Top
首頁 > 正文

《2019年云上挖礦僵尸網絡趨勢報告》首發:挖礦木馬全面蠕蟲化

挖礦木馬最早出現于2012年,加密數字貨幣價格自2017年開始暴漲,門羅幣等匿名幣的出現,其不可追蹤、抗Asic礦機的特性使得服務器的計算資源變得有利可圖。自2018年以來挖礦木馬已成為互聯網中存在的主要安全威脅。
發布時間:2020-02-11 12:33        來源:freebuf.com        作者:

挖礦木馬是一類利用漏洞入侵計算機,并植入挖礦軟件挖掘加密數字貨幣牟利的木馬,被植入挖礦木馬的計算機會出現CPU使用率飆升、系統卡頓、業務服務無法正常使用等情況。挖礦木馬為了能夠長期在服務器中駐留,會采用多種安全對抗技術,如修改計劃任務、防火墻配置、系統動態鏈接庫等,這些技術手段嚴重時可能造成服務器業務中斷。

挖礦木馬最早出現于2012年,加密數字貨幣價格自2017年開始暴漲,門羅幣等匿名幣的出現,其不可追蹤、抗Asic礦機的特性使得服務器的計算資源變得有利可圖。自2018年以來挖礦木馬已成為互聯網中存在的主要安全威脅。阿里云安全團隊長期跟蹤和研究挖礦木馬,在2019年我們監測到多起挖礦木馬的爆發,發現了一些挖礦木馬新的發展趨勢。本文將依據我們長期的監測數據,對2019年的挖礦木馬發展趨勢進行分析總結。

核心概要全年共觀察到80個成規模的挖礦僵尸網絡團伙,Linux服務器為主要的攻擊目標;木馬投放方式全面蠕蟲化,多種漏洞組合攻擊成為趨勢;挖礦團伙主要利用暴力破解進行傳播,弱密碼仍然是互聯網面臨的主要威脅;非Web基礎框架/組件不合理的安全配置,成為挖礦木馬新型利用方式;挖礦僵尸網絡團伙頻繁利用熱門N-Day漏洞傳播,N-Day漏洞留給用戶進行修復的窗口期變短;挖礦木馬使用的安全對抗技術、資源競爭技術愈加純熟,這要求企業具備更專業的安全應急響應能力。整體態勢

2019年共發現80個成規模的挖礦木馬團伙,以累積感染量定義木馬活躍度,下圖/表是活躍TOP10的木馬家族及簡介。從受害者主機的操作系統來看69%為Linux操作系統,31%為Windows操作系統,Top10中的挖礦木馬團伙的攻擊目標也主要是Linux操作系統。

攻擊趨勢

1. 挖礦木馬全面蠕蟲化,漏洞組合攻擊是趨勢 

2019年爆發了多個廣泛應用的代碼執行漏洞,N-day漏洞爆發后難以在短時間內得到有效修復,往往成為挖礦僵尸網絡爭奪的”肥肉“,”嗅覺“靈敏的黑產團伙會很快將其納入挖礦木馬的武器庫。2019年我們發現多起熱門漏洞被挖礦團伙大量利用的事件,下圖是部分漏洞從爆發到被利用的時間線。大部分漏洞都在幾天到十幾天之內被挖礦團伙利用,這對云平臺及用戶的快速響應能力構成嚴峻考驗。

2. 木馬投放方式全面蠕蟲化,多種漏洞組合攻擊成為趨勢 

TOP10中的挖礦木馬除了8220Miner以外,都采用蠕蟲化的投放方式,除了CryptoSink以外全部使用超過2種以上方式進行混合攻擊。這意味著挖礦木馬的傳播能力在大幅增強,變得無孔不入。如果企業的信息系統存在任意可被利用的漏洞,安全邊界被突破后內網將會快速淪陷。在這種情況下單點防御已經失效,防御的木桶效應顯現,企業需要具備全面的漏洞防御能力。

3. 挖礦團伙主要利用暴力破解進行傳播,弱密碼仍然是互聯網面臨的主要威脅 

下圖是不同應用被入侵導致挖礦的占比,可以發現Redis/SSH/SQLServer/RDP仍然是挖礦利用的主要攻擊目標。由于運維人員的安全意識薄弱,弱密碼在互聯網廣泛存在。而暴力破解利用門檻低,成為挖礦木馬重要的傳播方式。

4. 非Web基礎框架/組件不合理的安全配置,成為挖礦木馬新型利用方式 

近幾年大數據、容器等新興技術開始廣泛使用,企業上云后開發/測試環境也部署在云上,但是由于企業欠缺專業的安全人才、技術人員缺乏安全意識,這些服務的配置往往存在安全隱患,如服務暴露在公網上、接口存在無認證/弱口令、存在N-day漏洞等問題。由于這些應用是企業的非核心業務,在安全加固和漏洞修復上投入并不如Web應用,這些應用通常開放在非標端口上或者使用非HTTP協議,局部的安全策略往往是不夠的。2018年挖礦木馬開始利用大數據、容器組件進行傳播,而2019年容器編排、供應鏈框架/組件開始成為挖礦木馬的攻擊目標,下表是近兩年被挖礦木馬廣泛利用的非Web基礎框架/組件漏洞。

技術趨勢

挖礦木馬入侵成功后必定希望能夠長久穩定的挖掘出虛擬貨幣,其技術上會采用多種安全對抗技術避免被清除。而面對黑產同行的資源競爭,挖礦木馬要生存下去就必須采用多種方式進行競爭。我們觀測到2019年挖礦木馬使用的安全對抗技術、資源競爭技術愈加純熟,下面我們會盤點一下挖礦僵尸網絡重點使用的安全對抗和資源競爭技術

1. 安全對抗技術無文件技術

無文件攻擊不需要將惡意軟件落地到磁盤,能夠躲避殺毒軟件的靜態掃描,因此難以被殺軟查殺,具備更好的隱蔽性。在挖礦僵尸網絡中通常使用各種工具(比如Windows的WMI命令行工具wmic.exe)或者腳本編程語言(如PowerShell)提供的API接口訪問WMI,來實現無文件攻擊。如下是TheHidden使用wmic進行無文件攻擊的代碼。

RootKit技術

挖礦木馬需要長期駐留于目標服務器上以達到獲利目的,RootKit是惡意駐留技術的統稱。最常見的方式是寫入定時任務/計劃任務實現常駐。而2019年動態鏈接庫預加載型rootkit開始被挖礦木馬大規模使用,木馬通過動態連接庫預加載,實現對libc中諸如readdir等常用函數的hook,當ps、top等shell指令嘗試讀取/proc/目錄獲取進程信息時對惡意進程隱藏。如下圖是8220Miner利用ProcessHider工具包進行rootkit隱藏。

中控技術

中控技術是指黑客在被入侵主機上運行后門程序,后門與黑客控制的服務器進行定時通信,黑客可以向被控主機下發指令、偷取數據。由于惡意挖礦行為不需要對bot進行強控制,大部分的挖礦木馬都不具備完備的c&c控制模塊,他們通常使用配置文件結合定時任務,實現對bot的配置變更和版本更新。但是在2019年我們見到越來越多的挖礦僵尸網絡開始使用中控技術,具備中控能力的挖礦僵尸網絡在資源競爭中會具有更大的優勢。如下圖是h2Miner的部分中控功能模塊。

暗網

挖礦僵尸網絡將自己的服務器放在暗網(Tor洋蔥網絡)中,這使得對幕后黑手的追溯變得更加困難。2019年這項技術在挖礦僵尸網絡中開始廣泛使用,如下圖是2019年5月份爆發的Xulu挖礦團伙的攻擊流程,它將自己的控制服務器放在Tor網絡中進行隱藏。

2. 資源競爭技術殺死競爭進程

挖礦僵尸網絡通過進程的指紋庫判斷其他挖礦進程,或者直接殺死CPU占用率高的進程。下圖是h2Miner使用的部分指紋庫,它使用了多達460多條的進程指紋,這也是h2Miner能夠在12月異軍突起的原因之一。

修改防火墻

挖礦僵尸會修改防火墻的iptables,將存在漏洞的服務端口關閉防止其他挖礦木馬入侵?;蛘哧P閉常見的礦池端口,阻斷競爭對手的挖礦行為。

Sinkhole

Sinkhole技術是指安全人員將惡意域名解析到無效地址的方法,挖礦僵尸網絡利用該技術進行資源競爭,通過修改/etc/hosts將競爭對手的域名、常見礦池域名解析到無效地址來阻斷其挖礦行為。下圖是將挖礦僵尸網絡將競爭對手的域名Sinkhole的惡意代碼。

典型僵尸網絡盤點

2019年,出現了多個大規模的新挖礦木馬團伙,他們憑借獨特的技術特點得獲得了大規模爆發:

watchbog(2月出現):該蠕蟲更新頻繁,不斷地將最新漏洞添加到自己武器庫,2月利用最新的Nexus Repository Manager遠程代碼執行漏洞傳播,11月初利用最新的Solr Velocity 模版注入遠程命令執行漏洞傳播;MinerGuard(4月出現):攻擊方式復雜多樣,具備完善的進程保護模塊;kerberods(4月出現):利用新公開的Confluence RCE傳播,使用了多種持久化技術;h2Miner(12月出現):利用Redis 4.x RCE大規模傳播,他具備強大的競爭進程指紋庫,因此在資源競爭中占據優勢,成為了年底最活躍的挖礦木馬;

在2019年多個老的挖礦木馬團伙也不斷升級自己的攻擊技術、頻繁更新,他們在2019年也獲得了大規模傳播,呈現出強者愈強的局面:

ddgs:1月和11月兩次升級自己的中控通信模塊,從中心控制結構升級到無中心拓撲P2P結構,將黑客控制的中控服務器進行了完美的隱藏;BuleHero:2019年頻繁更新,不斷的將最新的攻擊方式加入自己的武器庫,10月初利用最新的PHPStudy后門漏洞進行傳播,并升級了自己的文件命名方式,以增強自己的資源競爭能力;1. h2Miner

h2Miner是一個Linux下的挖礦僵尸網絡,主要通過爆 破Redis入侵,同時利用多個Web服務漏洞進行攻擊。我們最早于12月5號捕獲到該挖礦木馬,以他的惡意shell腳本h2.sh進行命名,其活躍程度一直較低,直到12月18日開始才突然爆發,僅僅5天后該挖礦僵尸網絡就超越了ddgs和MinerGuard成為互聯網上最活躍的挖礦僵尸網絡。

該挖礦木馬突然爆發的原因是改變了redis的入侵方式,爆 破redis成功后并不是通過寫入定時任務進行提權(該利用方法更為普遍),而是利用Redis 4.x RCE進行提權,這種方式能夠繞過Redis安全配置。該利用方式由Pavel Toporkov在zeronights 2018上分享,在Redis 4.x之后,Redis新增了Module功能,使用者可以在Redis中加載由C語言編譯而成的so文件,從而實現特定的Redis命令。下圖是h2Miner爆發前后的活躍度趨勢。

下圖是h2Miner的攻擊鏈路,攻擊者利用Redis 4.x RCE加載名為red2.so的惡意文件,該文件會執行惡意指令下載一個新的惡意腳本并執行,惡意腳本會下載名為kinsing的惡意二進制文件,該文件會從攻擊者的中控服務器內接收黑客的指令繼續對外攻擊傳播。下載的惡意腳本還會清理大量的競爭對手,使用的競爭進程指紋庫多達460多條,這也是他能在短時間內大量爆發的原因之一,從上圖中我們可以看到12月18號大規模爆發后,ddgs和MinerGuard的活躍度出現了明顯的降低。

2. ddgs

ddgs挖礦僵尸網絡最早曝光于2017年10月,早期利用Orientdb漏洞,目前主要利用Redis未授權訪問漏洞、SSH弱口令進行入侵。如下圖是ddgs的攻擊流程,入侵主機后會下載i.sh的惡意腳本,并下載ddgs惡意程序。緊接著會啟動disable.sh腳本清理其他挖礦程序,與黑客控制的中控服務器通信后啟動挖礦程序,并開始入侵其他主機。

2019年ddgs保持頻繁更新,從301X升級到4008,增加了Nexus遠程代碼執行漏洞的利用方式,但并未成為其主要的攻擊方式。值得一提的是2019年ddgs的中控協議發生了兩次重大更新,從中心控制結構升級到了完全P2P結構。

在3014以及更早的版本,ddgs的中控服務器IP地址硬編碼在惡意文件中,這種方式容易被安全人員追蹤。

2019年1月的3015版本中,被入侵主機使用了Memberlist協議框架組建P2P網絡,真實的中控服務器隱藏在P2P網絡中,被入侵主機需要利用該框架協議從P2P網絡成員中遍歷出真實的的中控服務器。但中控通信仍然是中心化的,安全人員可以模擬成被入侵主機,獲取真實的中控服務器IP。

2019年11月ddgs升級到了4008版本,在被入侵的主機中會監聽一個隨機端口,利用Golang的net.Pipe()將通信轉發到P2P網絡成員,被入侵主機不直接與中控服務器通信。中控通信可以被其他被入侵主機"路由"到真實的中控服務器,這種類似洋蔥網絡的匿名結構將中控服務器地址很好地隱藏了起來。下圖是ddgs三個時代的中控結構。

3. MinerGuard

MinerGuard是一個跨Windows/Linux的平臺挖礦僵尸網絡,利用redis未授權訪問漏洞、SSH弱口令、多種Web服務漏洞進行入侵,在2019年4月份開始爆發。其程序在不同平臺上邏輯相同,成功入侵主機后會運行sysguard、networkservice、sysupdate三個惡意文件。

networkservice是MinerGuard的攻擊模塊,會利用多個網絡服務漏洞進行傳播。sysupdate模塊是開源的門羅幣挖礦程序,會從config.json中加載礦機配置參數。值得關注的是sysguard模塊,該模塊主要功能是更新中控服務器地址,并且可以確保病毒持久化駐留在服務器中。模塊啟動后會創建4個線程,用于中控服務器地址更新、保護啟動項、進程守護、版本升級。正是該模塊完善的保護機制,確保了MinerGuard在與其他僵尸網絡激烈的競爭中穩居前三。

4. BuleHero

Bulehero挖礦蠕蟲最早出現于2018年初,初次曝光于2018年8月,因最早使用bulehero.in域名被命名為Bulehero。該蠕蟲專注于攻擊Windows服務器,通過植入惡意挖礦軟件進行牟利。它使用多種復雜的攻擊方式進行傳播,自出現后更新頻繁,不斷的將新的攻擊方式加入自己的武器庫。

2019年9月20日PHPStudy爆出后門漏洞,僅僅十幾天后BuleHero就開始利用該漏洞傳播。下圖是BuleHero的攻擊流程,攻擊payload會下載download.exe文件,該文件會下載攻擊模塊、掃描模塊、挖礦模塊進行蠕蟲傳播和惡意挖礦。在這次更新之前三個模塊的惡意文件名都混淆為系統文件進行隱藏,更新后惡意文件全部改為隨機文件名。這么做容易被運維人員發現并清理,但會讓競爭對手無法生成進程指紋,在資源競爭中更加有利。

5. kworkerds

kworkerds是一個跨Windows/Linux的平臺挖礦僵尸網絡,利用redis未授權訪問漏洞、SSH弱口令、Weblogic遠程代碼執行等多種Web服務漏洞進行入侵,在2018年9月開始爆發。該挖礦僵尸網絡具備較高的活躍度,其使用的惡意文件下載地址頻繁更換,但代碼結構未發生重大的變化。利用漏洞入侵后下載mr.sh/2mr.sh惡意腳本運行,植入挖礦程序。其最大的特點是通過劫持動態連接庫植入rootkit后門。

6. kerberods

kerberods是Linux下的挖礦蠕蟲,在2019年4月份利用新公開的Confluence RCE(CVE-2019-3396)漏洞大肆傳播,傳播流程如下圖。在該蠕蟲的持久化模塊中,會使用三種方式進行持久化:寫入/etc/init.d/netdns文件用于啟動惡意程序守護進程、寫入/usr/local/lib/libpamcd.so用于hook各種系統函數、將下載惡意程序的指令寫入cron文件從而定時執行。通過逆向惡意文件,發現其手法、程序結構、使用的基礎設施,都與先前利用redis攻擊的watchdogs蠕蟲極度相似,可能是同一作者所為。

7. 8220Miner

8220Miner最早曝光于2018年8月,因固定使用8220端口而被命名為8220組織,他是最早使用Hadoop Yarn未授權訪問漏洞攻擊的挖礦木馬,除此他還使用了多種其他web服務漏洞。

如下是8220Miner的攻擊流程,入侵成功后運行mr.sh腳本執行挖礦程序。8220Miner并未采用蠕蟲式傳播,而是使用固定一組IP進行全網攻擊,我們長期跟蹤發現他所使用的IP大部分來自東南亞。8220Miner在2018年攻擊最為活躍,到了2019年下半年幾乎沒有新的活躍跡象。我們猜測因沒有使用蠕蟲式攻擊,惡意文件也較為簡單,因此在資源競爭中敗落。如果8220Miner沒有重大更新,預計8220Miner將會逐漸消失。

8. watchbog

watchbog是在2019年2月爆發的Linux挖礦蠕蟲,借助新出現的Nexus Repository Manager 遠程代碼執行漏洞爆發,如下是其攻擊流程。watchbog自出現后更新頻繁,在2019年7月一次性增加了多個Web服務漏洞的攻擊方式。在這次更新中watchbog還內置了Windows RDP RCE(CVE-2019-0708)漏洞的掃描模塊,將掃描到的存在漏洞主機地址使用RC4加密方式返回給C&C服務器。攻擊者可能想要利用僵尸網絡搜集互聯網上存在漏洞的主機,為后續攻擊Windows平臺做準備。

安全建議

就在我們編寫這份報告的時候,即2020年1月,虛擬貨幣迎來了新一輪的上漲,這會吸引更多的黑產團伙投入到惡意挖礦中進行非法牟利,預計2020年挖礦活動會繼續猖獗。

基于這種預計,阿里云安全團隊為云上用戶提供如下安全建議:

1、超過一半的挖礦木馬入侵來自弱口令爆 破,而弱口令被稱為不是漏洞的漏洞,最大的問題來自于人的安全意識薄弱,加強企業的安全意識教育和安全管理水平是首要措施;

2、0/N-day漏洞在被披露到修復這段時間,挖礦團伙必定會伺機進行利用。這要求企業必須提升應急響應的效率,實時關注產品安全公告并及時升級,同時也可以選擇購買安全托管服務提升自己的安全水位;

3、企業會重點關注自己的核心業務,安全投入也重點放在這部分,比如部署Waf、高防來保障自己的核心Web服務,一些暴露在互聯網的非Web類的網絡應用就成為了安全防御的短板。安全運維人員應該關注非 Web 類的應用伴隨的安全風險,或者選擇購買帶IPS功能的防火墻產品,第一時間給0-Day漏洞提供防護。

致謝:蒼珀、悟泛

專題訪談

合作站點
stat
007之大战皇家赌场 山西十一选五专家预测 江西快三最新开奖 山西11选5台子 湖北快3走势图今天 配资软件开发 河内五分个人技巧经验心得 为什么开盘前股价会变 浙江省20选5基本走势图 北京快乐彩8开奖结果 股票