《2019年云上挖矿僵尸网络趋势报告》首发:挖矿木马全面蠕虫化

  • 时间:
  • 浏览:0

2019年ddgs保持频繁更新,从501X升级到508,增加了Nexus远程代码执行漏洞的利用最好的法子,但并未成为其主要的攻击最好的法子。值得一提的是2019年ddgs的中控协议指在了两次重大更新,从中心控制形态学 升级到了完整性P2P形态学 。

下图是h2Miner的攻击链路,攻击者利用Redis 4.x RCE加载名为red2.so的恶意文件,该文件会执行恶意指令下载四个 多多 新的恶意脚本并执行,恶意脚本会下载名为kinsing的恶意二进制文件,该文件会从攻击者的中控服务器内接收黑客的指令继续对外攻击传播。下载的恶意脚本不会清理极少量的竞争对手,使用的竞争线程指纹库多达450多条,这也是他能在短时间内极少量爆发的意味着之一,从上图中有人可不才能看到12月18号大规模爆发后,ddgs和MinerGuard的活跃度老会 老会 出现了明显的降低。

Bulehero挖矿蠕虫最早老会 老会 出现于2018年初,初次曝光于2018年8月,因最早使用bulehero.in域名被命名为Bulehero。该蠕虫专注于攻击Windows服务器,通过植入恶意挖矿软件进行牟利。它使用多种错综复杂的攻击最好的法子进行传播,自老会 老会 出现后更新频繁,不断的将新的攻击最好的法子加入当事人的武器库。

2019年,老会 老会 出现了多个大规模的新挖矿木马团伙,有人凭借独特的技术特点得获得了大规模爆发:

2019年9月20日PHPStudy爆出后门漏洞,仅仅十几天后BuleHero就开始利用该漏洞传播。下图是BuleHero的攻击流程,攻击payload会下载download.exe文件,该文件会下载攻击模块、扫描模块、挖矿模块进行蠕虫传播和恶意挖矿。在这次更新刚刚 四个 多多 模块的恶意文件名都混淆为系统文件进行隐藏,更新后恶意文件完整性改为随机文件名。如此做容易被运维人员发现并清理,刚刚 让竞争对手无法生成线程指纹,在资源竞争中更加有利。

Sinkhole技术是指安全人员将恶意域名解析到无效地址的最好的法子,挖矿僵尸网络利用该技术进行资源竞争,通过修改/etc/hosts将竞争对手的域名、常见矿池域名解析到无效地址来阻断其挖矿行为。下图是将挖矿僵尸网络将竞争对手的域名Sinkhole的恶意代码。

8220Miner最早曝光于2018年8月,因固定使用8220端口而被命名为8220组织,他是最早使用Hadoop Yarn未授权访问漏洞攻击的挖矿木马,除此他还使用了多种这个web服务漏洞。

networkservice是MinerGuard的攻击模块,会利用多个网络服务漏洞进行传播。sysupdate模块是开源的门罗币挖矿线程,会从config.json中加载矿机配置参数。值得关注的是sysguard模块,该模块主要功能是更新中控服务器地址,刚刚 可不才能确保病毒持久化驻留在服务器中。模块启动不会创建四个 多多 线程,用于中控服务器地址更新、保护启动项、线程守护、版本升级。正是该模块完善的保护机制,确保了MinerGuard在与这个僵尸网络激烈的竞争中稳居前三。

2019年共发现50个成规模的挖矿木马团伙,以部分感染量定义木马活跃度,下图/表是活跃TOP10的木马家族及简介。从受害者主机的操作系统来看69%为Linux操作系统,31%为Windows操作系统,Top10中的挖矿木马团伙的攻击目标也主刚刚 Linux操作系统。

3. 挖矿团伙主要利用暴力破解进行传播,弱密码仍然是互联网面临的主要威胁

下图是不同应用被入侵意味着挖矿的占比,可不才能发现Redis/SSH/SQLServer/RDP仍然是挖矿利用的主要攻击目标。肯能运维人员的安全意识薄弱,弱密码在互联网广泛指在。而暴力破解利用门槛低,成为挖矿木马重要的传播最好的法子。

无文件攻击不须要将恶意软件落地到磁盘,才能躲避杀毒软件的静态扫描,刚刚 难以被杀软查杀,具备更好的隐蔽性。在挖矿僵尸网络中通常使用各种工具(比如Windows的WMI命令行工具wmic.exe)肯能脚本编程语言(如PowerShell)提供的API接口访问WMI,来实现无文件攻击。如下是TheHidden使用wmic进行无文件攻击的代码。

阿里云承诺为遭受DDoS攻击的企业,提供免费24小时黄金急救服务,肯能您有需求,请钉钉扫码联系有人。

挖矿木马最早老会 老会 出现于2012年,加密数字货币价格自2017年开始暴涨,门罗币等匿名币的老会 老会 出现,其不可追踪、抗Asic矿机的形态学 使得服务器的计算资源变得有利可图。自2018年以来挖矿木马已成为互联网中指在的主要安全威胁。阿里云安全团队长期跟踪和研究挖矿木马,在2019年有人监测到多起挖矿木马的爆发,发现了这个挖矿木马新的发展趋势。本文将最好的法子有人长期的监测数据,对2019年的挖矿木马发展趋势进行分析总结。

该挖矿木马老会 爆发的意味着是改变了redis的入侵最好的法子,爆破redis成功后并不会 通过写入定时任务进行提权(该利用最好的法子更为普遍),刚刚 利用Redis 4.x RCE进行提权,这个最好的法子才能绕过Redis安全配置。该利用最好的法子由Pavel Toporkov在zeronights 2018上分享,在Redis 4.x刚刚 ,Redis新增了Module功能,使用者可不才能在Redis中加载由C语言编译而成的so文件,从而实现特定的Redis命令。下图是h2Miner爆发前后的活跃度趋势。

挖矿僵尸网络将当事人的服务器倒进暗网(Tor洋葱网络)中,这使得对幕后黑手的追溯变得更加困难。2019年这项技术在挖矿僵尸网络中开始广泛使用,如下图是2019年5月份爆发的Xulu挖矿团伙的攻击流程,它将当事人的控制服务器倒进Tor网络中进行隐藏。

2. 木马投放最好的法子全面蠕虫化,多种漏洞组合攻击成为趋势

TOP10中的挖矿木马除了8220Miner以外,都采用蠕虫化的投放最好的法子,除了CryptoSink以外完整性使用超过2种以上最好的法子进行混合攻击。这意味着挖矿木马的传播能力在大幅增强,变得无孔不入。肯能企业的信息系统指在任意可被利用的漏洞,安全边界被突破后内网肯能快速沦陷。在这个清况 下单点防御肯能失效,防御的木桶效应显现,企业须要具备全面的漏洞防御能力。

在2019年多个老的挖矿木马团伙刚刚 断升级当事人的攻击技术、频繁更新,有人在2019年也获得了大规模传播,呈现出强者愈强的局面:

如下是8220Miner的攻击流程,入侵成功后运行mr.sh脚本执行挖矿线程。8220Miner并未采用蠕虫式传播,刚刚 使用固定一组IP进行全网攻击,有人长期跟踪发现他所使用的IP大部分来自东南亚。8220Miner在2018年攻击最为活跃,到了2019年下二天几乎如此新的活跃迹象。有人猜测因如此使用蠕虫式攻击,恶意文件也较为简单,刚刚 在资源竞争中败落。肯能8220Miner如此重大更新,预计8220Miner肯能逐渐消失。

挖矿僵尸网络通过线程的指纹库判断这个挖矿线程,肯能直接杀死CPU占用率高的线程。下图是h2Miner使用的部分指纹库,它使用了多达450多条的线程指纹,这也是h2Miner才能在12月异军突起的意味着之一。

kworkerds是四个 多多 跨Windows/Linux的平台挖矿僵尸网络,利用redis未授权访问漏洞、SSH弱口令、Weblogic远程代码执行等多种Web服务漏洞进行入侵,在2018年9月开始爆发。该挖矿僵尸网络具备较高的活跃度,其使用的恶意文件下载地址频繁更换,但代码形态学 未指在重大的变化。利用漏洞入侵后下载mr.sh/2mr.sh恶意脚本运行,植入挖矿线程。其最大的特点是通过劫持动态连接库植入rootkit后门。

MinerGuard是四个 多多 跨Windows/Linux的平台挖矿僵尸网络,利用redis未授权访问漏洞、SSH弱口令、多种Web服务漏洞进行入侵,在2019年4月份开始爆发。其线程在不同平台上逻辑相同,成功入侵主机不会运行sysguard、networkservice、sysupdate四个 多多 恶意文件。

挖矿僵尸会修改防火墙的iptables,将指在漏洞的服务端口关闭除理这个挖矿木马入侵。肯能关闭常见的矿池端口,阻断竞争对手的挖矿行为。

在5014以及更早的版本,ddgs的中控服务器IP地址硬编码在恶意文件中,这个最好的法子容易被安全人员追踪。



ddgs挖矿僵尸网络最早曝光于2017年10月,早期利用Orientdb漏洞,目前主要利用Redis未授权访问漏洞、SSH弱口令进行入侵。如下图是ddgs的攻击流程,入侵主机不会下载i.sh的恶意脚本,并下载ddgs恶意线程。紧接着会启动disable.sh脚本清理这个挖矿线程,与黑客控制的中控服务器通信后启动挖矿线程,并开始入侵这个主机。

致谢:苍珀、悟泛

挖矿木马是一类利用漏洞入侵计算机,并植入挖矿软件挖掘加密数字货币牟利的木马,被植入挖矿木马的计算肯能老会 老会 出现CPU使用率飙升、系统卡顿、业务服务无法正常使用等清况 。挖矿木马为了才能长期在服务器中驻留,会采用多种安全对抗技术,如修改计划任务、防火墙配置、系统动态链接库等,有有哪些技术手段严重时肯能造成服务器业务中断。



watchbog是在2019年2月爆发的Linux挖矿蠕虫,借助新老会 老会 出现的Nexus Repository Manager 远程代码执行漏洞爆发,如下是其攻击流程。watchbog自老会 老会 出现后更新频繁,在2019年7月一次性增加了多个Web服务漏洞的攻击最好的法子。在这次更新中watchbog还内置了Windows RDP RCE(CVE-2019-0708)漏洞的扫描模块,将扫描到的指在漏洞主机地址使用RC4加密最好的法子返回给C&C服务器。攻击者肯能你会利用僵尸网络搜集互联网上指在漏洞的主机,为后续攻击Windows平台做准备。

1. 挖矿木马全面蠕虫化,漏洞组合攻击是趋势

2019年爆发了多个广泛应用的代码执行漏洞,N-day漏洞爆发后难以在短时间内得到有效修复,往往成为挖矿僵尸网络争夺的”肥肉“,”嗅觉“灵敏的黑产团伙会如此来越快将其纳入挖矿木马的武器库。2019年有人发现多起热门漏洞被挖矿团伙极少量利用的事件,下图是部分漏洞从爆发到被利用的时间线。大部分漏洞不会 几天到十几天之内被挖矿团伙利用,这对云平台及用户的快速响应能力构成严峻考验。

kerberods是Linux下的挖矿蠕虫,在2019年4月份利用新公开的Confluence RCE(CVE-2019-3396)漏洞大肆传播,传播流程如下图。在该蠕虫的持久化模块中,会使用有有一种最好的法子进行持久化:写入/etc/init.d/netdns文件用于启动恶意线程守护线程、写入/usr/local/lib/libpamcd.so用于hook各种系统函数、将下载恶意线程的指令写入cron文件从而定时执行。通过逆向恶意文件,发现其手法、线程形态学 、使用的基础设施,都与先前利用redis攻击的watchdogs蠕虫极度累似 ,肯能是同一作者所为。

挖矿木马入侵成功后必定希望才能长久稳定的惊现虚拟货币,其技术上会采用多种安全对抗技术除理被清除。而面对黑产同行的资源竞争,挖矿木马要生存下去就须要采用多种最好的法子进行竞争。有人观测到2019年挖矿木马使用的安全对抗技术、资源竞争技术愈加纯熟,下面有人会盘点一下挖矿僵尸网络重点使用的安全对抗和资源竞争技术

基于这个预计,阿里云安全团队为云上用户提供如下安全建议:

2019年1月的5015版本中,被入侵主机使用了Memberlist协议框架组建P2P网络,真实的中控服务器隐藏在P2P网络中,被入侵主机须要利用该框架协议从P2P网络成员中遍历出真实的的中控服务器。但中控通信仍然是中心化的,安全人员可不才能模拟成被入侵主机,获取真实的中控服务器IP。

h2Miner是四个 多多 Linux下的挖矿僵尸网络,主要通过爆破Redis入侵,一起去利用多个Web服务漏洞进行攻击。有人最早于12月5号捕获到该挖矿木马,以他的恶意shell脚本h2.sh进行命名,其活跃程度老会 较低,直到12月18日开始才老会 爆发,仅仅五六天不会挖矿僵尸网络就超越了ddgs和MinerGuard成为互联网上最活跃的挖矿僵尸网络。

2019年11月ddgs升级到了508版本,在被入侵的主机中会监听四个 多多 随机端口,利用Golang的net.Pipe()将通信转发到P2P网络成员,被入侵主机不直接与中控服务器通信。中控通信可不才能被这个被入侵主机"路由"到真实的中控服务器,这个累似 洋葱网络的匿名形态学 将中控服务器地址很好地隐藏了起来。下图是ddgs四个 多多 时代的中控形态学 。

就在有人编写这份报告的刚刚 ,即2020年1月,虚拟货币迎来了新一轮的上涨,这会吸引更多的黑产团伙投入到恶意挖矿中进行非法牟利,预计2020年挖矿活动会继续猖獗。

4. 非Web基础框架/组件不合理的安全配置,成为挖矿木马新型利用最好的法子

近几年大数据、容器等新兴技术开始广泛使用,企业上云后开发/测试环境也部署在云上,刚刚 肯能企业不够专业的安全人才、技术人员不够安全意识,有有哪些服务的配置往往指在安全隐患,如服务暴露在公网上、接口指在无认证/弱口令、指在N-day漏洞等间题。肯能有有哪些应用是企业的非核心业务,在安全加固和漏洞修复上投入太久如Web应用,有有哪些应用通常开倒进非标端口上肯能使用非HTTP协议,局部的安全策略往往是不够的。2018年挖矿木马开始利用大数据、容器组件进行传播,而2019年容器编排、供应链框架/组件开始成为挖矿木马的攻击目标,下表是近两年被挖矿木马广泛利用的非Web基础框架/组件漏洞。

挖矿木马须要长期驻留于目标服务器上以达到获利目的,RootKit是恶意驻留技术的统称。最常见的最好的法子是写入定时任务/计划任务实现常驻。而2019年动态链接库预加载型rootkit开始被挖矿木马大规模使用,木马通过动态连接库预加载,实现对libc中诸如readdir等常用函数的hook,当ps、top等shell指令尝试读取/proc/目录获取线程信息时对恶意线程隐藏。如下图是8220Miner利用ProcessHider工具包进行rootkit隐藏。

中控技术是指黑客在被入侵主机上运行后门线程,后门与黑客控制的服务器进行定时通信,黑客可不才能向被控主机架构设计 指令、偷取数据。肯能恶意挖矿行为不须要对bot进行强控制,大部分的挖矿木马不会 具备完备的c&c控制模块,有人通常使用配置文件结合定时任务,实现对bot的配置变更和版本更新。刚刚 在2019年有人见到太久的挖矿僵尸网络开始使用中控技术,具备中控能力的挖矿僵尸网络在资源竞争中会具有更大的优势。如下图是h2Miner的部分中控功能模块。