挖矿木马到底是什么?非法“挖矿”严重威胁互联网网络安全
2022-3-9 0:00:00浏览量:4315编辑:管理员来源:天畅
随着加密货币市值的一路飙升,利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式。新的挖矿攻击展现出了类似蠕虫的行为,并结合了高级攻击技术,以增加对目标服务器感染的成功率。恶意 JavaScript 通常被注入或植入 Web 服务器,当用户访问网页时,浏览器就会被感染,将他们的计算机变成矿工。
9月4日,工信部官网发布《2018年第二季度网络安全威胁态势分析与工作综述》,指出非法“挖矿”严重威胁互联网网络安全,工信部将组织各相关单位开展木马僵尸、病毒、移动恶意程序等相关恶意程序的专项治理工作。文件显示,第二季度共监测网络安全威胁约1841万个,其中基础电信企业监测约1683万个,网络安全专业机构监测约3万个,重点互联网企业、域名机构和网络安全企业监测约155万个。
目前,网络安全威胁态势呈现以下特点:一方面,部分互联网用户邮箱疑似被控,严重危害用户个人信息安全。第二季度,监测发现近十万个互联网用户邮箱疑似被黑客控制,并用来发送垃圾邮件,相关邮箱的账号和密码很可能已泄露或被窃取,存在被进一步窃密或实施钓鱼攻击的风险。由于所涉邮箱数量较多且密码等重要信息很可能已泄露,邮箱用户的个人信息安全受到严重威胁。另一方面,工业互联网平台和智能设备成为网络威胁的重要目标。据国家工业信息安全发展研究中心监测,第二季度我国境内共有22个工业互联网平台提供服务,针对这些工业互联网平台的、来源于境外的网络攻击事件共有656起,涉及北京、重庆、湖南、内蒙古等地区。
1、黑客入侵后,直接将简单的开源程序及其包含钱包地址等配置的配置文件传入受害机器,然后运行挖矿。2、黑客修改了开源程序,将配置文件,钱包地址等内置在可执行文件中,并有时加了一些简单的壳;钱包地址等配置或有加密,但仍可通过沙盒执行直接获得,但可能获取不全,需要稍稍深入分析一下才可获取全部矿池及钱包地址相关威胁情报。3、基本与传统木马表现相同,“野火烧不尽,春风吹又生”。整体看过去,此种情况下挖矿木马可分为持久化模块与挖矿模块。如果出现多次杀毒都无法杀干净的情况,那就有可能就含有持久化模块。
4、挖矿蠕虫。海青安全实验室监控到两年前的photominerwww.kaifx.cn挖矿还在持续且广泛的传播,该蠕虫依靠弱口令、挂马、社会工程学等手段进行传播。Wanna系列的挖矿蠕虫也是层出不穷,由于ms17- 010 漏洞的广泛传播和利用,Wanna系列挖矿蠕虫其感染性远胜于之前的photominer等挖矿蠕虫。到目前为止,更多的挖矿蠕虫已经转向整合各种漏洞进行传播的性质,相比起之前类似photominer的挖矿蠕虫,危害更大更广。
5、抓鸡挖矿。当计算机被植入远控等后门之后,攻击者通过远控执行命令或直接文件传输挖矿木马进行挖矿。甚至有自动化抓鸡成功后,自动种植挖矿程序进行挖矿。此前出现过的多起redis等挖矿事件,是通过客户机器未授权访问redis认证的问题种植挖矿程序;而在检测了许多机器后,发现并无黑客过多入侵活动痕迹,可能只是恰巧被抓鸡了而已。此外,被藏了后门的破解软件、被劫持的WiFi等统统都可以用来抓肉鸡进行挖矿。6、结合前沿黑客技术在powershell和WMI被大牛们玩得飞起的时候,挖矿木马开始结合沿黑客技术并向其看齐。出现了许多利用WMI和powershell作为辅助模块的挖矿木马。如explorer挖矿木马,其核心模块就是纯粹的powershell脚本,只需要运行这个脚本就会远程下载挖矿模块进行挖矿并进行其他一系列操作。7、网页挖矿木马,网站被攻击者恶意植入了网页挖矿木马,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马的站点页面,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币,这是一种资源盗用攻击。由于网页挖矿木马存在很广的传播面和很不错的经济效益。8、移动设备挖矿木马,不像勒索病毒,移动设备挖矿木马瞄准的目标市场是发展中国家。移动端挖矿木马是一种新型威胁,虽然移动端功率不如传统服务端及个人PC端功率大,但由于用户数量规模巨大,用户安全意识薄弱,仍然不可忽视。除了木马以外,黑客还可能使用矿池。矿池是一个把大家的算力纠合到一起挖矿软件,然后根据大家提供的算力大小来平均分配挖到的币。矿池挖矿的过程是把我们自己电脑的算力提供给矿主,矿主用我们的算力去挖矿,挖到的矿其实是存在矿主的钱包当中,然后矿主再根据我们提供算力的比例,给我们的钱包支付相应的扣除税率的费用。日前,虚拟货币“挖矿”活动正式被国家发展改革委列为淘汰类产业,针对“挖矿”活动的全面整治行动正在全国范围内积极有效地推进。然而不法分子为牟取暴利,仍在通过种种手段绕过防御体系,通过入侵他人的CPU、GPU等设备进行非法虚拟货币“挖矿”。
一旦参与“挖矿”活动,或者是中招挖矿病毒之后,企业会有多大损失呢?
挖矿病毒在运行时,占用大量系统资源,造成系统卡顿后容易被用户察觉,所以会使用伪装成系统文件、无文件持久化等技术保护自身,即使被用户发现也不会被轻易清除,长时间占用用户的系统资源,挖矿获取利益。虽然挖矿行为并不会像勒索病毒一样使得业务瘫痪,但会严重影响终端性能,造成电脑卡慢,不仅企业整体算力大减,还会付出额外的电力成本和运维成本。数据显示,截至2020年,全球比特币“挖矿”的年耗电量大约是149.37太瓦时(1太瓦时为10亿度电),这一数字已经超过马来西亚、乌克兰、瑞典的耗电量,接近耗电排名第25名的越南。
随着一系列针对虚拟货币“挖矿”活动整治文件和要求的发布,各省市区域相关单位已开始积极响应和开展行动,国内江苏、浙江、广东等省相继开展虚拟货币“挖矿”活动专项整治。而一旦被“通报”之后,如果 “屡教不改”,发电企业则有权利对你“拉闸断电”。
一些“挖矿”的主机还可能会被植入勒索病毒,携带APT攻击代码等,导致组织重要数据泄露,或者黑客利用已经控制的机器,作为继续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事件发生。
通过对重要远控木马的样本分析发现,挖矿木马已经获得全面进化,专业化攻击团队的网络武器级,成为信息安全的最大威胁之一,发现、防御挖矿木马的手段已经不再是单一的通过网络协议检测实现。我们根据一个利用MS17-010(“永恒之蓝”)漏洞进行传播的真实案例,披露变种“挖矿”病毒感染后的主要流程分析与检测方法,方便企业管理员及时排查处理。
不法分子以钓鱼网站、恶意邮件、系统漏洞等多种手段进行渗透,通过跳板主机攻陷域名服务器及业务服务器,批量部署“挖矿”病毒
病毒成功进入主机后,在系统目录下释放并执行其“挖矿”主程序,实施“挖矿”
病毒利用MS17-010(“永恒之蓝”)漏洞进行传播并组建僵尸网络
该新型变种病毒会定期访问境外服务器,自动更新并下发至局域网内其他主机,使僵尸网络持续迭代
病毒具有很强的隐藏能力,能够监测业务运行情况,仅在设备运行的低谷期进行“挖矿”活动,并在用户打开任务管理器时自动隐藏主进程逃避检测
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。因此,可以从网络杀伤链分解,细致了大多数挖矿木马的攻击手段。
挖矿木马显著的行为特征就是极大的占用CPU及GPU资源主要包括:高CPU和GPU使用率、响应速度慢、 崩溃或频繁重新启动、系统过热、异常网络活动(例如,连接挖矿相关的网站或IP地址)。因此,其检测则可以部署在网络侧和主机侧,利用基于黑名单的检测技术、基于恶意行为的检测技术,以及基于机器学习的检测技术来实现。
除了检查表现异常的计算机之外,企业还应查看防火墙和代理日志,了解它们正在建立的连接,以检测隐蔽的恶意挖矿活动。企业最好能准确地获知有权连接的位置和IP地址,如果此过程过于繁琐,请至少查看防火墙日志并阻止已知的加密矿工服务器地址。近日 Nextron 的一篇博客文章分析了常见加密矿池,推荐查看防火墙或 DNS 服务器是否受到影响。
例如,查看是否有包含 *xmr.* *pool.com *pool.org 和 pool.* 的日志,看看是否有人正在滥用企业网络。如果企业有一个高度敏感的网络,可以设置白名单允许必要的IP地址访问,不过,在云计算时代,这种方法很难实现。
-
建议关闭不必要的端口及异常的外联访问,以切断传播途径;
-
建议及时更新应用与系统,及时修补漏洞;
-
对于来源不明与可疑文件先检测后打开,防止恶意代码借机传播;
-
不要点击来源不明的邮件、附件以及邮件中包含的链接;
-
采用符合规范的高强度密码,并定期更新密码,以规避弱口令风险;
-
养成良好的网络安全习惯,如不使用安全性不明的应用等;
-
落实安全巡检工作,定期检查设备与系统的安全状况;
-
优化安全防护体系的安全策略,完善安全机制。