2018年云上挖矿态势分析报告》发布，非Web类应用安全风险需重点关注

近日，阿里云安全团队发布了《2018年云上挖矿分析报告》。该报告以阿里云2018年的攻防数据为基础，对恶意挖矿态势进行了分析，并为我的和企业提出了合理的安全防御建议。

报告指出，尽管加密货币的价格在2018年经历了暴跌，但挖矿还是网络黑产团伙在入侵服务器以后最直接的变现手段，愈来愈多的0-Day/N-Day漏洞在公布后的极短期内就被用于入侵挖矿，黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续。

如下是报告部份内容，下载报告完整版：
https://yq.aliyun.com/download/3312

攻击态势分析

【热点0-Day/N-Day漏洞利用成为挖矿团伙的"武器库",0-Day漏洞留给用户进行修复的窗口期变短】

2018年，多个应用普遍的web应用爆出高危漏洞，对互联网安全形成严重威胁。过后安全社区对漏洞信息的分析和漏洞细节的分享，让利用代码可以方便的从互联网上获取。挖矿团伙天然不会放过这些唾手可得的“武器库”。此外一些持续未获得广泛修复的N-Day漏洞每每也会被挖矿团伙利用。本报告梳理了部分热点0-Day/N-Day漏洞被挖矿团伙大量利用的事件。

同时阿里云观察到，0-Day漏洞从披露到大规模利用之间的时间间隔愈来愈小。所以在高危0-Day漏洞爆出后未能及时修复的用户，容易成为恶意挖矿的受害者。

【非Web网络应用暴露在公网后成为挖矿团伙利用的重灾区】

企业对Web应用可能形成的安全威胁已经有足够的重视，WAF、RASP、漏洞扫描等安全产品也提高了Web应用的安全水位。而非Web网络应用(Redis、Hadoop、SQLServer等)每每并不是企业核心应用，企业在安全加固和漏洞修复上投入并不如Web应用，每每致使高危漏洞持续得不到修复，于是挖矿团伙也会针对性利用互联网上这些持续存在的弱点应用。本报告梳理了2018年非Web网络应用漏洞被挖矿团伙利用的时间线。

【挖矿团伙普遍利用暴力破解进行传播，弱密码仍然是互联网面临的主要威胁】

下图为不一样应用被入侵致使挖矿所占百分比，能够发现SSH/RDP/SQLServer是挖矿利用的重点应用，而这些应用一般是由于弱密码被暴力破解致使被入侵感染挖矿病毒。由此能够看出弱密码致使的身份认证问题仍然是互联网面临的重要威胁。

 

 

恶意行为

【挖矿后门广泛经过蠕虫形式传播】

大多数的挖矿团伙在感染受害主机植入挖矿木马后，会控制这些受害主机对本地网络及互联网的其余主机进行扫描和攻击，从而扩大感染量。这些挖矿木马传播速度较快，且很难在互联网上根除，由于一旦少许主机受到恶意程序感染，它会受控开始攻击其余主机，致使其它带有漏洞或存在配置问题的主机也很快沦陷。

少许挖矿团伙会直接控制部分主机进行网络攻击，入侵受害主机后只在主机植入挖矿后门，并不会进一步扩散。最有表明性的就是8220挖矿团伙。这类团伙通常漏洞利用手段比较丰富，漏洞更新速度较快。

【挖矿团伙会在受害主机上经过持久化驻留获取最大收益】

大多数的挖矿团伙，都会尝试在受害主机上持久化驻留以获取最大收益。

一般在Linux系统中，挖矿团伙经过crontab设置周期性被执行的指令。在Windows系统中，挖矿团伙一般使用schtask和WMI来达到持久化的目的。

以下为Bulehero木马执行添加周期任务的schtask命令:

cmd /c schtasks /create /sc minute /mo 1 /tn "Miscfost" /ru system /tr "cmd /c C:\Windows\ime\scvsots.exe"
cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\Windows\scvsots.exe /p everyone:F"

【挖矿团伙会经过假装进程、加壳、代码混淆、私搭矿池或代理等手段规避安全分析和溯源】

Bulehero挖矿网络使用的病毒下载器进程名为scvsots.exe，与windows正常程序的名字svchost.exe极其类似；其它僵尸网络使用的恶意程序名，像taskhsot.exe、taskmgr.exe、java这类形似正常程序的名称也是家常便饭。

在分析挖矿僵尸网络的过程当中咱们发现，大多数后门二进制程序都被加壳，最常常被使用的是Windows下的UPX、VMP、sfxrar等，以下图，几乎每一个RDPMiner使用的恶意程序都加了上述三种壳之一。

 

 

此外，挖矿团伙使用的恶意脚本每每也通过各类混淆。以下图，JBossMiner挖矿僵尸网络在其vbs恶意脚本中进行混淆加密。

 

 

尽管人工分析时能够经过多种手段去混淆或解密，但加密和混淆对逃避杀毒软件而言，还是很是有效的手段。

恶意挖矿团伙使用本身的钱包地址链接公开矿池，可能由于矿池收到投诉致使钱包地址被封禁。挖矿团伙倾向于更多的使用矿池代理或私搭矿池的方式进行挖矿。进而安全研究人员也难以经过矿池公布的HashRate和付款历史估算出被入侵主机的数量和规模。

主流团伙概述

1.DDG挖矿团伙

从2017年末首次被曝光至今，DDG挖矿僵尸网络一直保持着极高的活跃度。其主要恶意程序由go语言写成，客观上对安全人员研究分析形成了必定阻碍。而频繁的程序配置改动、技术手段升级，使它堪称2018年危害最大的挖矿僵尸网络。

 

 

DDG（3019）各模块结构功能

2.8220挖矿团伙

在诸多挖矿僵尸网络中，8220团伙的挖矿木马独树一帜，由于它并未采用蠕虫型传播，而是直接对漏洞进行利用。

这种方式理论上传播速度较慢，相较于蠕虫型传播的僵尸网络也更难存活，但8220挖矿团伙仍以这种方式获取了较大的感染量。

 

 

挖矿网络结构

3.Mykings(theHidden)挖矿团伙

Mykings（又名theHidden“隐匿者”）挖矿网络在2017年中就被多家友商说起并报道。它从2014年开始出现，时至今日该僵尸网络依然活跃，能够说是拥有很是旺盛的生命力。该僵尸网络极为复杂，集成了Mirai、Masscan等恶意程序的功能，此外在payload、BypassUAC部分都使用极其复杂的加密混淆技术，掩盖攻击意图，逃避安全软件的检测和安全研究人员的分析。该挖矿僵尸网络在11月底更是被发现与“暗云”联手，危害性再次加强。

 

 

挖矿网络结构

4.Bulehero挖矿团伙

 

 

挖矿网络结构

5.RDPMiner挖矿团伙

该挖矿僵尸网络自2018年10月开始蔓延，以后屡次更换挖矿程序名称。

 

 

挖矿网络结构

6.JbossMiner挖矿团伙

阿里云安全团队于2018年3月报道过，从蜜罐中捕获到JbossMiner的恶意程序样本，该样本由py2exe打包，解包反编译后是一套由Python编写的完整攻击程序，包含源码及依赖类库等数十个文件。且对于Windows和Linux系统的受害主机，有不一样的利用程序。

 

 

挖矿网络结构

7.WannaMine

WannaMine是一个蠕虫型僵尸网络。这个挖矿团伙的策略曾被CrowdStrike形容为“靠山吃山靠水吃水”(living off the land)，由于恶意程序在被感染的主机上，首先会尝试经过Mimikatz收集的密码登陆其余主机，失败以后再利用“永恒之蓝”漏洞攻击其余主机，进行繁殖传播。

 

 

挖矿网络结构

8.Kworkerd

这是一个主要攻击Redis数据库未受权访问漏洞的挖矿僵尸网络，因其将挖矿程序的名字假装成Linux正常进程Kworkerd故得名。

该木马只利用一种漏洞却仍有很多感染量，说明数据库安全配置亟待获得用户的重视。

9.DockerKiller

随着微服务的热度不断上升，愈来愈多的企业选择容器来部署本身的应用。而Docker做为实现微服务首选容器，在大规模部署的同时其安全性却没有引发足够的重视。2018年8月，Docker配置不当致使的未受权访问漏洞遭到挖矿团伙的批量利用。

 

 

挖矿网络结构

安全建议

现在尽管币价低迷，但因为经济形势承受下行的压力，可能为潜在的犯罪活动提供诱因。阿里云预计，2019年挖矿活动数量仍将处于较高的水位；且随着挖矿和漏洞利用相关知识的普及，恶意挖矿的入场玩家可能趋于稳定且伴有少许增长。

基于这种情况，阿里云安全团队为企业和我的提供以下安全建议：

• 安全系统中最薄弱的一环在于人，最大的安全问题也每每出于人的惰性，所以弱密码、爆破的问题占了挖矿缘由的半壁江山。不管是企业仍是我的，安全意识教育必不可少；
• 0-Day漏洞修复的窗口期愈来愈短，企业须要提高漏洞应急响应的效率，一方面是积极进行应用系统更新，另外一方面是关注产品的安全公告并及时升级，同时也能够选择购买安全托管服务提高本身的安全水位；
• 伴随着云上弹性的计算资源带来的便利，一些非Web类的网络应用暴露的风险也同步上升，安全运维人员应该重点关注非Web类的应用伴随的安全风险，或者选择购买带IPS功能的防火墙产品，第一时间给0-Day漏洞提供防御。

 

#阿里云开年Hi购季#幸运抽好礼！

点此抽奖：【阿里云】开年Hi购季，幸运抽好礼

 

原文连接

本文为云栖社区原创内容，未经容许不得转载。