背景
11月16日,国家发改委举行新闻发布会,新闻发言人孟玮表示,将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。
引言
对于企业机构和广大网民来说,除了面对勒索病毒这一类威胁以外,其往往面临的另一类广泛的网络威胁类型就是感染恶意挖矿程序。恶意挖矿,就是在用户不知情或未经允许的情况下,占用用户终端设备的系统资源和网络资源进行挖矿,从而获取虚拟币牟利。其通常可以发生在用户的个人电脑,企业网站或服务器,个人手机,网络路由器。随着近年来虚拟货币交易市场的发展,以及虚拟货币的金钱价值,恶意挖矿攻击已经成为影响最为广泛的一类威胁攻击,并且影响着企业机构和广大个人网民。
为了帮助企业机构和个人网民应对恶意挖矿程序攻击,发现和清除恶意挖矿程序,防护和避免感染恶意挖矿程序,奇安信威胁情报中心整理了如下针对挖矿活动相关的现状分析和检测处置建议。
本文采用Q&A的形式向企业机构人员和个人网民介绍其通常关心的恶意挖矿攻击的相关问题,并根据阅读的人群分为企业篇和个人篇。
本文推荐如下类人员阅读:企业网站或服务器管理员,企业安全运维人员, 关心恶意挖矿攻击的安全从业者和个人网民。
企业篇
为什么会感染恶意挖矿程序
通常企业机构的网络管理员或安全运维人员遇到企业内网主机感染恶意挖矿程序,或者网站、服务器以及使用的云服务被植入恶意挖矿程序的时候,都不免提出“为什么会感染恶意挖矿程序,以及是如何感染的”诸如此类的问题。
我们总结了目前感染恶意挖矿程序的主要方式:
l 利用类似其他病毒木马程序的传播方式。
例如钓鱼欺诈,色情内容诱导,伪装成热门内容的图片或文档,捆绑正常应用程序等,当用户被诱导内容迷惑并双击打开恶意的文件或程序后,恶意挖矿程序会在后台执行并悄悄的进行挖矿行为。
l 企业机构暴露在公网上的主机、服务器、网站和Web服务、使用的云服务等被入侵。
通常由于暴露在公网上的主机和服务由于未及时更新系统或组件补丁,导致存在一些可利用的远程利用漏洞,或由于错误的配置和设置了较弱的口令导致被登录凭据被暴力破解或绕过认证和校验过程。
奇安信威胁情报中心在之前披露“8220挖矿团伙”[1]一文中就提到了部分常用的远程利用漏洞:WebLogic XMLDecoder反序列化漏洞、Drupal的远程任意代码执行漏洞、JBoss反序列化命令执行漏洞、Couchdb的组合漏洞、Redis、Hadoop未授权访问漏洞。当此类0day漏洞公开甚至漏洞利用代码公开时,黑客就会立即使用其探测公网上存在漏洞的主机并进行攻击尝试,而此时往往绝大部分主机系统和组件尚未及时修补,或采取一些补救措施。
l 内部人员私自安装和运行挖矿程序
企业内部人员带来的安全风险往往不可忽视,需要防止企业机构内部人员私自利用内部网络和机器进行挖矿牟利,避免出现类似“湖南某中学校长利用校园网络进行挖矿”的事件。
恶意挖矿造成的最直接的影响就是耗电,造成网络拥堵。由于挖矿程序会消耗大量的CPU或GPU资源,占用大量的系统资源和网络资源,其可能造成系统运行卡顿,系统或在线服务运行状态异常,造成内部网络拥堵,严重的可能造成线上业务和在线服务的拒绝服务,以及对使用相关服务的用户造成安全风险。
企业机构遭受恶意挖矿攻击不应该被忽视,虽然其攻击的目的在于赚取电子货币牟利,但更重要的是在于揭露了企业网络安全存在有效的入侵渠道,黑客或网络攻击团伙可以发起恶意挖矿攻击的同时,也可以实施更具有危害性的恶意活动,比如信息窃密、勒索攻击。
那么恶意挖矿攻击具体是如何实现的呢,这里我们总结了常见的恶意挖矿攻击中重要攻击链环节主要使用的攻击战术和技术。
初始攻击入口
针对企业和机构的服务器、主机和相关Web服务的恶意挖矿攻击通常使用的初始攻击入口分为如下四类:
l 远程代码执行漏洞
实施恶意挖矿攻击的黑客团伙通常会利用1-day或N-day的漏洞利用程序或成熟的商业漏洞利用包对公网上存在漏洞的主机和服务进行远程攻击利用并执行相关命令达到植入恶意挖矿程序的目的。
下表是结合近年来公开的恶意挖矿攻击中使用的漏洞信息:
漏洞名称 | 相关漏洞编号 | 相关恶意挖矿攻击 |
永恒之蓝 | CVE-2017-0144 | MsraMiner,WannaMiner,CoinMiner |
Drupal Drupalgeddon 2远程代码执行 | CVE-2018-7600 | 8220挖矿团伙[1] |
VBScript引擎远程代码执行漏洞 | CVE-2018-8174 | Rig Exploit Kit利用该漏洞分发门罗比挖矿代码[3] |
Apache Struts 远程代码执行 | CVE-2018-11776 | 利用Struts漏洞执行CNRig挖矿程序[5] |
WebLogic XMLDecoder反序列化漏洞 | CVE-2017-10271 | 8220挖矿团伙[1] |
JBoss反序列化命令执行漏洞 | CVE-2017-12149 | 8220挖矿团伙[1] |
Jenkins Java反序列化远程代码执行漏洞 | CVE-2017-1000353 | JenkinsMiner[4] |
Apache Struts 2 Jakarta Multipart Parser远程代码执行漏洞 | CVE-2017-5638 | KioMiner BlueHero |
Spring Data Commons远程代码执行漏洞 | CVE-2018-1273 | GuardMiner |
Tomcat信息泄漏/远程代码执行 | CVE-2017-12615 | BuleHero |
Windows RDP远程代码执行 | CVE-2019-0708 | KingMiner |
WebLogic反序列化远程代码执行 | CVE-2019-2725 | 8220挖矿团伙[1] |
Apache Solr 远程代码执行 | CVE-2019-0193 | Agwl团伙 |
Confluence远程代码执行 | CVE-2019-3396 | 8220挖矿团伙[1] |
Weblogic未授权命令执行漏洞 | CVE-2020-14882 | z0Miner |
SaltStack远程命令执行漏洞 | CVE-2020-11651 | H2Miner团伙 |
Confluence OGNL注入漏洞 | CVE-2021-26084 | z0Miner |
Vmware vCenter远程代码执行漏洞 | CVE-2021-21972 | Freakout僵尸网络挖矿 |
F5 BIG-IP远程代码执行漏洞 | CVE-2021-22986 | Sora-Mirai变种木马挖矿 |
l 暴力破解
黑客团伙通常还会针对目标服务器和主机开放的Web服务和应用进行暴力破解获得权限外,例如暴力破解Tomcat服务器或SQL Server服务器,对SSH、RDP登录凭据的暴力猜解。
l 未正确配置导致未授权访问漏洞
还有一类漏洞攻击是由于部署在服务器上的应用服务和组件未正确配置,导致存在未授权访问的漏洞。黑客团伙对相关服务端口进行批量扫描,当探测到具有未授权访问漏洞的主机和服务器时,通过注入执行脚本和命令实现进一步的下载植入恶意挖矿程序。
下表列举了恶意挖矿攻击中常用的未授权漏洞:
漏洞名称 | 主要的恶意挖矿木马 |
Redis未授权访问漏洞 | 8220挖矿团伙[1] |
Hadoop Yarn REST API未授权漏洞利用 | 8220挖矿团伙[1] |
Docker Remote API未授权访问漏洞 | TeamTNT挖矿木马,Cleanfda挖矿木马 |
Jenkins未授权访问漏洞 | DarkMiner挖矿木马 |
除了上述攻击入口以外,恶意挖矿攻击也会利用诸如供应链攻击,和病毒木马类似的传播方式实施攻击。
l 僵尸网络
攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。当前利用僵尸网络渠道分发挖矿木马是其主要传播手段之一,僵尸网络在分发挖矿木马的同时,还会下载自动更新模块、远程控制模块、持久化模块等,甚至会利用漏洞来进行传播,感染更多的主机,以此来不断扩大僵尸网络的规模。例如DTLMiner(永恒之蓝下载器木马)、H2Miner、GuardMiner等老牌僵尸网络,背后团伙不断更新其攻击方法,使其在出现后的数年里仍然保持很高的活跃度。
植入,执行和持久性
恶意挖矿攻击通常利用远程代码执行漏洞或未授权漏洞执行命令并下载释放后续的恶意挖矿脚本或木马程序。
恶意挖矿木马程序通常会使用常见的一些攻击技术进行植入,执行,持久化。例如使用WMIC执行命令植入,使用UAC Bypass相关技术,白利用,使用任务计划持久性执行或在Linux环境下利用crontab定时任务执行等。
下图为在8220挖矿团伙一文[1]中分析的恶意挖矿脚本,其通过写入crontab定时任务持久性执行,并执行wget或curl命令远程下载恶意程序。
恶意挖矿攻击会利用混淆,加密,加壳等手段对抗检测,除此以外为了保障目标主机用于自身挖矿的独占性,通常还会出现“黑吃黑”的行为。例如:
当前恶意挖矿程序主要的形态分为三种:
l 自开发的恶意挖矿程序,其内嵌了挖矿相关功能代码,并通常附带有其他的病毒、木马恶意行为
l 利用开源的挖矿代码编译实现,并通过PowerShell,Shell脚本或Downloader程序加载执行,如XMRig[7], CNRig[8],XMR-Stak[9]。
其中XMRig是一个开源的跨平台的门罗算法挖矿项目,其主要针对CPU挖矿,并支持38种以上的币种。由于其开源、跨平台和挖矿币种类别支持丰富,已经成为各类挖矿病毒家族最主要的挖矿实现核心。
l Javascript脚本挖矿,其主要是基于CoinHive[6]项目调用其提供的JS脚本接口实现挖矿功能。由于JS脚本实现的便利性,其可以方便的植入到入侵的网站网页中,利用访问用户的终端设备实现挖矿行为。
那么如何发现是否感染恶意挖矿程序,本文提出几种比较有效而又简易的排查方法。
“肉眼”排查或经验排查法
由于挖矿程序通常会占用大量的系统资源和网络资源,所以结合经验是快速判断企业内部是否遭受恶意挖矿攻击的最简易手段。
通常企业机构内部出现异常的多台主机卡顿情况并且相关主机风扇狂响,在线业务或服务出现频繁无响应,内部网络出现拥堵,在反复重启,并排除系统和程序本身的问题后依然无法解决,那么就需要考虑是否感染了恶意挖矿程序。
技术排查法
1. 进程行为
通过top命令查看CPU占用率情况,并按C键通过占用率排序,查找CPU占用率高的进程。
通过netstat -anp命令可以查看主机网络连接状态和对应进程,查看是否存在异常的网络连接。
3. 自启动或任务计划脚本
查看自启动或定时任务列表,例如通过crontab查看当前的定时任务。
查看主机的例如/etc/hosts,iptables配置等是否异常。
5. 日志文件
通过查看/var/log下的主机或应用日志,例如这里查看/var/log/cron*下的相关日志。
查看内部网络和主机的安全防护设备告警和日志信息,查找异常。
通常在企业安全人员发现恶意挖矿攻击时,初始的攻击入口和脚本程序可能已经被删除,给事后追溯和还原攻击过程带来困难,所以更需要依赖于服务器和主机上的终端日志信息以及企业内部部署的安全防护设备产生的日志信息。
如何防护恶意挖矿攻击:
1. 企业网络或系统管理员以及安全运维人员应该在其企业内部使用的相关系统,组件和服务出现公开的相关远程利用漏洞时,尽快更新其到最新版本,或在为推出安全更新时采取恰当的缓解措施;
2. 对于在线系统和业务需要采用正确的安全配置策略,使用严格的认证和授权策略,并设置复杂的访问凭证;
3. 加强企业机构人员的安全意识,避免企业人员访问带有恶意挖矿程序的文件、网站;
4. 制定相关安全条款,杜绝内部人员的主动挖矿行为。
个人篇
个人用户面对的恶意挖矿问题
相比企业机构来说,个人上网用户面对着同样相似的恶意挖矿问题,如个人电脑,手机,路由器,以及各类智能设备存在被感染和用于恶意挖矿的情况。像现在手机的硬件配置往往能够提供很高的算力。奇安信威胁情报中心在今年早些就配合网络研究院及多个安全部门联合分析和披露了名为ADB.Miner的安卓蠕虫[2],其就是利用智能电视或智能电视盒子进行恶意挖矿。
当用户安装了内嵌有挖矿程序模块的APP应用,或访问了植入有挖矿脚本的不安全网站或被入侵的网站,往往就会造成设备算力被用于恶意挖矿。而其影响通常会造成设备和系统运行不稳定,异常发热和耗电,甚至会影响设备的使用寿命和电池寿命。
如何避免感染恶意挖矿程序
以下我们提出几点安全建议让个人用户避免感染恶意挖矿程序:
1. 提高安全意识,从正常的应用市场和渠道下载安装应用程序,不要随意点击和访问一些具有诱导性质的网页;
2. 及时更新应用版本,系统版本和固件版本;
3. 安装个人终端安全防护软件。
典型的恶意挖矿恶意代码家族及自查方法
8220挖矿攻击
概述
挖矿攻击名称 | 8220团伙挖矿攻击 |
涉及平台 | Linux |
相关恶意代码家族 | 未命名 |
攻击入口 | 利用多种远程执行漏洞和未授权访问漏洞 |
相关漏洞及编号 | WebLogic XMLDecoder反序列化漏洞、Drupal的远程任意代码执行漏洞、JBoss反序列化命令执行漏洞、Couchdb的组合漏洞、Redis、Hadoop未授权访问漏洞。 |
描述简介 | 8220团伙挖矿攻击是奇安信威胁情报中心发现的挖矿攻击黑客团伙,其主要针对高校相关的Linux服务器实施挖矿攻击。 |
自查办法
3. 在/var/tmp/目录下存在如java、pscf3、w.conf等名称的文件;
5. 通过查看/var/log/cron*相关的crontab日志,看是否存在利用wget访问和下载异常的远程shell脚本。
概述
挖矿攻击名称 | WannaMiner |
涉及平台 | Windows |
相关恶意代码家族 | WannaMiner,MsraMiner,HSMiner |
攻击入口 | 使用永恒之蓝漏洞 |
相关漏洞及编号 | CVE-2017-0144 |
描述简介 | WannaMiner是一个非常活跃的恶意挖矿家族,曾被多个安全厂商披露和命名,包括WannaMiner,MsraMiner、HSMiner。其最早活跃于2017年9月,以使用“永恒之蓝”漏洞为攻击入口以及使用 “Mimikatz”凭证窃取工具攻击服务器植入矿机,并借助PowerShell和WMI实现无文件。 |
自查方法
如何清除
1. 删除检查到的可疑任务计划和自启动项;
2. 结束可疑的进程,如运行路径为:%windir%\IME\Microsofts\和运行路径为%windir%\spoolsv.exe和%windir%\windows.exe的进程;
3. 删除c盘目录下的012.exe和023.exe文件。
防护方法
概述
挖矿攻击名称 | JbossMiner |
涉及平台 | Windows,Linux 服务器或主机 |
相关恶意代码家族 | JbossMiner |
攻击入口 | 利用多种远程执行漏洞和未授权访问漏洞 |
相关漏洞及编号 | Jboss漏洞利用模块,structs2利用模块,永恒之蓝利用模块,mysql利用模块,redis利用模块,Tomcat/Axis利用模块 |
描述简介 | JbossMiner主要是通过上述六大漏洞模块进行入侵和传播,并植入挖矿木马获利。其挖矿木马同时支持windows和linux两种平台,根据不同的平台传播不同的payload。 |
自查方法
Linux平台
1. 检查是否存在/tmp/hawk 文件;
2. 检查是否存在/tmp/lower*.sh或/tmp/root*.sh文件;
3. 检查crontab中是否有可疑的未知定时任务。
Windows平台
1. 检查是否有名为Update*的可疑计划任务和Updater*的可疑启动项;
2. 检查是否存在%temp%/svthost.exe和%temp%/svshost.exe文件;
3. 检查是否存在一个rigd32.txt的进程。
如何清除
Linux平台
可以执行如下步骤执行清除:
1. 删除crontab中可疑的未知定时任务;
2. 删除/tmp/目录下的bashd、lower*.sh、root*.sh等可疑文件;
3. 结束第2步发现的各种可疑文件对应的可疑进程。
Windows平台
可以执行如下步骤进行清除:
1. 删除可疑的计划任务和启动项;
2. 结束进程中名为svshost.exe、svthost.exe的进程;
3. 结束可疑的powershell.exe、regd32.txt等进程;
4. 清空%temp%目录下的所有缓存文件。
防护方法
1. 如果不需要使用Windows局域网共享服务,可以通过设置防火墙规则来关闭445等端口;
2. 修改服务器上的数据库密码,设置为更强壮的密码;
3. 安装系统补丁和升级产品所使用的类库;
4. Windows下安装奇安信天擎可有效防护该类挖矿病毒的攻击。
概述
挖矿攻击名称 | MyKings |
涉及平台 | Windows平台 |
相关恶意代码家族 | DDoS、Proxy、RAT、Mirai |
攻击入口 | 通过扫描开放端口,利用漏洞和弱口令进行入侵 |
相关漏洞及编号 | 永恒之蓝 |
描述简介 | MyKings 是一个由多个子僵尸网络构成的多重僵尸网络,2017 年 4 月底以来,该僵尸网络一直积极地扫描互联网上 1433 及其他多个端口,并在渗透进入受害者主机后传播包括 DDoS、Proxy、RAT、Miner 在内的多种不同用途的恶意代码。 |
自查方法
如何清除
防护办法
概述
挖矿攻击名称 | ADB.Miner |
涉及平台 | 搭载安卓系统的移动终端,智能设备 |
相关恶意代码家族 | ADB.Miner |
攻击入口 | 利用安卓开启的监听5555端口的ADB调试接口传播 |
相关漏洞及编号 | 无 |
描述简介 | ADB.Miner是由奇安信发现的利用安卓设备的ADB调试接口传播的恶意挖矿程序,其支持利用xmrig和coinhive两种形式进行恶意挖矿。 |
自查方法
如何清除
防护办法
概述
挖矿攻击名称 | KoiMiner |
涉及平台 | Windows、Linux |
相关恶意代码家族 | 未命名 |
攻击入口 | Apache Struts2漏洞攻击、针对企业SQL Server 服务器的1433端口爆破攻击进行蠕虫式传播 |
相关漏洞及编号 | Apache Struts2漏洞S2-045(CVE-2017-5638)、MS16-032漏洞 |
描述简介 | KoiMiner是腾讯御见威胁情报中心发现的挖矿攻击木马,由于挖矿木马netxmr解密代码后以模块名“koi”加载而将其命名为KoiMiner。 |
自查办法
如何清除和防护
概述
挖矿攻击名称 | NSABuffMiner |
涉及平台 | Windows |
相关恶意代码家族 | 未命名 |
攻击入口 | 使用EternalBlue、DoublePulsar、EternalRomance等漏洞进行攻击 |
相关漏洞及编号 | MS17-010 |
描述简介 | NSABuffMiner是腾讯安全御见威胁情报中心在2018年9月发现的一个挖矿木马家族,主要利用永恒之蓝漏洞ms17-010攻击传播,且Payload下载植入的安装木马常常伪装成某些主流软件程序,常用挖矿进程名为rundllhost.exe, 因其主要C2域名中包含“buff”特征字符而命名。 |
自查方法
如何清除
防护方法
概述
挖矿攻击名称 | NSAGluptebaMiner |
涉及平台 | Windows |
相关恶意代码家族 | Glupteba木马 |
攻击入口 | 使用EternalBlue、DoublePulsar等漏洞进行攻击 |
相关漏洞及编号 | MS17-010 |
描述简介 | 2018年6月腾讯安全威胁情报中心发现cloudnet.exe开始作为挖矿僵尸网络NSAGluptebaMiner的组件传播,cloudnet.exe原来是Glupteba恶意木马。其利用永恒之蓝漏洞进行传播,通过安装计划任务进行持久化,安装驱动对木马进行保护,利用组件cloudnet.exe构建僵尸网络,并通过比特币交易数据更新C2地址。 |
自查方法
如何清除
1. 删除可疑的计划任务和启动项;
2. 结束进程中名为Scheduled.exe、wup.exe的进程;
3. 删除C:\Windows\System32\drivers目录下的隐藏驱动文件Winmon.sys、WinmonFS.sys、WinmonProcessMonitor.sys。
防护方法
概述
挖矿攻击名称 | BuleHero |
涉及平台 | Windows平台 |
相关恶意代码家族 | 未命名 |
攻击入口 | 通过扫描开放端口,利用漏洞和弱口令进行入侵 |
相关漏洞及编号 | 永恒之蓝、LNK漏洞CVE-2017-8464、Tomcat任意文件上传漏洞CVE-2017-12615、Apache Struts2远程代码执行漏洞CVE-2017-5638、Weblogic反序列化任意代码执行漏洞CVE-2018-2628,CVE-2019-2725、Drupal远程代码执行漏洞CVE-2018-7600、Apache Solr 远程代码执行漏洞CVE-2019-0193、THinkphpV5漏洞CNDV-2018-24942、PHPStudy后门利用等 |
描述简介 | BlueHero是一个善于学习和使用各类Web服务器组件漏洞进行攻击的家族,于2018年8月首次被披露。自披露以来,其版本不断的在更新迭代,其在4.0版本新加入的攻击方法就达到十个之多。 |
自查方法
如何清除
防护办法
概述
挖矿攻击名称 | GuardMiner |
涉及平台 | Windows, Linux |
相关恶意代码家族 | GuardMiner |
攻击入口 | 利用多种远程执行漏洞和未授权访问漏洞 |
相关漏洞及编号 | CCTV设备RCE漏洞;Redis未授权访问漏洞;Drupal框架CVE-2018-7600漏洞;Hadoop未授权访问漏洞;Spring RCE漏洞CVE-2018-1273;Thinkphp V5高危漏洞;WebLogic RCE漏洞CVE-2017-10271;SQL Server弱口令爆破;Elasticsearch RCE漏洞 CVE-2015-1427、CVE-2014-3120 |
描述简介 | GuardMiner最早出现于2019年,至今已活跃超过2年,该挖矿木马通过Go语言编写的二进制程序针对Windows平台和Linux平台进行攻击传播,通过crontab定时任务以及安装SSH公钥后门进行持久化控制,并且还会利用比特币的交易记录来动态更新C2地址 |
自查办法
如何清除和防护
概述
挖矿攻击名称 | z0Miner |
涉及平台 | Windows和Linux |
相关恶意代码家族 | z0Miner |
攻击入口 | 利用多种远程执行漏洞和未授权访问漏洞 |
相关漏洞及编号 | Weblogic未授权命令执行漏洞(CVE-2020-14882/14883);ElasticSearch RCE 漏洞 CVE-2015-1427;Jenkins script console RCE 漏洞;Nexus3命令执行漏洞(CVE-2019-7238);Confluence 远程代码执行漏洞(CVE-2019-3396, CVE-2021-26084);Struts2命令执行漏洞 (s2-016,s2-046) |
描述简介 | z0Miner从2020年开始活跃,最初活跃时利用Weblogic未授权命令执行漏洞进行传播。该挖矿木马背后团伙通过批量扫描云服务器发现具有Weblogic漏洞的机器,发送精心构造的数据包进行攻击。之后执行远程命令下载shell脚本z0.txt运行,再利用该shell脚本植入门罗币挖矿木马、挖矿任务本地持久化,以及通过爆破SSH横向移动。根据该团伙控制的算力推算,当时有大约5000台服务器受害。2021年9月,国外安全厂商趋势科技披露z0Miner借助Confluence漏洞在Windows上传播。 |
自查办法
如何清除和防护
概述
挖矿攻击名称 | SystemdMiner |
涉及平台 | Linux |
相关恶意代码家族 | SystemdMiner |
攻击入口 | 利用多种远程执行漏洞和未授权访问漏洞,SSH爆破,SSH免密登录利用 |
相关漏洞及编号 | PostgreSQL的未授权访问漏洞和提权代码执行漏洞(CVE-2019-9193);Hadoop Yarn未授权访问漏洞 |
描述简介 | SystemdMiner在2019年被首次发现,起初因其组件以systemd-<XXX>命名而得名,但后来它们渐渐开始弃用systemd的命名形式,改为以随机字符串命名。SystemdMiner在最初出现时通过入侵DDG挖矿病毒僵尸网络进行快速扩张。特点是本身的C&C设置在暗网中,通过暗网代理服务进行通信。 |
自查办法
如何清除和防护
概述
挖矿攻击名称 | WatchdogsMiner |
涉及平台 | Windows和Linux |
相关恶意代码家族 | WatchdogsMiner |
攻击入口 | 利用未授权访问漏洞,SSH爆破 |
相关漏洞及编号 | Redis未授权访问漏洞 |
描述简介 | WatchdogsMiner于2019年被发现,由于其会在/tmp/目录下释放一个叫watchdogs的母体文件而得名。WatchdogsMiner的初始版本会将恶意代码托管在pastebin.com上以绕过检测,不过后续版本已弃用,改为自己的C&C服务器*.systemten.org。该病毒的特点是样本由go语言编译,并使用了伪装的hippies/LSD包(github_com_hippies_LSD_*) |
自查办法
如何清除和防护
概述
挖矿攻击名称 | PhotoMiner挖矿 |
涉及平台 | Windows |
相关恶意代码家族 | 未命名 |
攻击入口 | 爆破FTP和SMB的弱口令 |
相关漏洞及编号 | 无 |
描述简介 | PhotoMiner是一个活跃已久的挖矿病毒家族,主要通过感染后爆破FTP和SMB的弱口令进行传播。 |
自查办法
如何清除和防护
1. 终止挖矿进程,删除Photo.scr;
2. 删除上述自启动项。
概述
挖矿攻击名称 | PhotoMiner挖矿 |
涉及平台 | Linux |
相关恶意代码家族 | 未命名 |
攻击入口 | OrientDB漏洞 |
相关漏洞及编号 | CVE-2017-11467 OrientDB 远程代码执行漏洞 |
描述简介 | DDG主要扫描互联网上的 OrientDB 数据库服务器并进行攻击。进一步的分析发现,这是一个长期运营的僵尸网络,其主要目标是挖取门罗币 |
自查办法
1. Crontab中有异常项目;
2. 有名为wnTKYg的进程运行。
1. 移除Crontab中的可疑项目;
2. 结束有关进程;
3. 即时更新相关安全补丁。
H2Miner
概述
挖矿攻击名称 | H2Miner挖矿团伙 |
涉及平台 | Linux |
相关恶意代码家族 | 未命名 |
攻击入口 | 利用多种远程执行漏洞 |
相关漏洞及编号 | XXL-JOB未授权命令执行漏洞,PHPUnit远程代码执行漏洞(CVE-2017-9841),Supervisord远程命令执行漏洞(CVE-2017-11610),ThinkPHP 5.X远程命令执行漏洞,SaltStack远程命令执行漏洞(CVE-2020-11651 CVE-2020-11652) |
描述简介 | H2Miner是一个linux下的挖矿僵尸网络,并且利用多种漏洞进行传播 |
自查办法
由于该挖矿家族变种较多,感染路径复杂,暂无比较通用的检查方案
PowerGhost
概述
挖矿攻击名称 | PowerGhost |
涉及平台 | Windows、Linux |
相关恶意代码家族 | 未命名 |
攻击入口 | 永恒之蓝、MSSQL爆破、SSH爆破、wmi以及smb爆破远程命令执行 |
相关漏洞及编号 | 永恒之蓝漏洞(MS17-010)、脏牛漏洞(CVE-2016–5195) 、MS16-032、 MS15-051、CVE-2018-8120 |
描述简介 | PowerGhost恶意软件是一个powershell脚本,其中的主要的核心组件有:挖矿程序、minikatz工具,反射PE注入模块、主要利用永恒之蓝的漏洞的shellcode以及MS16-032,MS15-051和CVE-2018-8120漏洞提权payload。主要针对企业用户,在大型企业内网进行传播,并且挖矿采用无文件的方式进行,因此杀软很难查杀到挖矿程序 |
自查办法
如何清除
防护方法
NSAFtpMiner
概述
挖矿攻击名称 | NSAFtpMiner |
涉及平台 | Windows |
相关恶意代码家族 | 未命名 |
攻击入口 | 利用密码字典爆破1433端口登录,以及Eternalblue等漏洞攻击工具来进行内网攻击。 |
相关漏洞及编号 | 永恒之蓝(MS17-010) |
描述简介 | NSAFtpMiner是腾讯安全御见威胁情报中心在2018年9月发现的一个挖矿木马家族,主要利用密码字典爆破1433端口登录以及永恒之蓝漏洞攻击传播, 攻击主进程伪装成“Ftp系统核心服务”,还会利用FTP功能进行内网文件更新。其攻击内网机器后,植入远程控制木马,并继续从C2地址下载挖矿和攻击模块,进行内网扩散感染。 |
自查方法
如何清除
防护方法
概述
挖矿攻击名称 | ZombieboyMiner |
涉及平台 | Windows |
相关恶意代码家族 | 未命名 |
攻击入口 | 使用EternalBlue、DoublePulsar等漏洞进行攻击 |
相关漏洞及编号 | 永恒之蓝(MS17-010) |
描述简介 | 腾讯御见威胁情报中心在对黑客于2018.08.14注册并使用的C2域名fq520000.com及其样本进行分析,然后通过对比Zombieboy木马在几轮攻击中的攻击手法、恶意代码特征、C2域名及IP、端口特征的一致性,推测得出攻击来源属于同一团伙,并将其命名为ZombieboyMiner。 |
自查方法
如何清除
防护方法
概述
挖矿攻击名称 | 驱动人生挖矿团伙 |
涉及平台 | Windows、Linux |
相关恶意代码家族 | 未命名 |
攻击入口 | 利用永恒之蓝漏洞、SMBGhost漏洞等多种高危漏洞,对MSSQL,SSH暴力破解 |
相关漏洞及编号 | 永恒之蓝(MS17-010),SMBGhost(CVE-2020-0796) |
描述简介 | “驱动人生”病毒自2018年出现,至今出现多个变种,不断进行技术优化以躲避安全软件的查杀监测, 该病毒利用永恒之蓝漏洞、SMBGhost漏洞等多种高危漏洞对Windows、Linux下的主机进行入侵感染,在入侵成功之后不仅会下载挖矿文件进行挖矿,还会释放传播模块继续入侵感染其他终端,并且病毒所使用的Powershell脚本经过多层混淆用以逃避安全软件的查杀. |
自查方法
如何清除
可以执行如下步骤进行清除:
防护办法
总结
由于获益的直接性,恶意挖矿攻击已经成为当前最为泛滥的一类网络威胁之一,对其有一个全面的了解,是防范此类攻击的一种典型的战术级威胁情报的掌握。企业和机构在威胁情报的支持下采取相应的防护措施,比如通过安全防护设备和服务来更自动化更及时地发现、检测和响应恶意挖矿攻击,奇安信天擎等终端工具可以有效地发现和阻断包括挖矿在内各类威胁。
参考链接
1. https://ti.qianxin.com/blog/articles/8220-mining-gang-in-china/
2. https://ti.qianxin.com/blog/articles/more-infomation-about-adb-miner/
3. https://blog.trendmicro.com/trendlabs-security-intelligence/rig-exploit-kit-now-using-cve-2018-8174-to-deliver-monero-miner/
4. https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/
5. https://www.volexity.com/blog/2018/08/27/active-exploitation-of-new-apache-struts-vulnerability-cve-2018-11776-deploys-cryptocurrency-miner/
6. https://coinhive.com/
7. https://github.com/xmrig/xmrig
8. https://github.com/cnrig/cnrig
9. https://github.com/fireice-uk/xmr-stak
如有侵权请联系:admin#unsafe.sh