高的水位;且随着挖矿和漏洞利用相关知识的普及,恶意挖矿的入场玩家可能趋于稳定且伴有少量增加。
基于这种状况,阿里云安全团队为企业和个人提供如下安全建议:
安全系统中最薄弱的一环在于人,最大的安全问题也往往出于人的惰性,因此弱密码、爆破的问题占了挖矿原因的半壁江山。无论是企业还是个人,安全意识教育必不可少;0-Day 漏洞修复的窗口期越来越短,企业需要提升漏洞应急响应的效率,一方面是积极进行应用系统更新,另一方面是关注产品的安全公告并及时升级,同时也可以选择购买安全托管服务提升自己的安全水位;伴随着云上弹性的计算资源带来的便利,一些非 Web 类的网络应用暴露的风险也同步上升,安全运维人员应该重点关注非 Web 类的应用伴随的安全风险,或者选择购买带 IPS 功能的防火墙产品,第一时间给 0 -Day 漏洞提供防护。
本文作者:云安全专家
阅读原文
本文为云栖社区原创内容,未经允许不得转载。