据工业和信息化部网站消息,网络安全管理局近日发布《2018年第二季度网络安全威胁态势分析与工作综述》(以下简称“工作综述”),工作综述称,非法“挖矿”已成为严重的网络安全问题。安全狗海青安全研究实验室通过持续对非法挖矿事件的追踪和分析,已经连续推出多篇非法挖矿木马事件和病毒的分析报告。
2017年是勒索病毒爆发高峰期,勒索病毒感染率提高了40%,其主要驱动力是ms17-010漏洞被恶意利用。与此同时,挖矿木马同时也处于快速增长的状态,有报告称反病毒软件探测到的挖矿木马增长了8500%,2018年曝光挖矿木马事件同样在快速增长。现在,除了勒索病毒以外,对用户而言,挖矿木马也成为了不可忽视的安全威胁。
基于这个现状,安全狗海青安全研究实验室根据当前的安全状况,针对挖矿木马进行了总结性的分析研究,并整理出相关联的解决方案,以期协助用户面对这类安全威胁。
一、蓬勃发展的“采矿业”
勒索软件为网络犯罪分子提供了一种收益极高但却是一次性的牟利方式,与之相反,被感染挖矿木马的“矿工”将提供更低但可持续时间更长的收入。如今,暗地里已经围绕着数字货币形成了一条黑色产业链,即“黑色的采矿业”(区别于合法的矿工,下文均简称采矿业)。
“采矿业”作为网络犯罪分子一种新的非法牟利的新方式,已经开始“挤占”勒索病毒市场份额,勒索病毒已经开始被商业化网络犯罪所抛弃,取而代之的是复杂的挖矿木马。勒索软件直接从受害者身上非法牟利是十分扎眼的方式,会引来社会和媒体的广泛关注,给犯罪分子带来了不可控的麻烦,而“采矿业”则相对更加隐蔽,道德负担更小,更加难以被发现。
这是一个简单的“采矿业”的模型
犯罪分子利用控制的机器,种植挖矿木马挖掘数字货币,经过数次资金转移,然后通过交易将数字货币换成money存入银行,然后犯罪者从银行取出现金。(注:我国监管部门习惯用“虚拟货币”这个术语,专家学者则常常用“数字货币”指代,而国外一般称之为“加密货币”。)
受害者数量是很重要的因素,受害者越多,为挖矿提供的算力就越多,挖掘的数字货币收益就越大。在对挖矿木马感染情况进行一些调查后,我们发现受害者的数量始终保持上涨的趋势。
很明显,遇到挖矿木马的用户正在快速增加。近年来挖矿木马愈演愈烈,究其原因是近年数字货币价格飙升,比特币和Altcoins的价格在2017年持续超过记录。虽然经过相关监管部门干预和强力镇压,数字货币大幅度跳水,但仍然有利可图,这诱使黑客大量利用受害机器挖掘数字货币。
二、挖矿木马多维度特征
海青安全研究实验室对所分析的挖矿木马及公开资料的情况进行总结整理,得出以下几个维度的特征。
从木马的角度而言,有这些特征
1、黑客入侵后,直接将简单的开源程序及其包含钱包地址等配置的配置文件传入受害机器,然后运行挖矿。
2、黑客修改了开源程序,将配置文件,钱包地址等内置在可执行文件中,并有时加了一些简单的壳;钱包地址等配置或有加密,但仍可通过沙盒执行直接获得,但可能获取不全,需要稍稍深入分析一下才可获取全部矿池及钱包地址相关威胁情报。
3、基本与传统木马表现相同,“野火烧不尽,春风吹又生”。整体看过去,此种情况下挖矿木马可分为持久化模块与挖矿模块。如果出现多次杀毒都无法杀干净的情况,那就有可能就含有持久化模块。
4、挖矿蠕虫。海青安全实验室监控到两年前的photominer挖矿还在持续且广泛的传播,该蠕虫依靠弱口令、挂马、社会工程学等手段进行传播。Wanna系列的挖矿蠕虫也是层出不穷,由于ms17-010漏洞的广泛传播和利用,Wanna系列挖矿蠕虫其感染性远胜于之前的photominer等挖矿蠕虫。
到目前为止,更多的挖矿蠕虫已经转向整合各种漏洞进行传播的性质,相比起之前类似photominer的挖矿蠕虫,危害更大更广。
5、抓鸡挖矿。当计算机被植入远控等后门之后,攻击者通过远控执行命令或直接文件传输挖矿木马进行挖矿。甚至有自动化抓鸡成功后,自动种植挖矿程序进行挖矿。
此前出现过的多起redis等挖矿事件,是通过客户机器未授权访问redis认证的问题种植挖矿程序;而在检测了许多机器后,发现并无黑客过多入侵活动痕迹,可能只是恰巧被抓鸡了而已。此外,被藏了后门的破解软件、被劫持的WiFi等统统都可以用来抓肉鸡进行挖矿。
6、结合前沿黑客技术
在powershell和WMI被大牛们玩得飞起的时候,挖矿木马开始结合沿黑客技术并向其看齐。出现了许多利用WMI和powershell作为辅助模块的挖矿木马。如explorer挖矿木马,其核心模块就是纯粹的powershell脚本,只需要运行这个脚本就会远程下载挖矿模块进行挖矿并进行其他一系列操作。
7、网页挖矿木马
网站被攻击者恶意植入了网页挖矿木马,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马的站点页面,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币,这是一种资源盗用攻击。由于网页挖矿木马存在很广的传播面和很不错的经济效益。
8、移动设备挖矿木马
不像勒索病毒,移动设备挖矿木马瞄准的目标市场是发展中国家。移动端挖矿木马是一种新型威胁,虽然移动端功率不如传统服务端及个人PC端功率大,但由于用户数量规模巨大,用户安全意识薄弱,仍然不可忽视。
除了木马以外,黑客还可能使用矿池。矿池是一个把大家的算力纠合到一起挖矿软件,然后根据大家提供的算力大小来平均分配挖到的币。矿池挖矿的过程是把我们自己电脑的算力提供给矿主,矿主用我们的算力去挖矿,挖到的矿其实是存在矿主的钱包当中,然后矿主再根据我们提供算力的比例,给我们的钱包支付相应的扣除税率的费用。
黑客常用矿池分类
1、公开大矿池
如pool.minexmr.com等大矿池。直连矿池进行挖矿。存在矿池与执法人员合作追捕黑客的风险。
2、自建代理(黑客常用手段)
通过自建的代理中转到大矿池,将算力纠合到一起后给大矿池挖矿。这样既可以避免调查人员找到背后的大矿池,也避免了大矿池与执法人员合作调查的风险。
3、自建矿池
一般情况下,黑客不会这么做,因为算力往往不够,区块链同步难度也比较大。从收益来讲,算力可能血本无归,但这个可能性不能完全排除。
除了与挖矿直接相关联的手段外,币种也是很重要的因素。BTC、ETH、LTC、XRP、XMR...数字货币种类琳琅满目。但黑客最中意哪一种呢?
根据目前的分析,黑客最青睐的数字货币是monero(Xmr)、zcash、达世币等。这些货币确保了交易的匿名性,对于网络犯罪者来说非常方便,不必太担心被追踪。
1、Xmr(门罗币)
Xmr向着匿名的方向一路狂奔,其匿名性深受黑客喜欢,所有进行门罗币挖矿的人都能够在挖矿的时候保持完全的匿名,双方的身份和交易金额都被隐藏。由于它采用了一种名为“环签”的特殊签名方式,使得同一笔交易被查询时会出现很多个结果,仅仅通过查询结果不仅不能看到具体交易金额,也无法判定交易双方到底是谁。
2、zcash
zcash即大零币,采用零知识证明机制提供完全的支付保密性,是目前匿名性最强的数字资产。目前Zcash匿名转账的时间周期比较长,大概需要20分钟。网络可以选择普通转账或匿名转账,对隐私保护级别有所影响。
3、达世币
达世币中除了普通节点之外,还有一种节点叫“主节点”。主节点可以提供一系列服务,如:匿名交易和即时支付。想进行匿名交易的交易者发起匿名申请,由主节点进行混币,一般是3笔交易一起进行混币。
举个例子,一桌人把自己的钱都放在桌上,混在一起,然后再分别拿回相应面值的钱,这样就不知道你手里的钱到底是谁的了,这就是混币。同样,在混币后,网络就不知道究竟谁转账给了谁。
根据海青安全实验室捕获并分析的样本总结得出,所挖的币种大部分是门罗币,其他币种较少。
门罗币等匿名货币受到黑客欢迎主要有以下两点原因:
一是门罗币比比特币更加匿名。(不怕追踪)
二是不需要特定的设备就可以挖掘。(成本低)
这两个原因导致黑客更加倾向于挖掘门罗币等匿名货币,而不是比特币等其他币种。
三、未来安全趋势
1、挖矿木马与漏洞利用结合更加紧密
利用WebLogic漏洞挖矿事件、利用redis未授权访问漏洞挖矿事件……这些迹象无不在反复证明,通用产品的漏洞被公布后,会很快被不法分子大规模利用,快速传播挖矿木马。
2、新型威胁移动端挖矿木马将加剧
挖矿木马进行工作时会造成手机产生大量热量,可能损坏电池或其他元件,会造成挖矿肉鸡短命,换句话说,牺牲了受害者设备的使用寿命。
采矿业的进一步增长可能导致移动端也成为非法挖矿的重灾区——目前,移动端挖矿肉鸡正在持续增长,虽然速度尚且稳定,但一旦犯罪分子找到一种技术解决方案,使得移动设备上的采矿利润等同于PC上采矿的利润,移动端采矿将会变得跟PC端以及服务端一样,成为非法挖矿的渊薮之一。
特别令人担忧的是,针对移动端挖矿的犯罪分子的主要目标地区 :中国和印度,占全球智能手机的三分之一左右。因此,如果智能手机采矿真正起飞,这两个国家将特别容易受到影响。
3、变现成本降低,黑产越来越猖獗
以前利用恶意软件或广告业获益后,想要洗钱还得颇费周折,但数字货币盛行之后,几个简单的步骤就可以直接获益变现。由于门罗币等币种的匿名性,天生自带洗钱属性,而且不用特定的挖矿设备,成本低,这些因素对黑产来说十分具有吸引力。
4、挖矿木马将越来越“沉默”
正如文章开头所叙述的那样,“低调”是挖矿木马和勒索软件极大的不同之处,挖矿木马也早已从最早期的瞬间耗尽矿工资源的疯狂挖矿模式(极易被发现从而结束矿工生命周期),到现在的细水长流、小流成河的挖矿模式(智能控制对矿机资源的占用从而实现长期隐蔽)。
四、解决方案
仅从技术角度而言,挖矿木马与大多数的其他木马,如DDoS木马、远控木马等并无本质区别,仅仅只是目的不一样,因此在防护上有颇多可以借鉴参考之处。
就对受害人的危害而言,挖矿木马与勒索病毒相比并不遑多让,只是由于勒索软件过于容易引发公众关注,但挖矿木马同样需要警惕。近期,海青安全实验室发现有受害机器同时被植入了勒索病毒和挖矿木马的情况。虽然大部份情况下挖矿木马只是盗用受害者的计算资源(即占用CPU资源),本身不会对受害者造成其他破坏性的攻击,但严重时则会严重影响受害网站的用户体验,长远来看,相当于透支了受害者的机器的使用寿命。
通过对挖矿木马特性和相关入侵事件的持续跟踪和分析,安全狗提供的云眼产品可以提供一系列的防御措施。
事前防御
1、检测并修复弱口令
事前检测并修改弱口令,使用弱口令进行传播的自动化工具和弱口令在传播途径中属于重要一环的恶意代码将会失去大部分战力。如photominer使用FTP弱口令进行传播、常用22端口、3389端口抓鸡等手段,对用户都将无效
2、制定严格的端口管理策略
事前制定严格的端口管理策略,可以降低主机的攻击面,减小攻击向量,防范攻击者入侵到内网后利用默认端口漏洞如ms17-010漏洞进行攻击。
退一步讲,即使用户中了挖矿病毒,由于其严格的端口策略,挖矿木马仍然无法正常工作,降低对业务的影响。3、设置防爆破策略
攻击者使用的自动化工具或蠕虫类挖矿木马大多内置爆破模块,事前设置防爆破策略可以提高攻击者攻击成本,记录爆破攻击事件,阻止攻击者采用暴力破解手段对业务系统进行攻击,有效地降低攻击者成功率。
4、一键更新漏洞补丁
事前更新漏洞补丁,防范操作系统本身漏洞对于业务系统的安全风险,抵御攻击者利用系统漏洞进行攻击的手段。
事中实时防御与监控
1、阻止对关键注册表的篡改
针对关键注册表的篡改将被阻止,针对挖矿木马的持久化模块进行阻断,有效防御使用持久化机制的挖矿木马,使挖矿木马能简单、迅速地被清除,不被持久化机制所干扰。
2、阻止进程创建异常进程
阻止进程创建异常行为,可针对利用业务系统漏洞进入机器植入挖矿木马的情况。自动阻止挖矿木马的植入行为。
3、安全监控
通过对网络内部主机的进程、会话、资源等指标参数进行监测,以发现异常的可疑行为,如隐蔽的挖矿木马行为,同时有助于及时发现正在发生的事件,减小挖矿木马对业务的影响。
4、威胁情报
结合威胁情报提供的远控或高危黑IP,及时感知正在发生的攻击行为及事件,在防御中掌握主动权,防御者通过阻止攻击者的高级手段来改变游戏的规则,入侵前的相关阶段切入,在已发生或正在发生的事故中不断改进防御策略,甚至建立威胁情报驱动的响应机制。
病毒木马实时防御、检测与处置
1、实时防御恶意代码
实时阻断恶意代码的运行,预防恶意代码的入侵,有效及时的提醒当前计算机的安全状况。
2、检测恶意代码
检测业务系统中存在的恶意代码,及时查处隐藏在系统内的恶意代码,防范安全风险。
3、处置恶意代码
清理或隔离恶意代码,及时止损。