挖礦木馬為什么會(huì)成為病毒木馬的中流砥柱???
時(shí)間:
伯超1226由 分享
挖礦木馬為什么會(huì)成為病毒木馬的中流砥柱???
一、概述根據(jù)情報(bào)中心監(jiān)測(cè)數(shù)據(jù),2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬(wàn)級(jí)別,且上半年呈現(xiàn)快速增長(zhǎng)趨勢(shì),下半年上漲趨勢(shì)有所減緩。由于挖礦的收益可以通過(guò)數(shù)字加密貨幣系統(tǒng)結(jié)算,使黑色產(chǎn)業(yè)變現(xiàn)鏈條十分方便快捷,少了中間商(洗錢團(tuán)伙)賺差價(jià)。數(shù)字加密幣交易系統(tǒng)的匿名性,給執(zhí)法部門的查處工作帶來(lái)極大難度。
在過(guò)去的2018年,挖礦病毒的流行程度已遠(yuǎn)超游戲盜號(hào)木馬、遠(yuǎn)程控制木馬、網(wǎng)絡(luò)劫持木馬、感染型病毒等等傳統(tǒng)病毒。以比特幣為代表的虛擬加密幣經(jīng)歷了過(guò)山車行情,許多礦場(chǎng)倒閉,礦機(jī)跌落到輪斤賣的地步。但即使幣值已大幅下跌,挖礦木馬也未見減少。因?yàn)榭刂扑说娜怆u電腦挖礦,成本為零。
當(dāng)電腦運(yùn)行挖礦病毒時(shí),計(jì)算機(jī)CPU、GPU資源占用會(huì)上升,電腦因此變得卡慢,如果是筆記本電腦,會(huì)更容易觀察到異常:比如電腦發(fā)燙、風(fēng)扇轉(zhuǎn)速增加,電腦噪聲因此增加,電腦運(yùn)行速度也因此變慢。但是也有挖礦木馬故意控制挖礦時(shí)占用的CPU資源在一定范圍內(nèi),并且設(shè)置為檢測(cè)到任務(wù)管理器時(shí),將自身退出的特性,以此來(lái)減少被用戶發(fā)現(xiàn)的幾率。
根據(jù)情報(bào)中心監(jiān)測(cè)數(shù)據(jù),2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬(wàn)級(jí)別,且全年呈現(xiàn)增長(zhǎng)趨勢(shì)。
我們對(duì)2018年挖礦病毒樣本進(jìn)行歸類,對(duì)挖礦木馬使用的端口號(hào)、進(jìn)程名、礦池的特點(diǎn)進(jìn)行統(tǒng)計(jì),發(fā)現(xiàn)以下特點(diǎn):
挖礦木馬最偏愛的端口號(hào)依次為3333、8008、8080。
挖礦木馬喜歡將自身進(jìn)程名命名為系統(tǒng)進(jìn)程來(lái)迷惑用戶,除了部分挖礦進(jìn)程直接使用xxxminer外,最常使用的進(jìn)程名為windows系統(tǒng)進(jìn)程名:svchost.exe以及csrss.exe。
挖礦木馬連接礦池挖礦,從礦池獲取任務(wù),計(jì)算后將任務(wù)提交到礦池。礦工將自己的礦機(jī)接入礦池,貢獻(xiàn)自己的算力共同挖礦,共享收益。2018年挖礦木馬應(yīng)用最廣泛的礦池為f2pool.com,其次為minexmr.com。
二、2018年挖礦木馬傳播特點(diǎn)
1.瞄準(zhǔn)游戲高配機(jī),高效率挖礦
輔助外掛是2018年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對(duì)電腦性能要求較高,不法分子瞄準(zhǔn)游戲玩家電腦,相當(dāng)于找到了性能“絕佳”的挖礦機(jī)器。
案例1:tlMiner挖礦木馬利用《絕地求生》玩家的高配置機(jī)器,搭建挖礦集群
2017年年底殺毒軟件發(fā)現(xiàn)一款名為“tlMiner”的挖礦木馬,隱藏在《絕地求生》輔助程序中進(jìn)行傳播,單日影響機(jī)器量最高可達(dá)20萬(wàn)臺(tái)。經(jīng)溯源分析發(fā)現(xiàn),該木馬在2017年12月8號(hào)輔助新版發(fā)布后開始植入輔助工具,其間有過(guò)停用,但巨大的利益驅(qū)使不法分子在12月25號(hào)重新開放輔助及挖礦功能。
2018年1月殺毒軟件對(duì)tlMiner挖礦行為及傳播來(lái)源進(jìn)行曝光,隨即在3月份配合守護(hù)者計(jì)劃安全團(tuán)隊(duì),協(xié)助山東警方快速打擊木馬作者,并在4月初打掉這個(gè)鏈條頂端的黑產(chǎn)公司。據(jù)統(tǒng)計(jì),該團(tuán)伙合計(jì)挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級(jí)現(xiàn)金)、BCD(比特幣鉆石)等各種數(shù)字加密貨幣超過(guò)2000萬(wàn)枚,非法獲利逾千萬(wàn)。
案例2:藏身《荒野行動(dòng)》輔助的挖礦木馬
2018年2月,殺毒軟件發(fā)現(xiàn)一款門羅幣挖礦木馬藏身在上百款《荒野行動(dòng)》輔助二次打包程序中傳播,并在2月中下旬通過(guò)社交群、網(wǎng)盤等渠道傳播,出現(xiàn)明顯上漲趨勢(shì)。
2018年6月,致力于傳播勒索病毒的病毒作者xiaoba也盯上了《荒野求生》輔助外掛,在網(wǎng)站xiaobaruanjian.xyz上提供荒野行動(dòng)游戲輔助,并將挖礦木馬等植入其中。一旦從該網(wǎng)站下載運(yùn)行所謂的吃雞輔助,電腦CPU會(huì)被大量占用挖礦。
如果碰巧遇到中毒電腦有比特幣、以太坊交易,xiaoba挖礦木馬還會(huì)監(jiān)視剪切板,當(dāng)中毒電腦上發(fā)生比特幣、以太坊幣交易時(shí),病毒會(huì)在交易瞬間將收款人地址替換為自己的,從而實(shí)現(xiàn)加密貨幣交易搶劫。
案例3:通殺游戲外掛的520Miner挖礦木馬
2018年5月情報(bào)中心感知到一款名為“520Miner”的挖礦木馬。由于520Miner僅能使用CPU挖取VIT幣,對(duì)電腦性能要求不高,所有個(gè)人PC機(jī)都能參與,因此520Miner挖礦團(tuán)伙通過(guò)游戲外掛傳播挖礦木馬,在上線短短兩天,就感染了國(guó)內(nèi)數(shù)千臺(tái)機(jī)器。然而從收益來(lái)看,木馬在幾天內(nèi)總共挖取67枚VIT幣,總價(jià)值不到一毛錢人民幣,可以說(shuō)是史上最能窮折騰的挖礦木馬。
2.應(yīng)用獨(dú)特技術(shù)逃避攔截
案例1:“美人蝎”礦工通過(guò)DNS隧道技術(shù)逃避攔截
2018年5月情報(bào)中心感知到一款挖礦木馬,其隱藏在美女圖片當(dāng)中,利用圖片加密傳遞礦池相關(guān)信息,因此得名為“美人蝎”挖礦木馬。該木馬控制超過(guò)2萬(wàn)臺(tái)肉雞電腦,分配不同的肉雞集群挖不少于4種數(shù)字加密幣:BCX(比特?zé)o限),XMR(門羅幣),BTV(比特票),SC(云儲(chǔ)幣)等。
木馬特點(diǎn)還在于通過(guò)DNS隧道返回的信息來(lái)獲取隱蔽的C2信息。首先通過(guò)DNS協(xié)議訪問(wèn)一級(jí)C2,第一級(jí)C2服務(wù)器會(huì)回應(yīng)一段text串,解密后得到二級(jí)C2地址,DNS協(xié)議是建立在UDP協(xié)議之上,同時(shí)又是系統(tǒng)級(jí)協(xié)議,很少有殺軟會(huì)偵測(cè)DNS數(shù)據(jù)是否異常。
3.挖礦木馬版本快速升級(jí)
案例1:Apache Struts2高危漏洞致企業(yè)服務(wù)器被入侵安裝KoiMiner挖礦木馬
2018年7月情報(bào)中心發(fā)現(xiàn)有黑客利用攻擊工具檢測(cè)網(wǎng)絡(luò)上存在Apache struts2漏洞(CVE-2017-5638)服務(wù)器,發(fā)現(xiàn)存在漏洞的機(jī)器后通過(guò)遠(yuǎn)程執(zhí)行各類指令進(jìn)行提權(quán)、創(chuàng)建賬戶、系統(tǒng)信息搜集,然后將木馬下載器植入,進(jìn)而利用其下載挖礦木馬netxmr4.0.exe。
由于挖礦木馬netxmr解密代碼后以模塊名“koi”加載,因此將其命名為KoiMiner。
通過(guò)多個(gè)相似樣本進(jìn)行對(duì)比,發(fā)現(xiàn)木馬作者在一個(gè)月內(nèi)更新發(fā)布了4個(gè)挖礦木馬版本。
簡(jiǎn)單介紹下變化較大的兩個(gè)版本:
版本1:
2018年11月情報(bào)中心發(fā)現(xiàn)KoiMiner挖礦木馬變種,該變種的挖礦木馬已升級(jí)到6.0版本,木馬作者對(duì)部分代碼加密的方法來(lái)對(duì)抗研究人員調(diào)試分析,木馬專門針對(duì)企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊,攻擊成功后植入挖礦木馬,并且繼續(xù)下載SQL爆破工具進(jìn)行蠕蟲式傳播。
版本2:
2018年12月情報(bào)中心再次檢測(cè)到KoiMiner活動(dòng),此次的樣本仍然專門針對(duì)企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊,攻擊成功后會(huì)首先植入Zegost遠(yuǎn)程控制木馬(知名遠(yuǎn)控木馬Gh0st的修改版本,安裝后會(huì)導(dǎo)致服務(wù)器被黑客完全控制),控制機(jī)器進(jìn)一步植入挖礦木馬。 黑客攻擊時(shí)使用的SQL爆破工具CSQL.exe加密方法與7月發(fā)現(xiàn)的樣本一致,解密后以模塊名“koi”加載執(zhí)行。
通過(guò)SQL爆破工具的解壓路徑“1433騰龍3.0”進(jìn)行溯源,發(fā)現(xiàn)與攻擊事件相關(guān)聯(lián)的一個(gè)黑客技術(shù)論壇(騰龍技術(shù)論壇),并通過(guò)信息對(duì)比確認(rèn)相關(guān)的論壇活躍成員“*aoli**22”,論壇傳播的挖礦木馬生成器“SuperMiner v1.3.6”,以及該成員注冊(cè)C2域名使用的姓名和電話號(hào)碼。
4.暴力入侵多家醫(yī)院,威脅醫(yī)療系統(tǒng)信息安全
案例:多家三甲醫(yī)院服務(wù)器遭暴力入侵,黑客趕走50余款挖礦木馬獨(dú)享挖礦資源
醫(yī)療業(yè)務(wù)系統(tǒng)正在快速實(shí)現(xiàn)信息化,醫(yī)療業(yè)務(wù)系統(tǒng)成為黑客攻擊的重點(diǎn)。2018年7月情報(bào)中心檢測(cè)到多家三甲醫(yī)院服務(wù)器被黑客入侵,攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù),之后利用有道筆記的分享文件功能下載多種挖礦木馬。
攻擊者將挖礦木馬偽裝成遠(yuǎn)程協(xié)助工具Teamviewer運(yùn)行,并且挖礦木馬會(huì)檢測(cè)多達(dá)50個(gè)常用挖礦程序的進(jìn)程,將這些程序結(jié)束進(jìn)程后獨(dú)占服務(wù)器資源挖礦。木馬還會(huì)通過(guò)修改注冊(cè)表,破壞操作系統(tǒng)安全功能:禁用UAC(用戶帳戶控制)、禁用Windows Defender,關(guān)閉運(yùn)行危險(xiǎn)程序時(shí)的打開警告等等。已知樣本分析發(fā)現(xiàn),攻擊者使用的挖礦木馬擁有多個(gè)礦池,開挖的山寨加密幣包括:門羅幣(XMR)、以太坊(ETH)、零幣(ZEC)等等,從礦池信息看,目前攻擊者已累積獲利達(dá)40余萬(wàn)元人民幣。
5.應(yīng)用NSA武器攻擊,木馬、蠕蟲狼狽為奸
自從NSA武器庫(kù)工具泄露以來(lái),一直倍受黑客垂青,該工具包經(jīng)過(guò)簡(jiǎn)單的修改利用便可達(dá)到蠕蟲式傳播病毒的目的。2018年情報(bào)中心發(fā)現(xiàn)大量的挖礦木馬團(tuán)伙應(yīng)用NSA武器庫(kù)工具傳播挖礦木馬,這使挖礦木馬擁有蠕蟲病毒的傳播能力。
案例1:精通NSA十八般兵器的NSAFtpMiner感染約3萬(wàn)臺(tái)電腦
2018年9月情報(bào)中心發(fā)現(xiàn)黑客通過(guò)1433端口爆破入侵SQL Server服務(wù)器,再植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù),然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦。隨后,黑客還會(huì)下載NSA武器攻擊工具在內(nèi)網(wǎng)中攻擊擴(kuò)散,若攻擊成功,會(huì)繼續(xù)在內(nèi)網(wǎng)機(jī)器上安裝該遠(yuǎn)程控制木馬。
木馬加載的攻擊模塊幾乎使用了NSA武器庫(kù)中的十八般武器:
Eternalblue(永恒之藍(lán))、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等漏洞攻擊工具均被用來(lái)進(jìn)行內(nèi)網(wǎng)攻擊,攻擊主進(jìn)程偽裝成“Ftp系統(tǒng)核心服務(wù)”,還會(huì)利用FTP功能進(jìn)行內(nèi)網(wǎng)文件更新。其攻擊內(nèi)網(wǎng)機(jī)器后,植入遠(yuǎn)程控制木馬,并繼續(xù)從C2地址下載挖礦和攻擊模塊,進(jìn)行內(nèi)網(wǎng)擴(kuò)散感染。
案例2:NSABuffMiner挖礦木馬霸占某校園服務(wù)器,非法獲利115萬(wàn)元
2018年9月情報(bào)中心接到用戶反饋,某學(xué)校內(nèi)網(wǎng)水卡管理服務(wù)器被植入名為rundllhost.exe的挖礦木馬。分析后發(fā)現(xiàn)該木馬是NSASrvanyMiner挖礦木馬的變種,此木馬同樣利用NSA武器工具在內(nèi)網(wǎng)攻擊傳播,而該服務(wù)器存在未修復(fù)的ms17-010漏洞,因此受到攻擊被利用挖礦。查詢NSABuffMiner挖礦木馬使用錢包信息,發(fā)現(xiàn)該錢包累計(jì)挖礦收益高達(dá)115萬(wàn)元人民幣。
案例3:ZombieboyMiner(僵尸男孩礦工)控制7萬(wàn)臺(tái)電腦挖門羅幣
2018年10月情報(bào)中心檢測(cè)到利用ZombieboyTools傳播的挖礦木馬家族最新活動(dòng)。木馬對(duì)公開的黑客工具ZombieboyTools(集成NSA攻擊模塊)進(jìn)行修改,然后將其中的NSA攻擊模塊進(jìn)行打包利用,對(duì)公網(wǎng)以及內(nèi)網(wǎng)IP進(jìn)行攻擊,并在中招機(jī)器執(zhí)行Payload進(jìn)一步植入挖礦、RAT(遠(yuǎn)程訪問(wèn)控制)木馬。
通過(guò)對(duì)比確認(rèn)從2017年9月以來(lái)多家廠商發(fā)布的Zombieboy攻擊事件以及友商發(fā)布的NSASrvanyMiner攻擊事件為同一團(tuán)伙,因此我們將該團(tuán)伙命名為ZombieboyMiner。情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),ZombieboyMiner(僵尸男孩礦工)木馬出現(xiàn)近一年來(lái),已感染超過(guò)7萬(wàn)臺(tái)電腦,監(jiān)測(cè)數(shù)據(jù)表明該病毒非?;钴S。
6.同時(shí)針對(duì)多個(gè)平臺(tái)進(jìn)行攻擊、植入不同版本的挖礦木馬
2018年11月御見威脅情報(bào)中心發(fā)現(xiàn)一個(gè)雙平臺(tái)挖礦木馬,該木馬具有Windows和Android雙平臺(tái)版本,在中毒電腦和手機(jī)上運(yùn)行門羅幣挖礦程序。其Windows版本使用有合法數(shù)字簽名的文件借助游戲下載站傳播,木馬的Android版本則偽裝成Youtube視頻播放器,當(dāng)中毒用戶在手機(jī)上看Youtube視頻時(shí),病毒會(huì)在后臺(tái)運(yùn)行門羅幣挖礦程序,從而令手機(jī)發(fā)熱增加,續(xù)航縮短。
2018年12月御見威脅情報(bào)中心通過(guò)蜜罐系統(tǒng)部發(fā)現(xiàn)了利用Aapche Struts2-045(CVE-2017-5638)漏洞攻擊Linux服務(wù)器,并通過(guò)計(jì)劃任務(wù)植入的挖礦木馬。并通過(guò)進(jìn)一步分析發(fā)現(xiàn)了針對(duì)Windows系統(tǒng)和Linux系統(tǒng)進(jìn)行攻擊的挖礦木馬,且不同平臺(tái)的挖礦木馬最終均使用了相同的礦池及錢包。
7.利用網(wǎng)頁(yè)掛馬,大范圍傳播
挖礦木馬的傳播渠道不限于通過(guò)偽裝成電腦軟件下載,還普遍采用了網(wǎng)頁(yè)掛馬這種最高效率的傳播方式,而以往利用網(wǎng)頁(yè)掛馬傳播最多的是盜號(hào)木馬。
案例1:廣告聯(lián)盟的分發(fā)系統(tǒng)被掛馬,傳播挖礦木馬等病毒
2018年4月12日,情報(bào)中心監(jiān)測(cè)到國(guó)內(nèi)一起大規(guī)模的網(wǎng)頁(yè)掛馬事件。當(dāng)天包括多款知名播放器軟件、視頻網(wǎng)站客戶端、常見的工具軟件在內(nèi)的50余款用戶量千萬(wàn)級(jí)別的電腦軟件遭遇大規(guī)模網(wǎng)頁(yè)掛馬攻擊。
攻擊者將攻擊代碼通過(guò)某廣告聯(lián)盟的系統(tǒng)主動(dòng)分發(fā)帶毒頁(yè)面,而這個(gè)帶毒頁(yè)面被內(nèi)嵌在50余款千萬(wàn)級(jí)別用戶群的常用軟件中,這些用戶的電腦一開機(jī)會(huì)主動(dòng)連網(wǎng)下載廣告資源,電腦會(huì)因此下載若干個(gè)病毒,其中就包括挖礦病毒。殺毒軟件當(dāng)天攔截超過(guò)20萬(wàn)次病毒下載。
案例2:色情網(wǎng)站被掛馬,利用Flash高危安全漏洞植入挖礦木馬
此外,情報(bào)中心還監(jiān)測(cè)到一款挖礦病毒感染量異常增高,經(jīng)病毒溯源分析發(fā)現(xiàn),受害者電腦上的挖礦木馬均來(lái)自某些打著“人體藝術(shù)”旗號(hào)的色情網(wǎng)站。
當(dāng)網(wǎng)民瀏覽這些網(wǎng)站時(shí),由于部分系統(tǒng)存在Flash高危安全漏洞,打開網(wǎng)頁(yè)會(huì)立刻中毒。之后,受害者電腦便會(huì)運(yùn)行挖礦代碼,電腦淪為一名礦工。攻擊者會(huì)控制大量礦工電腦集中算力挖礦,并以此牟利。
8.入侵控制企業(yè)服務(wù)器,組建僵尸網(wǎng)絡(luò)云上挖礦
隨著各種數(shù)字加密貨幣的挖礦難度越來(lái)越大,通過(guò)普通用戶的個(gè)人電腦難以實(shí)現(xiàn)利益最大化。而實(shí)施短時(shí)間內(nèi)的大范圍挖礦,除了網(wǎng)頁(yè)掛馬,最普遍的作法就是控制肉雞電腦組建僵尸網(wǎng)絡(luò)挖礦。服務(wù)器性能強(qiáng)、24小時(shí)在線的特征,吸引更多不法礦工將攻擊目標(biāo)轉(zhuǎn)向企業(yè)、政府機(jī)構(gòu)、事業(yè)單位的服務(wù)器實(shí)現(xiàn)云上挖礦。
情報(bào)中心就發(fā)現(xiàn)一個(gè)感染量驚人的黃金礦工“PhotoMiner木馬”,該木馬2016年首次被發(fā)現(xiàn),該木馬通過(guò)入侵感染FTP服務(wù)器和SMB服務(wù)器,該木馬2016年首次被發(fā)現(xiàn),通過(guò)入侵感染FTP服務(wù)器和SMB服務(wù)器暴力破解來(lái)擴(kuò)大傳播范圍。查詢木馬控制的門羅幣錢包地址,發(fā)現(xiàn)該木馬控制肉雞電腦挖到8萬(wàn)枚門羅幣,挖礦累計(jì)收益達(dá)到驚人的8900萬(wàn)人民幣,成為名副其實(shí)的“黃金礦工”。
9.網(wǎng)頁(yè)挖礦:在正常網(wǎng)頁(yè)插入挖礦代碼,利用瀏覽器挖礦
由于殺毒軟件的存在,挖礦木馬文件一落地到用戶電腦就可能被攔截,不利于擴(kuò)大挖礦規(guī)模,一部分攻擊者采用新的挖礦方式實(shí)施網(wǎng)頁(yè)挖礦。通過(guò)大規(guī)模入侵存在安全漏洞的網(wǎng)站,在網(wǎng)頁(yè)中植入挖礦代碼。訪客電腦只要瀏覽器訪問(wèn)到這個(gè)網(wǎng)頁(yè),就會(huì)淪為礦工。
案例1:JS挖礦機(jī)利用廣告分發(fā)平臺(tái),大規(guī)模攻擊江蘇湖南網(wǎng)民
2018年1月情報(bào)中心發(fā)現(xiàn)一廣告分發(fā)平臺(tái)被惡意嵌入挖礦JavaScript腳本,該挖礦攻擊在江蘇、湖南地區(qū)集中爆發(fā)。挖礦頁(yè)面單日訪問(wèn)量近百萬(wàn)次,中招機(jī)器CPU資源被占用90%以上,直接影響系統(tǒng)運(yùn)行。
此次惡意JavaScript代碼存放在國(guó)內(nèi)某電商平臺(tái)服務(wù)器上。頁(yè)面中導(dǎo)入惡意JS腳本為Coinhive JavaScript Miner代碼,該代碼基于CryptoNight挖礦算法,挖取數(shù)字加密貨幣—門羅幣。
此外,為了不被輕易發(fā)現(xiàn),該挖礦腳本僅在非IE瀏覽器內(nèi)運(yùn)行,并通過(guò)Math.random()設(shè)置50%的啟動(dòng)概率。這就意味著,當(dāng)用戶發(fā)現(xiàn)電腦卡頓、CPU占用率過(guò)高,懷疑有惡意程序運(yùn)行進(jìn)而進(jìn)行確認(rèn)時(shí),挖礦環(huán)境并不一定重現(xiàn)。
案例2:C0594組織惡意挖礦攻擊,攻陷數(shù)千個(gè)網(wǎng)站植入JS挖礦腳本
2018年4月情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn),包括傳統(tǒng)企業(yè)、互聯(lián)網(wǎng)公司、學(xué)校和政府機(jī)構(gòu)等在內(nèi)的多個(gè)網(wǎng)站網(wǎng)頁(yè)被植入挖礦JS腳本。經(jīng)分析,該批站點(diǎn)中的核心JS文件被注入惡意代碼,通過(guò)請(qǐng)求同一個(gè)腳本文件(http[:]//a.c0594.com/?e=5),加載另一個(gè)腳本文件(http[:]//a.c0594.com/?js=1)提供的CoinHive挖礦代碼,從而在用戶機(jī)器上執(zhí)行挖礦。
案例3:使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭遇大規(guī)模JS挖礦攻擊
2018年5月情報(bào)中心監(jiān)測(cè)到,大批使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭到JS挖礦攻擊。經(jīng)分析,受攻擊網(wǎng)站所使用的Drupal系統(tǒng)為存在CVE-2018-7600遠(yuǎn)程代碼執(zhí)行漏洞的較低版本。黑客利用Drupal系統(tǒng)漏洞將混淆后的挖礦JS注入到網(wǎng)站代碼中進(jìn)行挖礦。
網(wǎng)頁(yè)JS挖礦分布
2018年在感染JS挖礦程序的網(wǎng)站類型中,色情網(wǎng)站占比最高,其次是博彩網(wǎng)站、小說(shuō)網(wǎng)站和視頻網(wǎng)站。其中用戶在網(wǎng)站上觀看視頻或閱讀時(shí)停留時(shí)間較長(zhǎng),黑客利用這些網(wǎng)站進(jìn)行挖礦,可以獲取持續(xù)的收益。
三、挖礦僵尸網(wǎng)絡(luò)
僵尸網(wǎng)絡(luò)通過(guò)多種攻擊方法傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī),從而形成龐大的受控集群,接收同一個(gè)個(gè)木馬控制端的指令完成相應(yīng)的行為。挖礦木馬變得流行起來(lái)后,許多大型僵尸網(wǎng)絡(luò)也開始將挖礦作為其系統(tǒng)功能的一部分,從而更快地獲取收益。2018年活躍的挖礦僵尸網(wǎng)絡(luò)包括MyKings,WannaMiner等。
1.MyKings
Mykings僵尸網(wǎng)絡(luò)是目前發(fā)現(xiàn)的最復(fù)雜的僵尸網(wǎng)絡(luò)之一,其攻擊手段主要為“永恒之藍(lán)”漏洞利用,SQL Server密碼爆破等,并在失陷主機(jī)植入挖礦模塊,遠(yuǎn)程控制模塊,以及掃描攻擊模塊進(jìn)行蠕蟲式傳播。
2018年5月御見威脅情報(bào)中心監(jiān)測(cè)到MyKings僵尸網(wǎng)絡(luò)開始傳播新型挖礦木馬,該木馬利用Windows 系統(tǒng)下安裝程序制作程序NSIS的插件和腳本功能實(shí)現(xiàn)了挖礦木馬的執(zhí)行、更新和寫入啟動(dòng)項(xiàng),同時(shí)該木馬的NSIS腳本還具備通過(guò)SMB爆破進(jìn)行局域網(wǎng)傳播的能力。
2018年12月御見威脅情報(bào)中心發(fā)現(xiàn)Mykings僵尸網(wǎng)絡(luò)攻擊方式升級(jí),在其攻擊模塊中集成永恒之藍(lán)漏洞、閉路電視物聯(lián)網(wǎng)設(shè)備漏洞、MySQL漏洞攻擊以及RDP爆破、Telnet爆破弱口令爆破等多種攻擊方式。并且首次發(fā)現(xiàn)其使用“暗云”木馬感染器感染機(jī)器MBR,感染后payload會(huì)下載配置文件執(zhí)行主頁(yè)鎖定和挖礦功能。
2.WannaMiner
2018年3月情報(bào)中心監(jiān)控到有攻擊者利用“永恒之藍(lán)”漏洞,傳播一種門羅幣挖礦木馬WannaMiner。WannaMiner木馬將染毒機(jī)器構(gòu)建成一個(gè)健壯的僵尸網(wǎng)絡(luò),還支持內(nèi)網(wǎng)病毒自更新,并且以一種相對(duì)低調(diào)的獲利方式“挖礦”來(lái)長(zhǎng)期潛伏。
盡管早在2017.5月WannaCry事件爆發(fā)時(shí),很多機(jī)器已經(jīng)在安全軟件幫助下安裝了相應(yīng)補(bǔ)丁。但本次WannaMiner攻擊事件揭示,仍有部分企事業(yè)單位未安裝補(bǔ)丁或者部署防護(hù)類措施。由于其在內(nèi)網(wǎng)傳播過(guò)程中通過(guò)SMB進(jìn)行內(nèi)核攻擊,可能造成企業(yè)內(nèi)網(wǎng)大量機(jī)器出現(xiàn)藍(lán)屏現(xiàn)象。
2018年11月情報(bào)中心發(fā)現(xiàn)WannaMiner最新變種攻擊,該變種病毒利用永恒之藍(lán)漏洞在企業(yè)內(nèi)網(wǎng)快速傳播。變種的主要變化為,漏洞攻擊成功后釋放的母體文件由壓縮包變?yōu)樘厥飧袷降募用芪募?,因此木馬在使用該文件時(shí)由簡(jiǎn)單的解壓變?yōu)榻饷?,特殊的加密方式給殺軟查殺造成了一定難度。
四、2018年挖礦木馬典型事件
五、幣圈疲軟,挖礦木馬還有未來(lái)嗎?
數(shù)字加密貨幣在2018年經(jīng)歷了持續(xù)暴跌,比特幣已從去年年底的2萬(wàn)美元,跌至現(xiàn)在不足4000美元,通過(guò)“炒幣”暴富的希望似乎越來(lái)越渺茫,但這并沒有影響挖礦木馬的熱度,相對(duì)于投資礦機(jī)來(lái)說(shuō),控制肉雞電腦挖礦成本為0。
而從2018年的挖礦木馬事件中發(fā)現(xiàn),挖礦木馬可選擇的幣種越來(lái)越多,設(shè)計(jì)越來(lái)越復(fù)雜,隱藏也越來(lái)越深,因此我們認(rèn)為2019年挖礦木馬仍會(huì)持續(xù)活躍,與殺毒軟件的對(duì)抗也會(huì)愈演愈烈。除非幣圈持續(xù)爆跌到一文不值,挖礦黑產(chǎn)才會(huì)有新的變化。
綜合分析,我們估計(jì)2019年,挖礦木馬產(chǎn)業(yè)會(huì)有以下特點(diǎn):
(1)利用多種攻擊方法,短時(shí)間快速傳播
漏洞利用攻擊是木馬傳播的重要手段之一,挖礦木馬將受害者機(jī)器作為新的攻擊源,對(duì)系統(tǒng)中的其他機(jī)器進(jìn)行掃描攻擊,達(dá)到迅速傳播的效果,例如WannaMiner挖礦木馬的爆發(fā),幾天之內(nèi)可以達(dá)到感染數(shù)萬(wàn)臺(tái)設(shè)備,如何快速響應(yīng)和阻止此類木馬是安全廠商面臨的考驗(yàn)。
(2)針對(duì)服務(wù)器攻擊,企業(yè)用戶受威脅
企業(yè)設(shè)備上往往運(yùn)行著數(shù)量龐大的應(yīng)用程序,例如提供對(duì)外訪問(wèn)的web服務(wù),對(duì)企業(yè)內(nèi)部提供的遠(yuǎn)程登錄服務(wù)等,這些服務(wù)作為企業(yè)服務(wù)的一個(gè)窗口,也成為了不法份子瞄準(zhǔn)的弱點(diǎn)。一旦入侵內(nèi)網(wǎng),再利用大量廉價(jià)的攻擊工具可以快速組成挖礦僵尸網(wǎng)絡(luò)。
例如對(duì)服務(wù)器遠(yuǎn)程登錄端口爆破,利用服務(wù)器組件攻擊傳播的挖礦木馬攻擊,未來(lái)需要更加有效的解決方案。
(3)隱藏技術(shù)更強(qiáng),與安全軟件對(duì)抗愈加激烈
病毒發(fā)展至今,PC機(jī)上隱藏技術(shù)最強(qiáng)的無(wú)疑是Bootkit/Rootkit類病毒,這類木馬編寫復(fù)雜,各模塊設(shè)計(jì)精密,可直接感染磁盤引導(dǎo)區(qū)或系統(tǒng)內(nèi)核,其權(quán)限視角與殺軟平行,屬于頑固難清除的一類病毒,可以最大限度在受害電腦系統(tǒng)中存活。
例如在2018年12月發(fā)現(xiàn)的Mykings木馬最新變種,加入了“暗云”MBR感染功能,通過(guò)修改系統(tǒng)系統(tǒng)啟動(dòng)引導(dǎo)扇區(qū)加載挖礦模塊,使得其難以徹底清除。2019年數(shù)字加密貨幣安全形勢(shì)依然嚴(yán)峻,挖礦木馬的隱藏對(duì)抗或?qū)⒏蛹ち摇?br/> 六、針對(duì)挖礦木馬的應(yīng)對(duì)措施
1、 不要下載來(lái)歷不明的軟件,謹(jǐn)慎使用破解工具、游戲輔助工具。
2、 及時(shí)安裝系統(tǒng)補(bǔ)丁,特別是微軟發(fā)布的高危漏洞補(bǔ)丁。
3、 服務(wù)器使用安全的密碼策略 ,使用高強(qiáng)度密碼,切勿使用弱口令,防止黑客暴力破解。
4、 企業(yè)用戶及時(shí)修復(fù)服務(wù)器組件漏洞,包括但不限于以下類型:
Apache Struts2漏洞、WebLogic XMLDecoder反序列化漏洞、Drupal的遠(yuǎn)程任意代碼執(zhí)行漏洞、JBoss反序列化命令執(zhí)行漏洞、Couchdb的組合漏洞、Redis未授權(quán)訪問(wèn)漏洞、Hadoop未授權(quán)訪問(wèn)漏洞;
5、監(jiān)測(cè)設(shè)備的CPU、GPU占用情況,發(fā)現(xiàn)異常程序及時(shí)清除,部署更完善的安全防御系統(tǒng)。個(gè)人電腦使用殺毒軟件仍是明智之舉。
病毒知識(shí)相關(guān)文章:
4.有關(guān)電腦病毒和進(jìn)程的七點(diǎn)知識(shí)
5.殺死電腦病毒