上一期,深信服安全团队对勒索病毒进行2019半年度总结,主要盘点了高发勒索家族、受灾区域分布、勒索病毒发展走向等。本期深信服安全团队对另一流行病毒类型——挖矿木马进行深入分析,给大家揭秘2019上半年挖矿木马的所作所为。
近来加密货币价格走势如过山车般跌宕起伏,截至6月比特币成功翻身,价格重返五位数,几人欢喜几人悲伤,这其中最欢喜莫过于恶意挖矿黑产从业者,由于其隐匿性、低成本、无中间商赚差价,导致挖矿木马是近年来最流行的病毒类型之一,而企业的服务器则成为黑产眼中的盛宴。
据深信服安全云脑统计,2019上半年里挖矿木马拦截数达到54亿次,整体呈增长的趋势,三月份拦截数达到峰值10亿次,之后维持在9亿以上,具体分布数据如图1所示。其中,三月份出现多起安全事件如3月20号Wannamine4.0变种来袭等,导致挖矿木马拦截数骤增。
图1 挖矿流量拦截次数
图2 捕获挖矿木马样本数量
2019上半年Top10活跃挖矿木马家族包括wannamine、xmrig、coinminer、bitcoinminer、tanlang、shadowminer、zombieboyminer、myking、malxmr和bluehero,分布比例如图3所示。
图3 2019上半年Top挖矿木马家族
挖矿木马通过与矿池建立通信,进而加入矿池参与挖矿活动。矿池的目的为降低开采门槛,据统计最受挖矿黑产欢迎的矿池服务器位于法国,其次为美国、中国,Top10矿池域名区域分布如图4所示。
图4 Top10矿池域名区域分布
在挖矿木马危害地域分布上,广东省(挖矿木马拦截量)位列全国第一,占TOP20总量的19.58%,其次为浙江省和北京市,具体数据如图5所示。
图5 Top20恶意挖矿拦截量地域分布
从挖矿木马攻击的行业分布来看,黑产更倾向于攻击企业、政府、教育行业。企业的拦截数量占拦截总量的37.87%,具体感染行业分布如下图所示:
图6 受害行业分布
安全对抗的本质是成本对抗,投入产出比是黑产团伙首要考虑的因素。出于成本和效率的考虑,黑产常常通过弱口令爆破、钓鱼邮件等方式对服务器攻击,随后对渗透成功的服务器做标记、留后门,最终长期控制服务器。
案例1
2019年1月某客户中了挖矿病毒,经分析黑产从2018年12月28号对客户进行密集远程爆破攻击,如下图所示:
远程爆破成功后,释放病毒,该病毒内置门罗币挖矿程序并伪装成系统程序Regedit.exe,紧接着执行如下命令开始挖矿:
其中黑产所使用矿池为b.santananb.info,且钱包已收到131个门罗币,如下图所示:
2019年多个安全漏洞被曝光,如CVE-2019-0786等重大漏洞。漏洞细节、利用代码大部分可以从网上获取,虽然漏洞补丁已发布但仍有诸多用户没有及时进行更新,从而使得黑客有机可乘。
案例2
2019年4月深信服捕获到到一款新型Linux挖矿木马,该病毒利用Confluence漏洞传播,通过定时下载对病毒体进行保活,同时由于病毒会杀掉包含“https://”、“http://”的进程,将导致用户无法下载文件及访问网页,挖矿进程会导致服务器出现卡顿等异常现象。详细分析见http://sec.sangfor.com.cn/events/231.html。
案例3
2019年4月深信服捕获到挖矿木马DDG的最新变种,自 2017 年底至今DDG 挖矿僵尸网络已更新多个变种版本并一直保持着极高的活跃度。在此之前DDG主要通过扫描SSH、Redis数据库和OrientDB数据库服务器进行门罗币挖矿行为,在最新变种中发现其包含mssql、redis thinkphp、weblogic等多个漏洞探测模块,如下图所示。详细分析见http://sec.sangfor.com.cn/events/226.html。
案例4
2019年7月,深信服安全团队监测到一款名为ZombieBoy的木马悄然感染国内外多个行业的数万设备。该木马包含内网扫描、“永恒之蓝”漏洞利用、“双脉冲星”后门、挖矿工具等多个恶意模块,是一款集传播、远控、挖矿功能为一体的混合型木马。
从深信服的云脑监测数据来看,近期该木马利用通用漏洞在各个行业迅速扩散,全国各省以及国外用户均存在感染现象,其中感染量TOP5区域分别为广东省、浙江省、北京市、上海市、江西省。详细分析见https://mp.weixin.qq.com/s/uwu5AmLFV0Bb9eGC-7l3uw。
纵观终端安全发展史,实际可以归纳为“反恶意程序的对抗史”。早期的挖矿进程行为比较“粗暴”,用户中挖矿木马时能明显察觉到“卡顿”“机箱风扇声音大”等,这时更多的是“就是干、一把梭”谋取短期收益。但随着与杀软的对抗,如今挖矿木马更倾向于可持续发展、长期潜伏、横向传播能力强。
案例5
2019年6月,深信服安全团队捕获到Bluehero挖矿蠕虫最新变种,
该挖矿蠕虫集多种功能为一体,释放后门程序窃取主机信息,释放Mimikatz模块、嗅探模块、“永恒之蓝”攻击模块、LNK漏洞利用模块(CVE-2017-8464)进行传播和反复感染,最终释放挖矿模块进行挖矿;
该挖矿蠕虫对抗检测手段包括释放的样本采用随机生成名字,关闭主机防火墙、网络共享、杀毒软件,创建计划任务、启动项、服务实现自启动;
更替C&C域名,如a46.bulehero.in、a47.bulehero.in、a88.heroherohero.info、fid.hognoob.se、q1a.hognoob.se、uio.hognoob.se等;
Bluehero挖矿蠕虫变种流程如下图,详细分析见http://sec.sangfor.com.cn/events/248.html。
黑产为了将利益最大化,常常通过批量远程爆破、漏洞利用、病毒木马方式等达到控制公有云服务器,最终形成挖矿僵尸网络。这种做法成本低且能获取大量算力,导致企业公有云服务器成了黑产主要攻击目标。
案例6
2019年2月,深信服安全团队追踪到公有云上及外部Linux服务器存在大量被入侵,表现为/tmp临时目录存在watchdogs文件,出现了crontab任务异常、网络异常、系统文件被删除、CPU异常卡顿等情况,严重影响用户业务。最终经过分析确认,用户Linux服务器被植入新型恶意挖矿蠕虫,并将其命名为WatchDogsMiner,该病毒基于Redis未授权访问、集成SSH爆破实现内外网的蠕虫式传播。该病毒流程如下图所示,详细分析见http://sec.sangfor.com.cn/events/205.html。
2019上半年挖矿木马攻击数量呈增长趋势,捕获的样本种类也日益增多,且近几个月比特币价格一路高涨,故预测下半年挖矿黑产活跃度会增加,社会工程、弱口令、漏洞利用等方式是主要攻击手段,黑产所使用的挖矿木马也将更隐蔽、横向渗透更强、集成模块更多,安全对抗也愈发激烈。对于有效预防和对抗海量威胁,需要选择更强大和更智能的防护体系。
杜绝使用弱口令,避免一密多用; 及时更新重要补丁和升级组件; 部署加固软件,关闭非必要端口; 对来历不明的程序、文档、邮件等需提高警戒,切勿随意打开; 主动进行安全评估,加强人员安全意识。
*本文作者:深信服千里目安全实验室,转载请注明来自FreeBuf.COM