腾讯推出一键举报“微反诈小程序” 倡导用户加入反诈行动派
【文章摘要】 腾讯平安御见威胁情报中心公布2019年上半年挖矿木马专题总结报告,上半年挖矿木马样本日均增进6万个。随着币圈的火热,挖矿木马再度变得活跃。一、概述
比特币在履历了2018年大幅下跌之后,在2019年上半年又重新恢复上涨,在6月尾到达13000美元/BTC,靠近历史最高水平17000美元/BTC。
随着比特币的飙升,推动整个数字加密钱币价钱回升,与币市密切相关的挖矿木马最先新一轮活跃。例如2019年3月初最先泛起的“匿影”挖矿木马,自泛起之后就不停更新基础设施,行使各大图床、网盘流传恶意挖矿程序;“永恒之蓝”下载器木马、WannMiner、BuleHero等挖矿团伙连续泛起新的变种,行使各种系统破绽、服务器组件破绽快速扩散流传,然后在熏染系统植入门罗币挖矿程序。
挖矿木马通过完成大量盘算,来获得数字加密钱币系统的“钱币”奖励。在盘算的历程中会占用盘算机大量的CPU、GPU资源,导致电脑变得异常卡慢,若是是笔记本电脑,会泛起电脑发烫、风扇转速增添,电脑噪声增添等异常。
虽然挖矿木马并不通过窃取资产给中毒电脑造成直接损失,但因其流传速度快(许多具有内网横向扩散能力)、熏染量级大,滋扰正常系统服务的运行,会给企业营收、政府机关的公共服务效率造成极大影响。
挖矿木马和勒索病毒的流传通道险些完全一致,政企机关甚至可以拿挖矿木马当做评估系统平安措施是否有用的“指示剂”:若有挖矿木马入侵事宜发生,勒索病毒也一定可以入侵,必须接纳措施强化平安治理,制止发生更严重的损失。
在年初到3月份,挖矿木马最活跃,日发生挖矿木马样本在15万个左右;4月最先有所下降,到五月六月保持在日发生样本6万个左右。挖矿木马在数字虚拟币升温的时刻会极速膨胀,在数字虚拟币遇冷时,也会缓慢降温。挖矿木马样本的总规模在所有病毒木马种类中占有较大比例,是近年来最常见的病毒类型。
二、攻击类型(流传渠道)
2019年上半年,挖矿木马的主要攻击方式以破绽行使攻击为主,行使的破绽包罗Windows系统破绽以及各种服务器组件破绽,这种攻击特点为速度快,针对存在破绽的机械攻击乐成率高;其次为弱口令爆破,包罗MsSQL爆破、IPC$爆破、SSH爆破等,攻击特点为手法简朴,然则攻击时间较长;然后是借助僵尸网络熏染,僵尸网络Mykings、Glupteba等出现连续活状态,是挖矿木马的第三大流传源。
三、熏染区域漫衍
从地域漫衍来看,2019年上半年挖矿木马在全国各地均有差别水平熏染,较严重的区域依次为广东、山东、江苏、北京、四川,整体漫衍纪律与互联网使用人口密度漫衍基本相吻合。挖矿木马已经成为网络世界熏染几率最高的木马之一。
四、挖矿收益
挖矿木马毗邻矿池挖矿,从矿池获取义务,盘算后将义务提交到矿池。由于单个装备的算力(亦称“哈希率”,单元是哈希值个数/秒)较低,无法获得区块奖励,因此矿工通常将自己的矿机接入矿池平台,孝敬自己的算力配合挖矿,获得奖励后凭据各自的孝敬分享收益。2019年上半年挖矿木马使用最普遍的矿池依次为f2pool.com,minexmr.com,uupool.cn。
根据平均每台电脑算力300 H/s盘算,御见平安威胁情报中心监测到全网天天约81000台电脑具有接见矿池挖矿行为,据此估算通过控制肉鸡举行挖矿获得收益约为8万人民币/天,天天每台电脑挖矿门罗币(凭据剖析,绝大部门挖矿木马被投入到门罗币挖矿,比特币挖矿是专业矿机在举行)收益约价值1元人民币,挖矿木马控制肉鸡装备挖矿的成本为零,电费、矿机(中毒电脑)成本都是系统原主人掏)。
五、主要手艺特点
5.1 NSA武器的普遍行使
2017年4月,美国国家平安局(NSA)旗下的“方程式黑客组织”使用的部门网络武器被公然,其中包罗可以远程攻破全球约70% Windows系统的破绽行使工具。
其中,有十款工具最容易影响Windows个人用户,包罗永恒之蓝、永恒冠军、永恒浪漫、永恒协作、翡翠纤维、怪僻地鼠、爱斯基摩卷、文雅学者、日食之翼和尊重审查。黑客只需行使现成的攻击包程序,对网络上所有的IP地址举行扫描攻击,然后在目的机械执行自己组织好的攻击载荷,就可到达快速流传木马的目的。
由于挖矿木马的特点是行使快速控制大量肉鸡组建挖矿网络举行盘算,而不需要选取特定的目的,因此行使NSA武器举行批量破绽扫描攻击险些成为最佳选择。现在NSA武器中被挖矿木马使用最多的是“永恒之蓝”、“双脉冲星”、“永恒冠军”、“永恒浪漫”,虽然大多数用户已经修复了Windows相关破绽,然则另有一部门未修复破绽的用户面临被攻击的危险。
5.2 弱口令爆破
由于部门IT治理职员缺乏平安意识,在使用MsSQL、IPC$、SSH、VNC等服务的历程中,使用简朴的弱口令(弱口令指的是仅包罗简朴数字和字母的口令,例如“123”、“abc”等,这样的口令很容易被别人破解)。而这些弱口令险些所有被黑客所掌握,针对特定端口,行使大量的”密码”举行登录实验,使用弱口令的系统很快就被爆破登录乐成,攻击者可以随便举行植入木马、控制服务器等操作。
5.3 “无文件”挖矿
2018年底泛起的“永恒之蓝”下载器木马,连续活跃到2019年上半年。该木马早先行使某款软件的的升级渠道下载,并通过“永恒之蓝”破绽在内网中横向流传,然后在熏染机械上植入门罗币挖矿程序。
御见威胁情报中心在2019年4月3日检测到“永恒之蓝”下载器木马更新,在该次更新中改变了原有的挖矿木马执行方式,通过在Powershell中嵌入PE文件加载的形式,到达执行“无文件”形式挖矿攻击。新的挖矿木马执行方式没有文件落地,直接在Powershell.exe历程中运行,这种注入“白历程”执行的方式可能造成难以检测和消灭恶意代码。这也是首次发现的,大规模行使“无文件”形式执行的挖矿木马。
因传统平安软件大多基于文件落地来检测威胁,恶意代码若仅在内存中被调用时,容易绕过传统平安软件的防御。这类攻击手法,被业内称为“无文件“攻击。
“永恒之蓝”下载器木马变种后期,在攻击手法上也逐渐转向“无文件”攻击。首先在熏染机械上安装计划义务,通过计划义务启动Powershell攻击模块(无文件落地),Powershell攻击模块包罗行使 “永恒之蓝”破绽攻击、弱口令爆破+WMIC、 Pass the hash攻击代码。在攻陷的机械上执行Payload安装计划义务,上传文件到启动目录,响应的Payload执行后继续举行下一轮熏染。
5.4 “交织熏染”
NSABuffMiner是御见威胁情报中心在2018年9月发现的一个挖矿木马家族,因其主要C2域名中包罗“buff”特征字符而命名;IndoneMiner是御见威胁情报中心在2019年1月发现的挖矿木马家族,因其使用的主要C2域名中包罗“indonesias”而命名。两个家族各自行使NSA武器举行破绽攻击,流传自己的挖矿木马。
而在2019年4月,我们惊讶的发现两个家族最先泛起交织熏染。由于在NSABuffMiner在最新更新的母体样本中,新增了一个下载模块,用来同时下载NSABuffMiner与IndoneMiner两个家族的NSA武器攻击包,然后使用NSABuffMiner的攻击模块攻击内网IP,使用IndoneMiner的攻击模块攻击外网IP,然后从各自差别的服务器下载的Payload注入执行。这样一来,一旦攻击最先,两个家族的木马会同时最先扩散流传,造成更大面积的熏染。
进一步剖析发现,原来两个家族的最早泛起时间十分相近,都为2018年7月。而且各自的C2域名中包罗一个指向湖北武汉的地址(t.honker.info:8与indonesias.me:9998),各自的矿池中包罗一个指向韩国的地址(x.csrss.website:80与indonesiasgo.website:1236)。据此来看,两个木马家族可能出自同一个团伙,前期作为两个部门自力生长,到了后期合二为一交织熏染扩大流传速度。
5.5 跨平台攻击
2019年3月腾讯御见威胁情报中心发现Satan病毒最新变种,该变种病毒针对Windows系统和Linux系统举行无差别攻击,然后在中招电脑中植入勒索病毒勒索比特币、同时植入挖矿木马挖矿门罗币。
病毒攻击双平台容易明白,在入侵系统之后,同时植入勒索病毒和挖矿病毒,有点儿让人匪夷所思:挖矿病毒需要较长时间隐蔽,生计时间越长,收益越大;而勒索病毒一旦加密用户数据,便会很快被用户注意到。用户一旦发现系统中了勒索病毒,往往会检查系统举行病毒查杀,或者将系统从网络断开,挖矿病毒便会难以藏身。
5.6 最“用功”矿马
从更新频率来看,2019年上半年最新“用功”的矿马前三名分别为:“永恒之蓝”下载器、BuleHero蠕虫、“匿影”挖矿木马。
1)“永恒之蓝”下载器
该木马在首次行使某软件的升级通道举行大规模熏染之后,又在短短几个月之内举行了10余次更新。为了提高自己的挖矿收益,不停变换攻击手法,与平安软件厂商斗智斗勇。该木马更新时间线如下:
2)BuleHero挖矿蠕虫
BuleHero蠕虫病毒虽然没有“永恒之蓝”下载器木马更新频率快,然则其活跃的时间更长,首次被发现是2018年8月,之后直到2019年7月一直处于活跃状态。木马在行使各种攻击方式上面可谓周全而清晰,主要分为Windows系统破绽、Web组件破绽、各种弱口令爆破攻击三种攻击类型。木马不停更新和改善版本,实时将黑产界最新爆出的平安破绽收入到自己的武器组合当中。
御见威胁情报中心监测到的BuleHero生长时间线:
3)“匿影”挖矿木马
“匿影”挖矿木马是2019年3月初泛起的挖矿木马家族,该木马放肆行使功效网盘和图床隐藏自己,并携带NSA武器库具备在局域网横向流传的能力。
御见威胁情报中监测到“匿影”挖矿木马时间线:
2019年3月28 “匿影”基础设施、牟利手段均有较大更新,新变种增添了挖矿币种、钱包ID、矿池、安装流程、署理等。
腾讯、京东、快手、虎牙携手反诈,探讨网络平台诈骗治理经验
2019年4月15”匿影”挖矿木马更新基础设施、简化攻击流程、启用最新的挖矿账户挖PASC币,通过Invoke-ReflectivePEInjection在Powershell历程中执行挖矿程序。
2019年5月17更新基础设施,通过计划义务持久化,同时开挖PASC币、门罗币等多种数字加密钱币。
“匿影”所使用大量的公共服务:
六、挖矿僵尸网络
6.1 Mykings
Mykings挖矿木马2019年2月更新了挟制剪切板功效,偷取数字加密钱币、WebMoney、YandexMoney、stream充值信息等、木马添加计划义务,每隔1小时启动一次,通过正则表达式匹配剪切板内容,匹配比特币、门罗币、以太坊等25种数字加密钱币钱包地址。用于转账的黑客钱包被加密存储在PE中,且每次获取剪切板数据后才会动态解密一次,解密算法是把密文-1。
6.2 WannaMiner
2019年3月WannaMiner泛起新的变种攻击,该变种病毒行使永恒之蓝破绽在企业内网快速流传。变种的主要转变为,破绽攻击乐成后释放的特殊花样加密的母体文件变为rdpkax.xls,文件后缀从特定列表中随机选取(xml、log、dat、xsl、ini、tlb、msc),熏染后安装在机械上的主服务模块DLL文件名由三组字符中每组选取一个组成,例如WindowsUpdateService:
1组:Windows、Microsoft、Network、Remote、Function、Secure、Application
2组:Update、Time、NetBIOS、RPC、Protocol、SSDP、UPnP
3组:Service、Host、Client、Event、Manager、Helper、System
同时,由于选取的字符会硬编码到天生的DLL文件中,导致每次天生的木马DLL的hash可能也不一样,这些特点增添了杀软的查杀难度。
6.3 WannaMine
WannaMine(区别于以PE文件攻击为主的WannaMiner) ,是最早在2017年底被发现,接纳“无文件”攻击组成挖矿僵尸网络,攻击时执行远程Powershell代码,全程无文件落地。为了隐藏其恶意行为,WannaMine还会通过WMI类属性存储shellcode, 并使用“永恒之蓝”破绽攻击武器以及“Mimikatz+WMIExec”攻击组件举行横向渗透。
2019年4月腾讯平安御见威胁情报中心检测到该挖矿僵尸网络更新了基础设施,启用了新的C2地址存放恶意代码,变种放弃了通过Powershell内存注入执行挖矿程序的单一方式,改为同时释放PE木马挖矿。这种计谋增大挖矿程序执行乐成概率,同时也增添了僵尸网络露出自身的风险(无文件攻击->有文件攻击),这种转变解释木马团伙可能急于变现而舍弃了原有的隐藏计谋。
七、2019上半年挖矿典型事宜
八、挖矿木马2019年下半年生长趋势
数字加密钱币在2018年-2019年履历了过山车行情,先是爆跌,之后爆涨。比特币已从2017年底的2万美元,跌至最低点不足4000美元,本以为数字加密钱币已经没有未来,但峰回路转,币圈在2019年上半年再次迎来暴涨。
不停升温的交易量,连续上涨的数字钱币价钱像一剂强心针,令挖矿木马随着疯起来,多个古老的已趋寂静的挖矿木马重新变得活跃。由于控制肉鸡电脑挖矿是0成本,介入到挖矿木马制作与流传的黑客团伙越来越多。
从2019年上半年的挖矿木马事宜中发现,虽然新的挖矿木马家族泛起数目不及2018年,然则某些家族泛起了快速、连续更新版本的征象,这解释黑产职员并不是着眼于做“一锤子”生意,而是转向连续运营和改善木马、快速迭代的思绪。
我们观察到挖矿木马的功效设计越来越庞大,在隐藏手法、攻击手法方面不停创新,与杀软厂商的手艺匹敌不停增强。我们以为2019年下半年大型已知的挖矿木马家族仍会连续泛起变种,而新的挖矿木马也会不停泛起。
九、针对挖矿木马的应对措施
1、不要下载来历不明的软件,郑重使用破解工具、游戏辅助工具。
2、实时安装系统补丁,特别是微软公布的高危破绽补丁。
挖矿木马常用Windows系统破绽修复建议:
1)MS010-17 “永恒之蓝”破绽
服务器暂时关闭不必要的端口(如135、139、445),方式可参考:https://guanjia.qq.com/web_clinic/s8/585.html
下载并更新Windows系统补丁,实时修复永恒之蓝系列破绽
XP、WindowsServer2003、win8等系统接见:http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows 10,WindowsServer2016等系统接见:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
2)CVE-2017-8464 LNK 远程执行代码破绽
参考微软官方通告安装补丁:
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
3、服务器使用平安的密码计谋 ,使用高强度密码,切勿使用弱口令,防止黑客暴力破解。
挖矿木马常用爆破类型为:MsSQL爆破、IPC$爆破、SSH爆破、SMB爆破、WMIC爆破。若是用户机械上需要用到以上类型的相关服务,务必对登录使用的弱口令举行排查。
4、企业用户实时修复服务器组件破绽,包罗但不限于以下类型:
Apache Struts2破绽、WebLogicXMLDecoder反序列化破绽、Tomcat随便文件上传破绽、Drupal的远程随便代码执行破绽、JBoss反序列化下令执行破绽、Couchdb的组合破绽、Redis未授权接见破绽、Hadoop未授权接见破绽;
挖矿木马常用的服务器组件破绽修复建议:
1) Weblgoic
CVE-2019-2725补丁包
补丁包下载地址如下:
https://www.oracle.com/technetwork/security-advisory/alert-cve-2019-2725-5466295.html?from=timeline
CVE-2017-10271补丁包
补丁包下载地址如下:
https://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.html
2) Apache Struts2(S2-045)
建议通过升级修复
受影响用户可升级版本至Apache Struts 2.3.32 或 Apache Struts 2.5.10.1以消除破绽影响。
3) ThinkPHP破绽CNVD-2018-24942
ThinkPHP厂商已公布新版本修复此破绽,建议用户立刻升级至最新版本:
https://blog.thinkphp.cn/869075
5、监测装备的CPU、GPU占用情形,发现异常程序实时消灭,部署更完善的平安防御系统。推荐在Windows服务器部署腾讯御点终端平安治理系统,个人电脑使用腾讯电脑管家防止挖矿木马熏染。
腾讯发布《电信网络诈骗治理研究报告(2019上半年)》,揭秘网络诈骗七大新特征