域名預(yù)訂/競(jìng)價(jià),好“米”不錯(cuò)過(guò)
據(jù)工業(yè)和信息化部網(wǎng)站消息,網(wǎng)絡(luò)安全管理局近日發(fā)布《2018年第二季度網(wǎng)絡(luò)安全威脅態(tài)勢(shì)分析與工作綜述》(以下簡(jiǎn)稱“工作綜述”),工作綜述稱,非法“挖礦”已成為嚴(yán)重的網(wǎng)絡(luò)安全問(wèn)題。安全狗海青安全研究實(shí)驗(yàn)室通過(guò)持續(xù)對(duì)非法挖礦事件的追蹤和分析,已經(jīng)連續(xù)推出多篇非法挖礦木馬事件和病毒的分析報(bào)告。
2017年是勒索病毒爆發(fā)高峰期,勒索病毒感染率提高了40%,其主要驅(qū)動(dòng)力是ms17-010漏洞被惡意利用。與此同時(shí),挖礦木馬同時(shí)也處于快速增長(zhǎng)的狀態(tài),有報(bào)告稱反病毒軟件探測(cè)到的挖礦木馬增長(zhǎng)了8500%,2018年曝光挖礦木馬事件同樣在快速增長(zhǎng)。現(xiàn)在,除了勒索病毒以外,對(duì)用戶而言,挖礦木馬也成為了不可忽視的安全威脅。
基于這個(gè)現(xiàn)狀,安全狗海青安全研究實(shí)驗(yàn)室根據(jù)當(dāng)前的安全狀況,針對(duì)挖礦木馬進(jìn)行了總結(jié)性的分析研究,并整理出相關(guān)聯(lián)的解決方案,以期協(xié)助用戶面對(duì)這類安全威脅。
一、蓬勃發(fā)展的“采礦業(yè)”
勒索軟件為網(wǎng)絡(luò)犯罪分子提供了一種收益極高但卻是一次性的牟利方式,與之相反,被感染挖礦木馬的“礦工”將提供更低但可持續(xù)時(shí)間更長(zhǎng)的收入。如今,暗地里已經(jīng)圍繞著數(shù)字貨幣形成了一條黑色產(chǎn)業(yè)鏈,即“黑色的采礦業(yè)”(區(qū)別于合法的礦工,下文均簡(jiǎn)稱采礦業(yè))。
“采礦業(yè)”作為網(wǎng)絡(luò)犯罪分子一種新的非法牟利的新方式,已經(jīng)開始“擠占”勒索病毒市場(chǎng)份額,勒索病毒已經(jīng)開始被商業(yè)化網(wǎng)絡(luò)犯罪所拋棄,取而代之的是復(fù)雜的挖礦木馬。勒索軟件直接從受害者身上非法牟利是十分扎眼的方式,會(huì)引來(lái)社會(huì)和媒體的廣泛關(guān)注,給犯罪分子帶來(lái)了不可控的麻煩,而“采礦業(yè)”則相對(duì)更加隱蔽,道德負(fù)擔(dān)更小,更加難以被發(fā)現(xiàn)。
這是一個(gè)簡(jiǎn)單的“采礦業(yè)”的模型
犯罪分子利用控制的機(jī)器,種植挖礦木馬挖掘數(shù)字貨幣,經(jīng)過(guò)數(shù)次資金轉(zhuǎn)移,然后通過(guò)交易將數(shù)字貨幣換成money存入銀行,然后犯罪者從銀行取出現(xiàn)金。(注:我國(guó)監(jiān)管部門習(xí)慣用“虛擬貨幣”這個(gè)術(shù)語(yǔ),專家學(xué)者則常常用“數(shù)字貨幣”指代,而國(guó)外一般稱之為“加密貨幣”。)
受害者數(shù)量是很重要的因素,受害者越多,為挖礦提供的算力就越多,挖掘的數(shù)字貨幣收益就越大。在對(duì)挖礦木馬感染情況進(jìn)行一些調(diào)查后,我們發(fā)現(xiàn)受害者的數(shù)量始終保持上漲的趨勢(shì)。
很明顯,遇到挖礦木馬的用戶正在快速增加。近年來(lái)挖礦木馬愈演愈烈,究其原因是近年數(shù)字貨幣價(jià)格飆升,比特幣和Altcoins的價(jià)格在2017年持續(xù)超過(guò)記錄。雖然經(jīng)過(guò)相關(guān)監(jiān)管部門干預(yù)和強(qiáng)力鎮(zhèn)壓,數(shù)字貨幣大幅度跳水,但仍然有利可圖,這誘使黑客大量利用受害機(jī)器挖掘數(shù)字貨幣。
二、挖礦木馬多維度特征
海青安全研究實(shí)驗(yàn)室對(duì)所分析的挖礦木馬及公開資料的情況進(jìn)行總結(jié)整理,得出以下幾個(gè)維度的特征。
從木馬的角度而言,有這些特征
1、黑客入侵后,直接將簡(jiǎn)單的開源程序及其包含錢包地址等配置的配置文件傳入受害機(jī)器,然后運(yùn)行挖礦。
2、黑客修改了開源程序,將配置文件,錢包地址等內(nèi)置在可執(zhí)行文件中,并有時(shí)加了一些簡(jiǎn)單的殼;錢包地址等配置或有加密,但仍可通過(guò)沙盒執(zhí)行直接獲得,但可能獲取不全,需要稍稍深入分析一下才可獲取全部礦池及錢包地址相關(guān)威脅情報(bào)。
3、基本與傳統(tǒng)木馬表現(xiàn)相同,“野火燒不盡,春風(fēng)吹又生”。整體看過(guò)去,此種情況下挖礦木馬可分為持久化模塊與挖礦模塊。如果出現(xiàn)多次殺毒都無(wú)法殺干凈的情況,那就有可能就含有持久化模塊。
4、挖礦蠕蟲。海青安全實(shí)驗(yàn)室監(jiān)控到兩年前的photominer挖礦還在持續(xù)且廣泛的傳播,該蠕蟲依靠弱口令、掛馬、社會(huì)工程學(xué)等手段進(jìn)行傳播。Wanna系列的挖礦蠕蟲也是層出不窮,由于ms17-010漏洞的廣泛傳播和利用,Wanna系列挖礦蠕蟲其感染性遠(yuǎn)勝于之前的photominer等挖礦蠕蟲。
到目前為止,更多的挖礦蠕蟲已經(jīng)轉(zhuǎn)向整合各種漏洞進(jìn)行傳播的性質(zhì),相比起之前類似photominer的挖礦蠕蟲,危害更大更廣。
5、抓雞挖礦。當(dāng)計(jì)算機(jī)被植入遠(yuǎn)控等后門之后,攻擊者通過(guò)遠(yuǎn)控執(zhí)行命令或直接文件傳輸挖礦木馬進(jìn)行挖礦。甚至有自動(dòng)化抓雞成功后,自動(dòng)種植挖礦程序進(jìn)行挖礦。
此前出現(xiàn)過(guò)的多起redis等挖礦事件,是通過(guò)客戶機(jī)器未授權(quán)訪問(wèn)redis認(rèn)證的問(wèn)題種植挖礦程序;而在檢測(cè)了許多機(jī)器后,發(fā)現(xiàn)并無(wú)黑客過(guò)多入侵活動(dòng)痕跡,可能只是恰巧被抓雞了而已。此外,被藏了后門的破解軟件、被劫持的WiFi等統(tǒng)統(tǒng)都可以用來(lái)抓肉雞進(jìn)行挖礦。
6、結(jié)合前沿黑客技術(shù)
在powershell和WMI被大牛們玩得飛起的時(shí)候,挖礦木馬開始結(jié)合沿黑客技術(shù)并向其看齊。出現(xiàn)了許多利用WMI和powershell作為輔助模塊的挖礦木馬。如explorer挖礦木馬,其核心模塊就是純粹的powershell腳本,只需要運(yùn)行這個(gè)腳本就會(huì)遠(yuǎn)程下載挖礦模塊進(jìn)行挖礦并進(jìn)行其他一系列操作。
7、網(wǎng)頁(yè)挖礦木馬
網(wǎng)站被攻擊者惡意植入了網(wǎng)頁(yè)挖礦木馬,只要訪問(wèn)者通過(guò)瀏覽器瀏覽被惡意植入了網(wǎng)頁(yè)挖礦木馬的站點(diǎn)頁(yè)面,瀏覽器會(huì)即刻執(zhí)行挖礦指令,從而淪為僵尸礦機(jī),無(wú)償?shù)臑榫W(wǎng)頁(yè)挖礦木馬植入者提供算力,間接為其生產(chǎn)虛擬貨幣,這是一種資源盜用攻擊。由于網(wǎng)頁(yè)挖礦木馬存在很廣的傳播面和很不錯(cuò)的經(jīng)濟(jì)效益。
8、移動(dòng)設(shè)備挖礦木馬
不像勒索病毒,移動(dòng)設(shè)備挖礦木馬瞄準(zhǔn)的目標(biāo)市場(chǎng)是發(fā)展中國(guó)家。移動(dòng)端挖礦木馬是一種新型威脅,雖然移動(dòng)端功率不如傳統(tǒng)服務(wù)端及個(gè)人PC端功率大,但由于用戶數(shù)量規(guī)模巨大,用戶安全意識(shí)薄弱,仍然不可忽視。
除了木馬以外,黑客還可能使用礦池。礦池是一個(gè)把大家的算力糾合到一起挖礦軟件,然后根據(jù)大家提供的算力大小來(lái)平均分配挖到的幣。礦池挖礦的過(guò)程是把我們自己電腦的算力提供給礦主,礦主用我們的算力去挖礦,挖到的礦其實(shí)是存在礦主的錢包當(dāng)中,然后礦主再根據(jù)我們提供算力的比例,給我們的錢包支付相應(yīng)的扣除稅率的費(fèi)用。
黑客常用礦池分類
1、公開大礦池
如pool.minexmr.com等大礦池。直連礦池進(jìn)行挖礦。存在礦池與執(zhí)法人員合作追捕黑客的風(fēng)險(xiǎn)。
2、自建代理(黑客常用手段)
通過(guò)自建的代理中轉(zhuǎn)到大礦池,將算力糾合到一起后給大礦池挖礦。這樣既可以避免調(diào)查人員找到背后的大礦池,也避免了大礦池與執(zhí)法人員合作調(diào)查的風(fēng)險(xiǎn)。
3、自建礦池
一般情況下,黑客不會(huì)這么做,因?yàn)樗懔ν粔?區(qū)塊鏈同步難度也比較大。從收益來(lái)講,算力可能血本無(wú)歸,但這個(gè)可能性不能完全排除。
除了與挖礦直接相關(guān)聯(lián)的手段外,幣種也是很重要的因素。BTC、ETH、LTC、XRP、XMR...數(shù)字貨幣種類琳瑯滿目。但黑客最中意哪一種呢?
根據(jù)目前的分析,黑客最青睞的數(shù)字貨幣是monero(Xmr)、zcash、達(dá)世幣等。這些貨幣確保了交易的匿名性,對(duì)于網(wǎng)絡(luò)犯罪者來(lái)說(shuō)非常方便,不必太擔(dān)心被追蹤。
1、Xmr(門羅幣)
Xmr向著匿名的方向一路狂奔,其匿名性深受黑客喜歡,所有進(jìn)行門羅幣挖礦的人都能夠在挖礦的時(shí)候保持完全的匿名,雙方的身份和交易金額都被隱藏。由于它采用了一種名為“環(huán)簽”的特殊簽名方式,使得同一筆交易被查詢時(shí)會(huì)出現(xiàn)很多個(gè)結(jié)果,僅僅通過(guò)查詢結(jié)果不僅不能看到具體交易金額,也無(wú)法判定交易雙方到底是誰(shuí)。
2、zcash
zcash即大零幣,采用零知識(shí)證明機(jī)制提供完全的支付保密性,是目前匿名性最強(qiáng)的數(shù)字資產(chǎn)。目前Zcash匿名轉(zhuǎn)賬的時(shí)間周期比較長(zhǎng),大概需要20分鐘。網(wǎng)絡(luò)可以選擇普通轉(zhuǎn)賬或匿名轉(zhuǎn)賬,對(duì)隱私保護(hù)級(jí)別有所影響。
3、達(dá)世幣
達(dá)世幣中除了普通節(jié)點(diǎn)之外,還有一種節(jié)點(diǎn)叫“主節(jié)點(diǎn)”。主節(jié)點(diǎn)可以提供一系列服務(wù),如:匿名交易和即時(shí)支付。想進(jìn)行匿名交易的交易者發(fā)起匿名申請(qǐng),由主節(jié)點(diǎn)進(jìn)行混幣,一般是3筆交易一起進(jìn)行混幣。
舉個(gè)例子,一桌人把自己的錢都放在桌上,混在一起,然后再分別拿回相應(yīng)面值的錢,這樣就不知道你手里的錢到底是誰(shuí)的了,這就是混幣。同樣,在混幣后,網(wǎng)絡(luò)就不知道究竟誰(shuí)轉(zhuǎn)賬給了誰(shuí)。
根據(jù)海青安全實(shí)驗(yàn)室捕獲并分析的樣本總結(jié)得出,所挖的幣種大部分是門羅幣,其他幣種較少。
門羅幣等匿名貨幣受到黑客歡迎主要有以下兩點(diǎn)原因:
一是門羅幣比比特幣更加匿名。(不怕追蹤)
二是不需要特定的設(shè)備就可以挖掘。(成本低)
這兩個(gè)原因?qū)е潞诳透觾A向于挖掘門羅幣等匿名貨幣,而不是比特幣等其他幣種。
三、未來(lái)安全趨勢(shì)
1、挖礦木馬與漏洞利用結(jié)合更加緊密
利用WebLogic漏洞挖礦事件、利用redis未授權(quán)訪問(wèn)漏洞挖礦事件……這些跡象無(wú)不在反復(fù)證明,通用產(chǎn)品的漏洞被公布后,會(huì)很快被不法分子大規(guī)模利用,快速傳播挖礦木馬。
2、新型威脅移動(dòng)端挖礦木馬將加劇
挖礦木馬進(jìn)行工作時(shí)會(huì)造成手機(jī)產(chǎn)生大量熱量,可能損壞電池或其他元件,會(huì)造成挖礦肉雞短命,換句話說(shuō),犧牲了受害者設(shè)備的使用壽命。
采礦業(yè)的進(jìn)一步增長(zhǎng)可能導(dǎo)致移動(dòng)端也成為非法挖礦的重災(zāi)區(qū)——目前,移動(dòng)端挖礦肉雞正在持續(xù)增長(zhǎng),雖然速度尚且穩(wěn)定,但一旦犯罪分子找到一種技術(shù)解決方案,使得移動(dòng)設(shè)備上的采礦利潤(rùn)等同于PC上采礦的利潤(rùn),移動(dòng)端采礦將會(huì)變得跟PC端以及服務(wù)端一樣,成為非法挖礦的淵藪之一。
特別令人擔(dān)憂的是,針對(duì)移動(dòng)端挖礦的犯罪分子的主要目標(biāo)地區(qū) :中國(guó)和印度,占全球智能手機(jī)的三分之一左右。因此,如果智能手機(jī)采礦真正起飛,這兩個(gè)國(guó)家將特別容易受到影響。
3、變現(xiàn)成本降低,黑產(chǎn)越來(lái)越猖獗
以前利用惡意軟件或廣告業(yè)獲益后,想要洗錢還得頗費(fèi)周折,但數(shù)字貨幣盛行之后,幾個(gè)簡(jiǎn)單的步驟就可以直接獲益變現(xiàn)。由于門羅幣等幣種的匿名性,天生自帶洗錢屬性,而且不用特定的挖礦設(shè)備,成本低,這些因素對(duì)黑產(chǎn)來(lái)說(shuō)十分具有吸引力。
4、挖礦木馬將越來(lái)越“沉默”
正如文章開頭所敘述的那樣,“低調(diào)”是挖礦木馬和勒索軟件極大的不同之處,挖礦木馬也早已從最早期的瞬間耗盡礦工資源的瘋狂挖礦模式(極易被發(fā)現(xiàn)從而結(jié)束礦工生命周期),到現(xiàn)在的細(xì)水長(zhǎng)流、小流成河的挖礦模式(智能控制對(duì)礦機(jī)資源的占用從而實(shí)現(xiàn)長(zhǎng)期隱蔽)。
四、解決方案
僅從技術(shù)角度而言,挖礦木馬與大多數(shù)的其他木馬,如DDoS木馬、遠(yuǎn)控木馬等并無(wú)本質(zhì)區(qū)別,僅僅只是目的不一樣,因此在防護(hù)上有頗多可以借鑒參考之處。
就對(duì)受害人的危害而言,挖礦木馬與勒索病毒相比并不遑多讓,只是由于勒索軟件過(guò)于容易引發(fā)公眾關(guān)注,但挖礦木馬同樣需要警惕。近期,海青安全實(shí)驗(yàn)室發(fā)現(xiàn)有受害機(jī)器同時(shí)被植入了勒索病毒和挖礦木馬的情況。雖然大部份情況下挖礦木馬只是盜用受害者的計(jì)算資源(即占用CPU資源),本身不會(huì)對(duì)受害者造成其他破壞性的攻擊,但嚴(yán)重時(shí)則會(huì)嚴(yán)重影響受害網(wǎng)站的用戶體驗(yàn),長(zhǎng)遠(yuǎn)來(lái)看,相當(dāng)于透支了受害者的機(jī)器的使用壽命。
通過(guò)對(duì)挖礦木馬特性和相關(guān)入侵事件的持續(xù)跟蹤和分析,安全狗提供的云眼產(chǎn)品可以提供一系列的防御措施。
事前防御
1、檢測(cè)并修復(fù)弱口令
事前檢測(cè)并修改弱口令,使用弱口令進(jìn)行傳播的自動(dòng)化工具和弱口令在傳播途徑中屬于重要一環(huán)的惡意代碼將會(huì)失去大部分戰(zhàn)力。如photominer使用FTP弱口令進(jìn)行傳播、常用22端口、3389端口抓雞等手段,對(duì)用戶都將無(wú)效
2、制定嚴(yán)格的端口管理策略
事前制定嚴(yán)格的端口管理策略,可以降低主機(jī)的攻擊面,減小攻擊向量,防范攻擊者入侵到內(nèi)網(wǎng)后利用默認(rèn)端口漏洞如ms17-010漏洞進(jìn)行攻擊。
退一步講,即使用戶中了挖礦病毒,由于其嚴(yán)格的端口策略,挖礦木馬仍然無(wú)法正常工作,降低對(duì)業(yè)務(wù)的影響。3、設(shè)置防爆破策略
攻擊者使用的自動(dòng)化工具或蠕蟲類挖礦木馬大多內(nèi)置爆破模塊,事前設(shè)置防爆破策略可以提高攻擊者攻擊成本,記錄爆破攻擊事件,阻止攻擊者采用暴力破解手段對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行攻擊,有效地降低攻擊者成功率。
4、一鍵更新漏洞補(bǔ)丁
事前更新漏洞補(bǔ)丁,防范操作系統(tǒng)本身漏洞對(duì)于業(yè)務(wù)系統(tǒng)的安全風(fēng)險(xiǎn),抵御攻擊者利用系統(tǒng)漏洞進(jìn)行攻擊的手段。
事中實(shí)時(shí)防御與監(jiān)控
1、阻止對(duì)關(guān)鍵注冊(cè)表的篡改
針對(duì)關(guān)鍵注冊(cè)表的篡改將被阻止,針對(duì)挖礦木馬的持久化模塊進(jìn)行阻斷,有效防御使用持久化機(jī)制的挖礦木馬,使挖礦木馬能簡(jiǎn)單、迅速地被清除,不被持久化機(jī)制所干擾。
2、阻止進(jìn)程創(chuàng)建異常進(jìn)程
阻止進(jìn)程創(chuàng)建異常行為,可針對(duì)利用業(yè)務(wù)系統(tǒng)漏洞進(jìn)入機(jī)器植入挖礦木馬的情況。自動(dòng)阻止挖礦木馬的植入行為。
3、安全監(jiān)控
通過(guò)對(duì)網(wǎng)絡(luò)內(nèi)部主機(jī)的進(jìn)程、會(huì)話、資源等指標(biāo)參數(shù)進(jìn)行監(jiān)測(cè),以發(fā)現(xiàn)異常的可疑行為,如隱蔽的挖礦木馬行為,同時(shí)有助于及時(shí)發(fā)現(xiàn)正在發(fā)生的事件,減小挖礦木馬對(duì)業(yè)務(wù)的影響。
4、威脅情報(bào)
結(jié)合威脅情報(bào)提供的遠(yuǎn)控或高危黑IP,及時(shí)感知正在發(fā)生的攻擊行為及事件,在防御中掌握主動(dòng)權(quán),防御者通過(guò)阻止攻擊者的高級(jí)手段來(lái)改變游戲的規(guī)則,入侵前的相關(guān)階段切入,在已發(fā)生或正在發(fā)生的事故中不斷改進(jìn)防御策略,甚至建立威脅情報(bào)驅(qū)動(dòng)的響應(yīng)機(jī)制。
病毒木馬實(shí)時(shí)防御、檢測(cè)與處置
1、實(shí)時(shí)防御惡意代碼
實(shí)時(shí)阻斷惡意代碼的運(yùn)行,預(yù)防惡意代碼的入侵,有效及時(shí)的提醒當(dāng)前計(jì)算機(jī)的安全狀況。
2、檢測(cè)惡意代碼
檢測(cè)業(yè)務(wù)系統(tǒng)中存在的惡意代碼,及時(shí)查處隱藏在系統(tǒng)內(nèi)的惡意代碼,防范安全風(fēng)險(xiǎn)。
3、處置惡意代碼
清理或隔離惡意代碼,及時(shí)止損。
申請(qǐng)創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!