隨著數字貨幣價值不斷攀升,盜取用戶計算機處理器的計算能力進行挖礦成為一門一本萬利的暴利營生��。自 2017 年爆發之后�,近年來挖礦木馬在全球范圍持續活躍,每年都有大量主機和服務器被感染�����,已成為網絡世界最主要的威脅之一����。近日,騰訊安全發布《 2019 年度挖礦木馬報告》��,對挖礦木馬種類、感染趨勢�、技術特點等進行全面分析,并有針對性地提出相關防御和處置建議���。
日攻擊樣本最高10萬��,漏洞��、弱口令攻擊為主要方式
根據騰訊安全威脅情報中心統計數據�, 2019 年挖礦木馬攻擊整體呈增長趨勢��。上半年��,伴隨著數字貨幣價格回升��,挖礦木馬攻擊量持續上升����, 4 月頂峰時日攻擊樣本曾一度超 10 萬個��。 5 月之后���,攻擊趨勢有所減緩�����,下降到 6 萬個/日�,并在全年平穩波動。
從地區分布來看�, 2019 年挖礦木馬在全國各地均有不同程度的感染,其中以廣東�、浙江、江蘇��、北京等東部沿海地區及網絡資源較為豐富的城市較為嚴重���,這一分布與互聯網使用人口密度分布基本吻合����。從行業分布來看�����,黑產更傾向于攻擊互聯網����、制造業、科研和技術服務以及房地產等行業。
從入侵方式來看����,利用普遍存在的漏洞、弱口令攻擊����,或者控制大量機器的僵尸網絡進行大規模傳播依然是挖礦木馬最主要的入侵方式。其中以利用“永恒之藍”漏洞最為普遍����, 2019 年最活躍的三個挖礦木馬家族WannaMiner、MyKings���、DTLMiner均是利用“永恒之藍”漏洞進行蠕蟲式傳播��,單個家族感染用戶均超 2 萬戶。
由于部分IT管理人員缺乏安全意識��,在使用MsSQL����、IPC$、SSH�、VNC等服務的過程中使用簡單的弱口令,也給黑產帶來可乘之機��。SplashData公布的 2019 排名前五位的最差密碼分別是“123456”、“123456789”�����、“qwerty”�、“password”和“1234567”,這些密碼也是黑客在爆破攻擊時的首選���。挖礦木馬通過內置的包含大量簡單密碼的字典進行自動匹配�����,很容易破解此類弱口令并入侵系統����。
“花樣”翻新��,供應鏈感染�����、“無文件”挖礦涌現
隨著安全對抗持續升級�����, 2019 年黑產“挖礦”技術不斷革新,跨平臺挖礦�����、“無文件挖礦等新“花樣”不斷涌現�。
供應鏈感染成為 2019 年挖礦木馬傳播的一大特點。由于軟件本身擁有巨大用戶量����,通過軟件升級進行木馬分發可在短時間內獲得大量計算機資源,供應鏈感染因此深受“挖礦“黑產青睞��。如 2019 年較為活躍的DTLMiner就是通過在后臺配置文件中插入木馬下載鏈接��,讓軟件在升級時下載木馬文件����,進行木馬分發。
為了進一步提高挖礦效率��, 2019 年挖礦木馬經歷了由控制普通電腦到以控制企業主機為主�、從只控制Windows挖礦到混合感染多個平臺的轉變�。去年,騰訊安全發現了”Agwl““蘿莉幫”、WannaMine�、Satan等多個針對linux系統的挖礦木馬;3 月,Satan病毒出現最新變種�,可針對Windows系統和Linux系統進行無差別攻擊,在中招電腦中植入勒索病毒勒索比特幣����、同時植入挖礦木馬挖礦門羅幣;同時,黑產還會將挖礦木馬與勒索軟件��、遠控后門�、剪貼板大盜、DDOS等木馬打包進行混合攻擊���。
Satan病毒跨平臺攻擊
社交網絡也逐步淪為黑產傳播挖礦木馬的工具���。如去年 12 月發現的挖礦木馬LaofuMiner的傳播,就是攻擊者將遠控木馬程序偽裝成“火爆新聞”“色情內容”“隱私資料”“詐騙技巧”等文件名�,通過社交網絡進行傳播,受害者一旦查看文件就立刻被安裝遠控木馬�,并通過遠控木馬控制電腦下載挖礦木馬,中毒電腦就此淪為礦工��。
為了讓攻擊更為隱蔽��,挖礦黑產也在不斷革新技術,“無文件”挖礦首次出現���。 2019 年 4 月 3 日騰訊安全威脅情報中心測到“永恒之藍”下載器木馬更新����,此次更新改變了原有的挖礦木馬執行方式����,通過在Powershell中嵌入PE文件加載的形式,達到執行“無文件”形式挖礦攻擊���。新的挖礦木馬執行方式沒有文件落地��,直接在Powershell.exe進程中運行���,這種注入“白進程”執行的方式使挖礦木馬難以被檢測,所涉及的惡意代碼也更難清除�。此外,KingMiner在啟動挖礦木馬時還采用DLL側加載(DLL Side-Loading)技術����,以逃避殺軟檢測。
企業是“挖礦”主要目標����,強化安全管理勢在必行
騰訊安全專家指出,出于攻擊效率等因素����,目前企業主機和服務器仍是挖礦木馬攻擊的主要對象,且挖礦木馬和勒索病毒的傳播通道具有一致性�,若有挖礦木馬入侵事件發生,勒索病毒也一定可以入侵����,為避免損失,企業必須強化安全管理���,防患于未然����。
對于企業�����,騰訊安全專家建議���,應部署內網系統補丁修復方案���,及時修補系統漏洞;服務器應使用安全的密碼策略 ����,使用高強度密碼;管理內網用戶使用權限����,生產系統配置標準用戶權限登錄,減少中毒的可能性;做好重要信息系統的備份工作����,最大限度保護系統安全和數據安全。同時�,騰訊安全高級威脅檢測系統、騰訊安全態勢感知平臺和騰訊安全網絡空間風險雷達等企業級安全產品可幫助網管做好企業內網和企業網站的安全防范���,及時發現和防御黑客惡意入侵���。
騰訊安全高級威脅檢測系統sqlserver爆破告警
對于個人用戶,專家提醒���,不要下載來歷不明的軟件�,謹慎使用破解工具���、游戲輔助工具等;及時安裝系統補丁���,特別是微軟發布的高危漏洞補丁;下載安裝安全軟件,一旦發現電腦運行速度明顯變慢�����,任務管理器CPU負載明顯增加�,應進行全盤的病毒查殺,以排除挖礦木馬感染風險���。
京公網安備 11010502041587號