欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

《2019年云上挖矿僵尸网络趋势报告》首发:挖矿木马全面蠕虫化

来源:本站整理 作者:佚名 时间:2020-02-10 TAG: 我要投稿

挖矿木马是一类利用漏洞入侵计算机,并植入挖矿软件挖掘加密数字货币牟利的木马,被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、业务服务无法正常使用等情况。挖矿木马为了能够长期在服务器中驻留,会采用多种安全对抗技术,如修改计划任务、防火墙配置、系统动态链接库等,这些技术手段严重时可能造成服务器业务中断。
挖矿木马最早出现于2012年,加密数字货币价格自2017年开始暴涨,门罗币等匿名币的出现,其不可追踪、抗Asic矿机的特性使得服务器的计算资源变得有利可图。自2018年以来挖矿木马已成为互联网中存在的主要安全威胁。阿里云安全团队长期跟踪和研究挖矿木马,在2019年我们监测到多起挖矿木马的爆发,发现了一些挖矿木马新的发展趋势。本文将依据我们长期的监测数据,对2019年的挖矿木马发展趋势进行分析总结。
核心概要
1.全年共观察到80个成规模的挖矿僵尸网络团伙,Linux服务器为主要的攻击目标;
2.木马投放方式全面蠕虫化,多种漏洞组合攻击成为趋势;
3.挖矿团伙主要利用暴力破解进行传播,弱密码仍然是互联网面临的主要威胁;
4.非Web基础框架/组件不合理的安全配置,成为挖矿木马新型利用方式;
5.挖矿僵尸网络团伙频繁利用热门N-Day漏洞传播,N-Day漏洞留给用户进行修复的窗口期变短;
6.挖矿木马使用的安全对抗技术、资源竞争技术愈加纯熟,这要求企业具备更专业的安全应急响应能力。
整体态势
2019年共发现80个成规模的挖矿木马团伙,以累积感染量定义木马活跃度,下图/表是活跃TOP10的木马家族及简介。从受害者主机的操作系统来看69%为Linux操作系统,31%为Windows操作系统,Top10中的挖矿木马团伙的攻击目标也主要是Linux操作系统。




攻击趋势
1. 挖矿木马全面蠕虫化,漏洞组合攻击是趋势
2019年爆发了多个广泛应用的代码执行漏洞,N-day漏洞爆发后难以在短时间内得到有效修复,往往成为挖矿僵尸网络争夺的”肥肉“,”嗅觉“灵敏的黑产团伙会很快将其纳入挖矿木马的武器库。2019年我们发现多起热门漏洞被挖矿团伙大量利用的事件,下图是部分漏洞从爆发到被利用的时间线。大部分漏洞都在几天到十几天之内被挖矿团伙利用,这对云平台及用户的快速响应能力构成严峻考验。

2. 木马投放方式全面蠕虫化,多种漏洞组合攻击成为趋势
TOP10中的挖矿木马除了8220Miner以外,都采用蠕虫化的投放方式,除了CryptoSink以外全部使用超过2种以上方式进行混合攻击。这意味着挖矿木马的传播能力在大幅增强,变得无孔不入。如果企业的信息系统存在任意可被利用的漏洞,安全边界被突破后内网将会快速沦陷。在这种情况下单点防御已经失效,防御的木桶效应显现,企业需要具备全面的漏洞防御能力。
3. 挖矿团伙主要利用暴力破解进行传播,弱密码仍然是互联网面临的主要威胁
下图是不同应用被入侵导致挖矿的占比,可以发现Redis/SSH/SQLServer/RDP仍然是挖矿利用的主要攻击目标。由于运维人员的安全意识薄弱,弱密码在互联网广泛存在。而暴力破解利用门槛低,成为挖矿木马重要的传播方式。

4. 非Web基础框架/组件不合理的安全配置,成为挖矿木马新型利用方式
近几年大数据、容器等新兴技术开始广泛使用,企业上云后开发/测试环境也部署在云上,但是由于企业欠缺专业的安全人才、技术人员缺乏安全意识,这些服务的配置往往存在安全隐患,如服务暴露在公网上、接口存在无认证/弱口令、存在N-day漏洞等问题。由于这些应用是企业的非核心业务,在安全加固和漏洞修复上投入并不如Web应用,这些应用通常开放在非标端口上或者使用非HTTP协议,局部的安全策略往往是不够的。2018年挖矿木马开始利用大数据、容器组件进行传播,而2019年容器编排、供应链框架/组件开始成为挖矿木马的攻击目标,下表是近两年被挖矿木马广泛利用的非Web基础框架/组件漏洞。

技术趋势
挖矿木马入侵成功后必定希望能够长久稳定的挖掘出虚拟货币,其技术上会采用多种安全对抗技术避免被清除。而面对黑产同行的资源竞争,挖矿木马要生存下去就必须采用多种方式进行竞争。我们观测到2019年挖矿木马使用的安全对抗技术、资源竞争技术愈加纯熟,下面我们会盘点一下挖矿僵尸网络重点使用的安全对抗和资源竞争技术。
1. 安全对抗技术
无文件技术
无文件攻击不需要将恶意软件落地到磁盘,能够躲避杀毒软件的静态扫描,因此难以被杀软查杀,具备更好的隐蔽性。在挖矿僵尸网络中通常使用各种工具(比如Windows的WMI命令行工具wmic.exe)或者脚本编程语言(如PowerShell)提供的API接口访问WMI,来实现无文件攻击。如下是TheHidden使用wmic进行无文件攻击的代码。

[1] [2] [3] [4]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载