1、背景云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,逐渐成为黑客的重点攻击目标。随着虚拟机、云主机、容器等技术的广泛应用,传统的安全边界逐渐模糊,主机资产在网络环境中的盲点成倍增加,黑客攻击、数据泄露、病毒和病毒等风险不断增加。特洛伊木马攻击也有所增加。与此同时,各种数字加密货币的价格暴涨。2020年初以来,比特币价格一度突破4万美元/BTC,是2019年底的10倍,达到历史最高点。BestHoldings的2020年称号。受比特币价格飙升影响,各类数字虚拟货币市值大幅上涨。在如此巨额利润的诱惑下,散布挖矿木马获取数字加密货币(最常见的是门罗币)的黑产团伙闻讯而至,纷纷加入主机计算资源争夺战。比特币价格曲线(数据来源:coinmarketcap.com)据腾讯安全威胁情报中心态势感知系统提供的数据显示,针对云主机的挖矿木马近期呈倍增趋势。由于部分主机未对系统进行合理的访问策略控制和安全风险排查,存在弱口令、未授权访问、远程代码执行漏洞等诸多安全漏洞。黑客利用这些漏洞大规模入侵服务器并植入挖矿木马,然后利用被控主机系统的计算资源挖取数字加密货币以牟利。2、威胁情报数据腾讯安全态势感知数据显示,近期检测到的挖矿相关恶意样本、IP流行度和域广度、检测到的挖矿威胁数量均有不同程度的增加。1、腾讯安全情报AI引擎检测到的挖矿木马样本数量大幅增加。2、腾讯安全态势感知系统检测到挖矿团伙控制的IP和域广度也在上升。3、腾讯安全情报分析系统部署的探针检测到的云挖矿威胁数量也有较大幅度的增长。3、近期典型挖矿事件3.1挖矿事件应急响应腾讯安全工程师将对捕获到的具有一定影响的安全事件进行应急响应,升级腾讯安全全系列产品的安全策略,覆盖最新的威胁防御、威胁检测和威胁清除能力;其中,对影响较大的病毒变种或新病毒家族,将对外发布详细的病毒分析报告,给出具体的防御和清理建议,通知和警示用户和安全同行。腾讯安全威胁情报中心运行数据显示,2020/12/9至2021/1/9的一个月内,上述需要人工应急处理的矿业相关事件从平均每天2起增加到每天5个。例如,有很大的增加。3.2老牌挖矿家族更活跃在处理安全事件的过程中,我们发现老牌挖矿木马组织H2Miner和SystemdMiner非常活跃,这些家族针对云主机的系统和应用部署特点开发了新的攻击代码:December202012月22日,H2Miner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193进行攻击传播。2020年12月28日,发现H2Miner挖矿木马家族利用XXL-JOB未授权命令执行漏洞攻击云主机。.(参考链接:https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ)2020年12月,我们还发现SystemdMiner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193进行传播攻击。(参考链接:https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA)2020年10月,WatchBogMiner挖矿木马变种使用任意ApacheFlinkJar包上传,导致远程代码执行漏洞入侵云端主持人。(参考链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg)2020年10月,8220挖矿团伙利用NexusRepositoryManager3远程代码执行漏洞CVE-2019-7238和Confluence远程代码执行漏洞CVE-2019-3396攻击传播。(参考链接:https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA)3.3新的挖矿家族层出不穷。2020年11月以来,仅腾讯安全威胁情报中心就新发现了5000多个矿工家族。目前已经有5个以上的挖矿木马家族。对应家族名称、主要入侵方式、预计感染量如下:https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ4SHMinerhttps://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWwz0Minerhttps://mp.weixin.qq.com/s/cyPZpZpB0rShttps://mp.weixin.qq.com/s/cyPZpZpB4zk://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ其中,2020年11月2日发现挖矿木马组织z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行攻击。该攻击是在Weblogic正式发布安全公告(2020.10.21)后的15天内发起的,可见挖矿木马组织对新型漏洞武器的迅速采用。3.4僵尸网络加入挖矿阵营2020年11月,腾讯安全威胁情报中心检测到TeamTNT僵尸网络批量扫描公网2375端口开放的云服务器,试图利用DockerRemoteAPI未授权访问漏洞攻击云服务器。然后植入了挖矿木马。(参考链接:https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg)2020年12月,腾讯安全威胁情报中心发现Prometei僵尸网络变种开始攻击Linux系统,并登录服务器通过爆破弱SSH密码。然后根据C2指令安装僵尸木马uplugplay控制云主机并启动挖矿程序。Prometei僵尸网络于2020年7月被发现,初期主要利用SMB、WMI弱口令爆破和SMB漏洞(如永恒之蓝漏洞)对Windows系统进行攻击和传播。(参考链接:https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng)4.总结“挖矿木马”在2017年初大规模流行,黑客通过网络入侵控制大量计算机后植入矿机程序,利用计算机CPU或GPU的算力完成大量计算,从而获得数字加密货币。2017年开始爆发后,挖矿木马逐渐成为网络世界的主要威胁之一。服务器一旦被挖矿木马捕获,将严重影响正常业务服务的性能。感染挖矿木马也意味着服务器权限被黑客夺取,企业机密信息可能泄露,攻击者也有彻底破坏数据的可能。.面对日益严峻的安全挑战,企业应加大对主机安全的重视和建设。挖矿木马作为目前主机面临的最常见威胁之一,是检验企业安全防御机制、环境和技术能力的试金石。如何有效应对此类安全威胁,并在此过程中促进企业网络安全能力的提升,应成为企业安全管理者和网络安全厂商的共同目标。5.安全防护建议5.1保护联网主机免受挖矿团伙攻击的一般建议1.为Linux服务器SSH、WindowsSQLServer等主机访问入口设置高强度登录密码;2、针对Redis、HadoopYarn、Docker、XXL-JOB、Postgres等应用添加权限验证,控制访问对象。3、如果服务器部署了Weblogic、ApacheStruts、ApacheFlink、ThinkPHP等经常暴露安全漏洞的服务器组件,应密切关注相应组件官网和各大安全厂商发布的安全公告,并根据提示及时修复相关漏洞。相关组件升级到最新版本。5.2被入侵系统的故障排除和清除1.检查是否有进程占用CPU资源接近100%甚至超过100%。如果找到进程对应的文件,确认是否为挖矿木马,杀掉挖矿进程并删除文件;kill包含恶意下载文件的shell脚本代码执行过程;2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件是否存在恶意脚本下载命令和挖矿木马启动命令,并删除;3、如发现挖矿相关进程和恶意程序,及时排查修复服务器存在的系统漏洞、弱口令、Web应用漏洞等。参考链接:https://mp.weixin.qq.com/s/eVBy5qLmxTNnbwBTQLSz0Ahttps://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.htmlhttps://www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/coinminer-ddos-bot-attack-docker-daemon-ports如有转载请注明出处
