2018年云上挖礦分析報告 |
來源:聚銘網(wǎng)絡 發(fā)布時間:2019-02-11 瀏覽次數(shù): |
信息來源:FreeBuf 近日,阿里云安全團隊發(fā)布了《2018年云上挖礦分析報告》。該報告以阿里云2018年的攻防數(shù)據(jù)為基礎(chǔ),對惡意挖礦態(tài)勢進行了分析,并為個人和企業(yè)提出了合理的安全防護建議。
一、攻擊態(tài)勢分析1. 熱點0-Day/N-Day漏洞利用成為挖礦團伙的”武器庫”,0-Day漏洞留給用戶進行修復的窗口期變短】2018年,多個應用廣泛的web應用爆出高危漏洞,對互聯(lián)網(wǎng)安全造成嚴重威脅。事后安全社區(qū)對漏洞信息的分析和漏洞細節(jié)的分享,讓利用代碼能夠方便的從互聯(lián)網(wǎng)上獲取。挖礦團伙自然不會放過這些唾手可得的“武器庫”。此外一些持續(xù)未得到普遍修復的N-Day漏洞往往也會被挖礦團伙利用。本報告梳理了部分熱點0-Day/N-Day漏洞被挖礦團伙大量利用的事件。 同時阿里云觀察到,0-Day漏洞從披露到大規(guī)模利用之間的時間間隔越來越小。因此在高危0-Day漏洞爆出后未能及時修復的用戶,容易成為惡意挖礦的受害者。 2. 非Web網(wǎng)絡應用暴露在公網(wǎng)后成為挖礦團伙利用的重災區(qū)企業(yè)對Web應用可能造成的安全威脅已經(jīng)有足夠的重視,WAF、RASP、漏洞掃描等安全產(chǎn)品也提升了Web應用的安全水位。而非Web網(wǎng)絡應用(Redis、Hadoop、SQLServer等)往往并非企業(yè)核心應用,企業(yè)在安全加固和漏洞修復上投入并不如Web應用,往往導致高危漏洞持續(xù)得不到修復,因而挖礦團伙也會針對性利用互聯(lián)網(wǎng)上這些持續(xù)存在的弱點應用。本報告梳理了2018年非Web網(wǎng)絡應用漏洞被挖礦團伙利用的時間線。 3. 挖礦團伙廣泛利用暴力破解進行傳播,弱密碼仍然是互聯(lián)網(wǎng)面臨的主要威脅下圖為不同應用被入侵導致挖礦所占百分比,可以發(fā)現(xiàn)SSH/RDP/SQLServer是挖礦利用的重點應用,而這些應用通常是因為弱密碼被暴力破解導致被入侵感染挖礦病毒。由此可以看出弱密碼導致的身份認證問題仍然是互聯(lián)網(wǎng)面臨的重要威脅。 二、 惡意行為1. 挖礦后門普遍通過蠕蟲形式傳播大多數(shù)的挖礦團伙在感染受害主機植入挖礦木馬后,會控制這些受害主機對本地網(wǎng)絡及互聯(lián)網(wǎng)的其他主機進行掃描和攻擊,從而擴大感染量。這些挖礦木馬傳播速度較快,且很難在互聯(lián)網(wǎng)上根除,因為一旦少量主機受到惡意程序感染,它會受控開始攻擊其他主機,導致其它帶有漏洞或存在配置問題的主機也很快淪陷。 少量挖礦團伙會直接控制部分主機進行網(wǎng)絡攻擊,入侵受害主機后只在主機植入挖礦后門,并不會進一步擴散。最有代表性的就是8220挖礦團伙。這類團伙一般漏洞利用手段比較豐富,漏洞更新速度較快。 2. 挖礦團伙會在受害主機上通過持久化駐留獲取最大收益大多數(shù)的挖礦團伙,都會嘗試在受害主機上持久化駐留以獲取最大收益。 通常在Linux系統(tǒng)中,挖礦團伙通過crontab設置周期性被執(zhí)行的指令。在Windows系統(tǒng)中,挖礦團伙通常使用schtask和WMI來達到持久化的目的。 如下為Bulehero木馬執(zhí)行添加周期任務的schtask命令: cmd /c schtasks /create/scminute/mo1/tn"Miscfost"/rusystem/tr"cmd /c C:\Windows\ime\scvsots.exe" cmd /cschtasks /create/scminute/mo1/tn"Netframework"/rusystem/tr"cmd /c echo Y|cacls C:\Windows\scvsots.exe /p everyone:F" 3. 挖礦團伙會通過偽裝進程、加殼、代碼混淆、私搭礦池或代理等手段規(guī)避安全分析和溯源Bulehero挖礦網(wǎng)絡使用的病毒下載器進程名為scvsots.exe,與windows正常程序的名字svchost.exe極其相似;其它僵尸網(wǎng)絡使用的惡意程序名,像taskhsot.exe、taskmgr.exe、java這類形似正常程序的名稱也是屢見不鮮。 在分析挖礦僵尸網(wǎng)絡的過程中我們發(fā)現(xiàn),大多數(shù)后門二進制程序都被加殼,最經(jīng)常被使用的是Windows下的UPX、VMP、sfxrar等,如下圖,幾乎每個RDPMiner使用的惡意程序都加了上述三種殼之一。 此外,挖礦團伙使用的惡意腳本往往也經(jīng)過各種混淆。如下圖,JBossMiner挖礦僵尸網(wǎng)絡在其vbs惡意腳本中進行混淆加密。 盡管人工分析時可以通過多種手段去混淆或解密,但加密和混淆對逃避殺毒軟件而言,仍是非常有效的手段。 惡意挖礦團伙使用自己的錢包地址連接公開礦池,可能因為礦池收到投訴導致錢包地址被封禁。挖礦團伙傾向于更多的使用礦池代理或私搭礦池的方式進行挖礦。進而安全研究人員也難以通過礦池公布的HashRate和付款歷史估算出被入侵主機的數(shù)量和規(guī)模。 三、主流團伙概述1. DDG挖礦團伙從2017年底首次被曝光至今,DDG挖礦僵尸網(wǎng)絡一直保持著極高的活躍度。其主要惡意程序由go語言寫成,客觀上對安全人員研究分析造成了一定阻礙。而頻繁的程序配置改動、技術(shù)手段升級,使它堪稱2018年危害最大的挖礦僵尸網(wǎng)絡。 DDG(3019)各模塊結(jié)構(gòu)功能 2. 8220挖礦團伙在諸多挖礦僵尸網(wǎng)絡中,8220團伙的挖礦木馬獨樹一幟,因為它并未采用蠕蟲型傳播,而是直接對漏洞進行利用。 這種方式理論上傳播速度較慢,相較于蠕蟲型傳播的僵尸網(wǎng)絡也更難存活,但8220挖礦團伙仍以這種方式獲取了較大的感染量。 挖礦網(wǎng)絡結(jié)構(gòu) 3. Mykings(theHidden)挖礦團伙Mykings(又名theHidden“隱匿者”)挖礦網(wǎng)絡在2017年中就被多家友商提及并報道。它從2014年開始出現(xiàn),時至今日該僵尸網(wǎng)絡依然活躍,可以說是擁有非常旺盛的生命力。該僵尸網(wǎng)絡極為復雜,集成了Mirai、Masscan等惡意程序的功能,此外在payload、BypassUAC部分都使用極其復雜的加密混淆技術(shù),掩蓋攻擊意圖,逃避安全軟件的檢測和安全研究人員的分析。該挖礦僵尸網(wǎng)絡在11月底更是被發(fā)現(xiàn)與“暗云”聯(lián)手,危害性再次增強。 4. Bulehero挖礦團伙5. RDPMiner挖礦團伙該挖礦僵尸網(wǎng)絡自2018年10月開始蔓延,之后多次更換挖礦程序名稱。 6. JbossMiner挖礦團伙阿里云安全團隊于2018年3月報道過,從蜜罐中捕獲到JbossMiner的惡意程序樣本,該樣本由py2exe打包,解包反編譯后是一套由Python編寫的完整攻擊程序,包含源碼及依賴類庫等數(shù)十個文件。且對于Windows和Linux系統(tǒng)的受害主機,有不同的利用程序。 7. WannaMineWannaMine是一個蠕蟲型僵尸網(wǎng)絡。這個挖礦團伙的策略曾被CrowdStrike形容為“靠山吃山靠水吃水”(living off the land),因為惡意程序在被感染的主機上,首先會嘗試通過Mimikatz收集的密碼登錄其他主機,失敗之后再利用“永恒之藍”漏洞攻擊其他主機,進行繁殖傳播。 8. Kworkerd這是一個主要攻擊Redis數(shù)據(jù)庫未授權(quán)訪問漏洞的挖礦僵尸網(wǎng)絡,因其將挖礦程序的名字偽裝成Linux正常進程Kworkerd故得名。 該木馬只利用一種漏洞卻仍有不少感染量,說明數(shù)據(jù)庫安全配置亟待得到用戶的重視。 9. DockerKiller隨著微服務的熱度不斷上升,越來越多的企業(yè)選擇容器來部署自己的應用。而Docker作為實現(xiàn)微服務首選容器,在大規(guī)模部署的同時其安全性卻沒有引起足夠的重視。2018年8月,Docker配置不當導致的未授權(quán)訪問漏洞遭到挖礦團伙的批量利用。 四、安全建議如今盡管幣價低迷,但由于經(jīng)濟形勢承受下行的壓力,可能為潛在的犯罪活動提供誘因。阿里云預計,2019年挖礦活動數(shù)量仍將處于較高的水位;且隨著挖礦和漏洞利用相關(guān)知識的普及,惡意挖礦的入場玩家可能趨于穩(wěn)定且伴有少量增加。 基于這種狀況,阿里云安全團隊為企業(yè)和個人提供如下安全建議:
以下是報告部分內(nèi)容,復制此鏈接到瀏覽器可下載報告完整版:點我查看 |