惡意挖礦攻擊的現狀、檢測及處置
引言
對於企業機構和廣大網民來說,除了面對勒索病毒這一類威脅以外,其往往面臨的另一類廣泛的網路威脅型別就是感染惡意挖礦程式。惡意挖礦,就是在使用者不知情或未經允許的情況下,佔用使用者終端裝置的系統資源和網路資源進行挖礦,從而獲取虛擬幣牟利。其通常可以發生在使用者的個人電腦,企業網站或伺服器,個人手機,網路路由器。隨著近年來虛擬貨幣交易市場的發展,以及虛擬貨幣的金錢價值,惡意挖礦攻擊已經成為影響最為廣泛的一類威脅攻擊,並且影響著企業機構和廣大個人網民。
為了幫助企業機構和個人網民應對惡意挖礦程式攻擊,發現和清除惡意挖礦程式,防護和避免感染惡意挖礦程式,360威脅情報中心整理了如下針對挖礦活動相關的現狀分析和檢測處置建議。
本文采用Q&A的形式向企業機構人員和個人網民介紹其通常關心的惡意挖礦攻擊的相關問題,並根據閱讀的人群分為企業篇和個人篇。
本文推薦如下類人員閱讀:
企業網站或伺服器管理員,企業安全運維人員, 關心惡意挖礦攻擊的安全從業者和個人網民。
企業篇
為什麼會感染惡意挖礦程式
通常企業機構的網路管理員或安全運維人員遇到企業內網主機感染惡意挖礦程式,或者網站、伺服器以及使用的雲服務被植入惡意挖礦程式的時候,都不免提出“為什麼會感染惡意挖礦程式,以及是如何感染的”諸如此類的問題。
我們總結了目前感染惡意挖礦程式的主要方式:
利用類似其他病毒木馬程式的傳播方式
例如釣魚欺詐,色情內容誘導,偽裝成熱門內容的圖片或文件,捆綁正常應用程式等,當用戶被誘導內容迷惑並雙擊開啟惡意的檔案或程式後,惡意挖礦程式會在後臺執行並悄悄的進行挖礦行為。
企業機構暴露在公網上的主機、伺服器、網站和Web服務、使用的雲服務等被入侵
通常由於暴露在公網上的主機和服務由於未及時更新系統或元件補丁,導致存在一些可利用的遠端利用漏洞,或由於錯誤的配置和設定了較弱的口令導致被登入憑據被暴力破解或繞過認證和校驗過程。
360威脅情報中心在之前披露“ 8220 挖礦團伙 ”一文中就提到了部分常用的遠端利用漏洞: WebLogic XMLDecoder 反序列化漏洞、Drupal 的遠端任意程式碼執行漏洞、JBoss 反序列化命令執行漏洞、Couchdb 的組合漏洞、Redis 、Hadoop 未授權訪問漏洞。 當此類0day漏洞公開甚至漏洞利用程式碼公開時,黑客就會立即使用其探測公網上存在漏洞的主機並進行攻擊嘗試,而此時往往絕大部分主機系統和元件尚未及時修補,或採取一些補救措施。
內部人員私自安裝和執行挖礦程式
企業內部人員帶來的安全風險往往不可忽視,需要防止企業機構內部人員私自利用內部網路和機器進行挖礦牟利,避免出現類似“湖南某中學校長利用校園網路進行挖礦”的事件。
惡意挖礦會造成哪些影響
惡意挖礦造成的最直接的影響就是耗電,造成網路擁堵。由於挖礦程式會消耗大量的CPU或GPU資源,佔用大量的系統資源和網路資源,其可能造成系統執行卡頓,系統或線上服務執行狀態異常,造成內部網路擁堵,嚴重的可能造成線上業務和線上服務的拒絕服務,以及對使用相關服務的使用者造成安全風險。
企業機構遭受惡意挖礦攻擊不應該被忽視,雖然其攻擊的目的在於賺取電子貨幣牟利,但更重要的是在於揭露了企業網路安全存在有效的入侵渠道,黑客或網路攻擊團伙可以發起惡意挖礦攻擊的同時,也可以實施更具有危害性的惡意活動,比如資訊竊密、勒索攻擊。
惡意挖礦攻擊是如何實現的
那麼惡意挖礦攻擊具體是如何實現的呢,這裡我們總結了常見的惡意挖礦攻擊中重要攻擊鏈環節主要使用的攻擊戰術和技術。
初始攻擊入口
針對企業和機構的伺服器、主機和相關Web服務的惡意挖礦攻擊通常使用的初始攻擊入口分為如下三類:
遠端程式碼執行漏洞
實施惡意挖礦攻擊的黑客團伙通常會利用1-day或N-day的漏洞利用程式或成熟的商業漏洞利用包對公網上存在漏洞的主機和服務進行遠端攻擊利用並執行相關命令達到植入惡意挖礦程式的目的。
下表是結合近一年來公開的惡意挖礦攻擊中使用的漏洞資訊:
| 漏洞名稱 | 相關漏洞編號 | 相關惡意挖礦攻擊 |
|---|---|---|
| 永恆之藍 | CVE-2017-0144 | MsraMiner,WannaMiner,CoinMiner |
| Drupal Drupalgeddon 2 遠端程式碼執行 | CVE-2018-7600 | 8220挖礦團伙 |
| VBScript 引擎遠端程式碼執行漏洞 | CVE-2018-8174 | Rig Exploit Kit利用該漏洞分發門羅比挖礦程式碼 |
| Apache Struts 遠端程式碼執行 | CVE-2018-11776 | 利用Struts漏洞執行CNRig挖礦程式 |
| WebLogic XMLDecoder 反序列化漏洞 | CVE-2017-10271 | 8220挖礦團伙 |
| JBoss 反序列化命令執行漏洞 | CVE-2017-12149 | 8220挖礦團伙 |
| Jenkins Java 反序列化遠端程式碼執行漏洞 | CVE-2017-1000353 | JenkinsMiner |
暴力破解
黑客團伙通常還會針對目標伺服器和主機開放的Web服務和應用進行暴力破解獲得許可權外,例如暴力破解Tomcat伺服器或SQL Server伺服器,對SSH、RDP登入憑據的暴力猜解。
未正確配置導致未授權訪問漏洞
還有一類漏洞攻擊是由於部署在伺服器上的應用服務和元件未正確配置,導致存在未授權訪問的漏洞。黑客團伙對相關服務埠進行批量掃描,當探測到具有未授權訪問漏洞的主機和伺服器時,通過注入執行指令碼和命令實現進一步的下載植入惡意挖礦程式。
下表列舉了惡意挖礦攻擊中常用的未授權漏洞。
| 漏洞名稱 | 主要的惡意挖礦木馬 |
|---|---|
| Redis 未授權訪問漏洞 | 8220挖礦團伙 |
| Hadoop Yarn REST API 未授權漏洞利用 | 8220挖礦團伙 |
除了上述攻擊入口以外,惡意挖礦攻擊也會利用諸如 供應鏈攻擊 ,和病毒木馬類似的傳播方式實施攻擊。
植入,執行和永續性
惡意挖礦攻擊通常利用遠端程式碼執行漏洞或未授權漏洞執行命令並下載釋放後續的惡意挖礦指令碼或木馬程式。
惡意挖礦木馬程式通常會使用常見的一些攻擊技術進行植入,執行,持久化。例如使用WMIC執行命令植入,使用UAC Bypass相關技術,白利用,使用任務計劃永續性執行或在Linux環境下利用crontab定時任務執行等。
下圖為在 8220 挖礦團伙 一文中分析的惡意挖礦指令碼,其通過寫入crontab定時任務永續性執行,並執行wget或curl命令遠端下載惡意程式。
競爭與對抗
惡意挖礦攻擊會利用混淆,加密,加殼等手段對抗檢測,除此以外為了保障目標主機用於自身挖礦的獨佔性,通常還會出現“黑吃黑”的行為。例如:
修改host檔案,遮蔽其他惡意挖礦程式的域名訪問;
搜尋並終止其他挖礦程式程序;
通過iptables修改防火牆策略,甚至主動封堵某些攻擊漏洞入口以避免其他的惡意挖礦攻擊利用。
惡意挖礦程式有哪些形態
當前惡意挖礦程式主要的形態分為三種:
自開發的惡意挖礦程式,其內嵌了挖礦相關功能程式碼,並通常附帶有其他的病毒、木馬惡意行為;
利用開源的挖礦程式碼編譯實現,並通過Shell/">PowerShell,Shell指令碼或Downloader程式載入執行,如XMRig,CNRig,XMR-Stak。
其中XMRig是一個開源的跨平臺的門羅演算法挖礦專案,其主要針對CPU挖礦,並支援38種以上的幣種。由於其開源、跨平臺和挖礦幣種類別支持豐富,已經成為各類挖礦病毒家族最主要的挖礦實現核心。
Javascript指令碼挖礦,其主要是基於CoinHive專案呼叫其提供的JS指令碼介面實現挖礦功能。由於JS指令碼實現的便利性,其可以方便的植入到入侵的網站網頁中,利用訪問使用者的終端裝置實現挖礦行為。
如何發現是否感染惡意挖礦程式
那麼如何發現是否感染惡意挖礦程式,本文提出幾種比較有效而又簡易的排查方法。
“肉眼”排查或經驗排查法
由於挖礦程式通常會佔用大量的系統資源和網路資源,所以結合經驗是快速判斷企業內部是否遭受惡意挖礦攻擊的最簡易手段。
通常企業機構內部出現異常的多臺主機卡頓情況並且相關主機風扇狂響,線上業務或服務出現頻繁無響應,內部網路出現擁堵,在反覆重啟,並排除系統和程式本身的問題後依然無法解決,那麼就需要考慮是否感染了惡意挖礦程式。
技術排查法
1.程序行為
通過top命令檢視CPU佔用率情況,並按C鍵通過佔用率排序,查詢CPU佔用率高的程序。
2.網路連線狀態
通過netstat -anp命令可以檢視主機網路連線狀態和對應程序,檢視是否存在異常的網路連線。
3.自啟動或任務計劃指令碼
檢視自啟動或定時任務列表,例如通過crontab檢視當前的定時任務。
4.相關配置檔案
檢視主機的例如/etc/hosts,iptables配置等是否異常。
5.日誌檔案
通過檢視/var/log下的主機或應用日誌,例如這裡檢視/var/log/cron*下的相關日誌。
6.安全防護日誌
檢視內部網路和主機的安全防護裝置告警和日誌資訊,查詢異常。
通常在企業安全人員發現惡意挖礦攻擊時,初始的攻擊入口和指令碼程式可能已經被刪除,給事後追溯和還原攻擊過程帶來困難,所以更需要依賴於伺服器和主機上的終端日誌資訊以及企業內部部署的安全防護裝置產生的日誌資訊。
如何防護惡意挖礦攻擊
如何防護惡意挖礦攻擊:
1.企業網路或系統管理員以及安全運維人員應該在其企業內部使用的相關係統,元件和服務出現公開的相關遠端利用漏洞時,儘快更新其到最新版本,或在為推出安全更新時採取恰當的緩解措施;
2.對於線上系統和業務需要採用正確的安全配置策略,使用嚴格的認證和授權策略,並設定複雜的訪問憑證;
3.加強企業機構人員的安全意識,避免企業人員訪問帶有惡意挖礦程式的檔案、網站;
4.制定相關安全條款,杜絕內部人員的主動挖礦行為。
個人篇
個人使用者面對的惡意挖礦問題
相比企業機構來說,個人上網使用者面對著同樣相似的惡意挖礦問題,如個人電腦,手機,路由器,以及各類智慧裝置存在被感染和用於惡意挖礦的情況。像現在手機的硬體配置往往能夠提供很高的算力。360威脅情報中心在今年早些就配合360網路研究院及多個安全部門聯合分析和披露了名為ADB.Miner的安卓蠕蟲,其就是利用智慧電視或智慧電視盒子進行惡意挖礦。
當用戶安裝了內嵌有挖礦程式模組的APP應用,或 訪問了植入有挖礦指令碼的不安全網站或被入侵的網站 ,往往就會造成裝置算力被用於惡意挖礦。而其影響通常會造成裝置和系統執行不穩定,異常發熱和耗電,甚至會影響裝置的使用壽命和電池壽命。
如何避免感染惡意挖礦程式
以下我們提出幾點安全建議讓個人使用者避免感染惡意挖礦程式:
1.提高安全意識,從正常的應用市場和渠道下載安裝應用程式,不要隨意點選和訪問一些具有誘導性質的網頁;
2.及時更新應用版本,系統版本和韌體版本;
3.安裝個人終端安全防護軟體。
典型的惡意挖礦惡意程式碼家族及自查方法
8220挖礦攻擊
概述
| 挖礦攻擊名稱 | 8220 團伙挖礦攻擊 |
|---|---|
| 涉及平臺 | Linux |
| 相關惡意程式碼家族 | 未命名 |
| 攻擊入口 | 利用多種遠端執行漏洞和未授權訪問漏洞 |
| 相關漏洞及編號 | WebLogic XMLDecoder反序列化漏洞、Drupal的遠端任意程式碼執行漏洞、JBoss反序列化命令執行漏洞、Couchdb的組合漏洞、Redis、Hadoop未授權訪問漏洞 |
| 描述簡介 | 8220團伙挖礦攻擊是360威脅情報中心發現的挖礦攻擊黑客團伙,其主要針對高校相關的Linux伺服器實施挖礦攻擊。 |
自查辦法
1.執行netstat -an命令,存在異常的8220埠連線;
2.top命令檢視CPU佔用率最高的程序名為java,如下圖為利用Hadoop未授權訪問漏洞攻擊;
3.在/var/tmp/目錄下存在如java、pscf3、w.conf等名稱的檔案;
4.執行crontab -u yarn -l命令檢視是否存在可疑的定時任務。
5.通過檢視/var/log/cron*相關的crontab日誌,看是否存在利用wget訪問和下載異常的遠端shell指令碼;
如何清除和防護
1.終止挖礦程序,刪除/var/tmp下的異常檔案;
2.刪除異常的crontab任務;
3.檢查是否存在上述漏洞的元件或服務,若存在則更新相關應用和元件到最新版本,若元件或服務未配置遠端認證訪問,則開啟相應的認證配置。
WannaMiner/MsraMiner/HSMiner
概述
| 挖礦攻擊名稱 | WannaMiner |
|---|---|
| 涉及平臺 | Windows |
| 相關惡意程式碼家族 | WannaMiner,MsraMiner,HSMiner |
| 攻擊入口 | 使用永恆之藍漏洞 |
| 相關漏洞及編號 | CVE-2017-0144 |
| 描述簡介 | WannaMiner是一個非常活躍的惡意挖礦家族,曾被多個安全廠商披露和命名,包括WannaMiner,MsraMiner、HSMiner。其最早活躍於2017年9月,以使用“永恆之藍”漏洞為攻擊入口以及使用“Mimikatz”憑證竊取工具攻擊伺服器植入礦機,並藉助PowerShell和WMI實現無檔案。 |
自查方法
1.檢查是否存在任務計劃名為:“Microsoft\Windows\UPnP\Spoolsv”的任務;
2.檢查%windir%目錄下是否存在cls.bat和spoolsv.exe和windows.exe檔案;
3.並檢查是否存在可疑的java.exe程序。
如何清除
1.刪除檢查到的可疑的任務計劃和自啟動項;
2.結束可疑的程序如執行路徑為:%windir%\IME\Microsofts\和執行路徑為%windir%\spoolsv.exe和%windir%\windows.exe的程序;
3.刪除c盤目錄下的012.exe和023.exe檔案。
防護方法
1.安裝Windows系統補丁並保持自動更新;
2.如果不需要使用Windows區域網共享服務,可以通過設定防火牆規則來關閉445等埠;
JbossMiner
概述
| 挖礦攻擊名稱 | JbossMiner |
|---|---|
| 涉及平臺 | Windows,Linux 伺服器或主機 |
| 相關惡意程式碼家族 | JbossMiner |
| 攻擊入口 | 利用多種遠端執行漏洞和未授權訪問漏洞 |
| 相關漏洞及編號 | jboss漏洞利用模組,structs2利用模組,永恆之藍利用模組,mysql利用模組,redis利用模組,Tomcat/Axis利用模組 |
| 描述簡介 | JbossMiner主要是通過上述六大漏洞模組進行入侵和傳播,並植入挖礦木馬獲利。其挖礦木馬同時支援windows和linux兩種平臺,根據不同的平臺傳播不同的payload。 |
自查方法
Linux平臺:
1.檢查是否存在/tmp/hawk 檔案;
2.檢查是否存在/tmp/lower*.sh或/tmp/root*.sh檔案;
3.檢查crontab中是否有可疑的未知定時任務。
Windows平臺
1.檢查是否有名為Update*的可疑計劃任務和Updater*的可疑啟動項;
2.檢查是否存在%temp%/svthost.exe和%temp%/svshost.exe檔案;
3.檢查是否存在一個rigd32.txt的程序。
如何清除
Linux平臺
可以執行如下步驟執行清除:
1.刪除crontab中可疑的未知定時任務;
2.刪除/tmp/目錄下的bashd、lower*.sh、root*.sh等可疑檔案;
3.結束第2步發現的各種可疑檔案對應的可疑程序。
Windows平臺
可以執行如下步驟進行清除:
1.刪除可疑的計劃任務和啟動項;
2.結束程序中名為svshost.exe、svthost.exe的程序;
3.結束可疑的powershell.exe、regd32.txt等程序;
4.清空%temp%目錄下的所有快取檔案。
防護方法
1.如果不需要使用Windows區域網共享服務,可以通過設定防火牆規則來關閉445等埠;
2.修改伺服器上的資料庫密碼,設定為更強壯的密碼;
3.安裝系統補丁和升級產品所使用的類庫;
MyKings
MyKings是一個大規模多重殭屍網路,並安裝門羅幣挖礦機,利用伺服器資源挖礦。
概述
| 挖礦攻擊名稱 | MyKings |
|---|---|
| 涉及平臺 | Windows平臺 |
| 相關惡意程式碼家族 | DDoS、Proxy、RAT、Mirai |
| 攻擊入口 | 通過掃描開放埠,利用漏洞和弱口令進行入侵 |
| 相關漏洞及編號 | 永恆之藍 |
| 描述簡介 | MyKings 是一個由多個子殭屍網路構成的多重殭屍網路,2017 年 4 月底以來,該殭屍網路一直積極地掃描網際網路上 1433 及其他多個埠,並在滲透進入受害者主機後傳播包括 DDoS、Proxy、RAT、Miner 在內的多種不同用途的惡意程式碼。 |
自查方法
1.檢查是否存在以下檔案:
c:\windows\system\my1.bat
c:\windows\tasks\my1.job
c:\windows\system\upslist.txt
c:\program files\kugou2010\ms.exe
c:\windows\system\cab.exe
c:\windows\system\cabs.exe
2.檢查是否有名為xWinWpdSrv的服務。
如何清除
可以執行如下步驟進行清除:
1.刪除自查方法1中所列的檔案;
2.停止並刪除xWinWpdSrv服務。
防護辦法
從殭屍網路當前的攻擊重點來看,防範其通過1433埠入侵計算機是非常有必要的。此外,Bot程式還有多種攻擊方式尚未使用,這些攻擊方式可能在未來的某一天被開啟,因此也需要防範可能發生的攻擊。對此,我們總結以下幾個防禦策略:
1.對於未遭到入侵的伺服器,注意msSQL,RDP,Telnet等服務的弱口令問題。如果這些服務設定了弱口令,需要儘快修改;
2.對於無需使用的服務不要隨意開放,對於必須使用的服務,注意相關服務的弱口令問題;
3.特別注意445埠的開放情況,如果不需要使用Windows區域網共享服務,可以通過設定防火牆規則來關閉445等埠,並及時打上補丁更新作業系統;
4.關注伺服器執行狀況,注意CPU佔用率和程序列表和網路流量情況可以及時發現系統存在的異常。此外,注意系統賬戶情況,禁用不必要的賬戶;
ADB.Miner挖礦攻擊自查方法
概述
| 挖礦攻擊名稱 | ADB.Miner |
|---|---|
| 涉及平臺 | 搭載安卓系統的移動終端,智慧裝置 |
| 相關惡意程式碼家族 | ADB.Miner |
| 攻擊入口 | 利用安卓開啟的監聽5555埠的ADB除錯介面傳播 |
| 相關漏洞及編號 | 無 |
| 描述簡介 | ADB.Miner是由360發現的利用安卓裝置的ADB除錯介面傳播的惡意挖礦程式,其支援利用xmrig和coinhive兩種形式進行惡意挖礦。 |
自查方法
1.執行top命令,按”C”檢視CPU佔用率程序,存在類似com.ufo.miner的程序:
2.執行ps | grep debuggerd命令,存在/system/bin/debuggerd_real程序:
3.執行ls /data/local/tmp命令,檢視目錄下是否存在如下檔名稱:droidbot, nohup, bot.dat, xmrig*, invoke.sh, debuggerd等。
如何清除
可以執行如下步驟進行清除:
1.pm uninstall com.ufo.miner移除相關挖礦程式APK;
2.執行ps | grep /data/local/tmp列舉相關挖礦程序,執行kill -9進行終止;
3.執行rm命令刪除/data/local/tmp下相關檔案;
4.mv /system/bin/debuggerd_real/system/bin/debuggerd恢復debuggerd檔案。
防護辦法
可以採用如下方式進行防護:
1.進入設定介面,關閉adb除錯或adb wifi除錯開關
2.執行setprop service.adb.tcp.port設定除錯埠為其他值,ps | grep adbd獲得adbd程序並執行kill -9進行終止
3.在root許可權下可以配置iptables禁止外部訪問5555埠:
iptables -A INPUT -p tcp -m tcp --dport 5555-j REJECT
總結
由於獲益的直接性,惡意挖礦攻擊已經成為當前最為氾濫的一類網路威脅之一,對其有一個全面的瞭解對於防範此類攻擊是一種典型的戰術級威脅情報的掌握。企業和機構在威脅情報的支援下采取相應的防護措施,比如通過安全防護裝置和服務來更自動化更及時地發現、檢測和響應惡意挖礦攻擊。
附錄
附錄一 惡意挖礦常見攻擊入口列表
| 漏洞名稱 | 相關 CVE 編號 | 涉及平臺或元件 | 詳細資訊 | 相關參考連結 |
|---|---|---|---|---|
| 永恆之藍系列漏洞 | CVE-2017-0143 CVE-2017-0144 CVE-2017-0145 CVE-2017-0146 CVE-2017-0148 | Microsoft Windows Vista SP2 Windows Server 2008 SP2、R2 SP1 Windows 7 SP1 Windows 8.1 Windows Server 2012 Gold和R2 Windows RT 8.1 Windows 10 Gold,1511、1607 Windows Server 2016 | Microsoft Windows中的SMBv1伺服器存在遠端程式碼執行漏洞,遠端攻擊者可藉助特製的資料包利用該漏洞執行任意程式碼。 | ofollow,noindex" target="_blank">https://www.anquanke.com/post/id/86270 https://www.freebuf.com/vuls/134508.html |
| WebLogic XMLDecoder 反序列化漏洞 | CVE-2017-3506 CVE-2017-10271 | Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.1.0 |
Oracle Fusion Middleware中的Oracle WebLogic Server元件的WLS Security子元件存在安全漏洞。使用精心構造的xml資料可能造成任意程式碼執行,攻擊者只需要 傳送精心構造的xml惡意資料,就可以拿到目標伺服器的許可權。 | https://www.anquanke.com/post/id/102768 https://www.anquanke.com/post/id/92003 |
| Redis 未授權訪問漏洞 | 影響所有未開啟認證的redis伺服器 | Redis 預設情況下,會繫結在 0.0.0.0:6379,在沒有利用防火牆進行遮蔽的情況下,將會將Redis服務暴露到公網上,如果在沒有開啟認證的情況下,可以導致任意使用者在可以訪問目標伺服器的情況下未授權訪問Redis以及讀取Redis的資料。攻擊者在未授權訪問Redis的情況下利用Redis的相關方法,可以成功將自己的公鑰寫入目標伺服器的 ~/.ssh 資料夾的authotrized_keys 檔案中,進而可以直接登入目標伺服器;如果Redis服務是以root許可權啟動,可以利用該問題直接獲得伺服器root許可權 | https://www.anquanke.com/post/id/146417 | |
| JBosss 反序列化漏洞 | CVE-2017-12149 | JBOSS Application Server 5.X JBOSS Application Server 6.X | 該漏洞位於JBoss的HttpInvoker元件中的 ReadOnlyAccessFilter 過濾器中,其doFilter方法在沒有進行任何安全檢查和限制的情況下嘗試將來自客戶端的序列化資料流進行反序列化,導致攻擊者可以通過精心設計的序列化資料來執行任意程式碼。JBOSSAS 6.x也受該漏洞影響,攻擊者利用該漏洞無需使用者驗證在系統上執行任意命令,獲得伺服器的控制權。 | http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-12149 |
| Hadoop Yarn 未授權訪問漏洞 | 影響Apache Hadoop YARN資源管理系統對外開啟的以下服務埠:yarn.resourcemanager.webapp.address,預設埠8088 yarn.resourcemanager.webapp.https.address,預設埠8090 | Hadoop Yarn未授權訪問漏洞主要因Hadoop YARN 資源管理系統配置不當,導致可以未經授權進行訪問,從而被攻擊者惡意利用。攻擊者無需認證即可通過REST API部署任務來執行任意指令,最終完全控制伺服器。 | https://www.anquanke.com/post/id/107473 | |
| MikroTik 路由器漏洞 | CVE-2018-14847 | 影響從6.29到6.42的所有版本的RouterOS | 該漏洞允許攻擊者在未經授權的情況下,無需使用者互動,可訪問路由器上的任意檔案。同時啟動web代理,將請求重定向到error.html,並在該頁面內嵌惡意挖礦JS指令碼 | https://www.anquanke.com/post/id/161704 |
| Drupal 核心遠端程式碼執行漏洞 | CVE-2018-7602 | Drupal 7.x Drupal 8.x | Drupal的遠端任意程式碼執行漏洞是由於Drupal對錶單的渲染引起的。為了能夠在表單渲染對過程中動態修改資料,Drupal引入了“Drupal Render API”機制,“Drupal Render API”對於#會進行特殊處理,其中#pre_render在render之前運算元組,#post_render接收render的結果並在其新增包裝,#lazy_builder用於在render過程的最後新增元素。由於對於部分#屬性陣列值,Drupal會通過call_user_func的方式進行處理,導致任意程式碼執行。 | https://www.anquanke.com/post/id/106669 |
| LNK 程式碼執行漏洞 | CVE–2017–8464 | Microsoft Windows 10 3 Microsoft Windows 7 1 Microsoft Windows 8 1 Microsoft Windows 8.1 2 Microsoft Windows Server 2008 2 Microsoft Windows Server 2012 2 Microsoft Windows Server 2016 | 成功利用CVE–2017–8464漏洞會獲得與本地使用者相同的使用者許可權,攻擊者可以通過任意可移動驅動器(如U盤)或者遠端共享的方式傳播攻擊,該漏洞又被稱為“震網三代”漏洞 | https://www.anquanke.com/post/id/100795 |
| 遠端桌面協議遠端程式碼執行漏洞 | CVE-2017-0176 | Microsoft Windows XP Tablet PC Edition SP3 Microsoft Windows XP Tablet PC Edition SP2 Microsoft Windows XP Tablet PC Edition SP1 Microsoft Windows XP Professional SP3 Microsoft Windows XP Professional SP2 Microsoft Windows XP Professional SP1 Microsoft Windows XP Media Center Edition SP3 Microsoft Windows XP Media Center Edition SP2 Microsoft Windows XP Media Center Edition SP1 Microsoft Windows XP Home SP3 Microsoft Windows XP Home SP2 Microsoft Windows XP Home SP1 Microsoft Windows XP Embedded SP3 Microsoft Windows XP Embedded SP2 Microsoft Windows XP Embedded SP1 Microsoft Windows XP 0 Microsoft Windows Server 2003 SP2 Microsoft Windows Server 2003 SP1 Microsoft Windows Server 2003 0 | 如果RDP伺服器啟用了智慧卡認證,則遠端桌面協議(RDP)中存在遠端執行程式碼漏洞CVE-2017-0176,成功利用此漏洞的攻擊者可以在目標系統上執行程式碼。攻擊者可以安裝程式; 檢視,更改或刪除資料或建立具有完全使用者許可權的新帳戶 | http://www.cnvd.org.cn/webinfo/show/4166 https://www.securityfocus.com/bid/98752 |
| CouchDB 漏洞 | CVE–2017–12635 CVE–2017–12636 | CouchDB 1.x CouchDB 2.x | CVE-2017-12635是由於Erlang和JavaScript對JSON解析方式的不同,導致語句執行產生差異性導致的。可以被利用於,非管理員使用者賦予自身管理員身份許可權。 CVE-2017-12636時由於資料庫自身設計原因,管理員身份可以通過HTTP(S)方式,配置資料庫。在某些配置中,可設定可執行檔案的路徑,在資料庫執行範圍內執行。結合CVE-2017-12635可實現遠端程式碼執行。 | https://www.anquanke.com/post/id/87256 |
| 利用網站嵌入挖礦 JS 指令碼 | 有些網站的挖礦行為是廣告商的外鏈引入的,有的網站會使用一個“殼連結”來在原始碼中遮蔽挖礦站點的連結,有些是短域名服務商加入的(如goobo.com.br 是一個巴西的短域名服務商,該網站主頁,包括通過該服務生成的短域名,訪問時都會載入coinhive的連結來挖礦),有些是供應鏈汙染(例如 www.midijs.net 是一個基於JS的MIDI檔案播放器,網站原始碼中使用了 coinhive來挖礦),有些是在使用者知情的情況下進行的(如authedmine.com 是新近出現的一個挖礦網站,網站宣稱只有在使用者明確知道並授權的情況下,才開始挖礦),有些是被加入到了APP中(攻擊者將Coinhive JavaScript挖礦程式碼隱藏在了app的/assets資料夾中的HTML檔案中,當用戶啟動這些app且開啟一個WebView瀏覽器例項時,惡意程式碼就會執行) | https://www.anquanke.com/subject/id/99056 | ||
| 利用熱門遊戲外掛傳播 | tlMiner家族利用吃雞外掛捆綁挖礦程式,進行傳播 | http://www.mnw.cn/keji/youxi/junshi/1915564.html | ||
| 捆包正常安裝包軟體傳播 | “安裝幽靈”病毒試圖通過軟體共享論壇等社交渠道來發布受感染的軟體安裝包,包括“Malwarebytes”、“CCleaner Professional”和“Windows 10 Manager”等知名應用共計26種,連同不同的版本共釋出有99個之多。攻擊者先將包含有“安裝幽靈”的破解安裝包上傳到“mega”、“clicknupload”、“fileupload”等多個雲盤,然後將檔案的下載連結通過“NITROWAR”、“MEWAREZ”等論壇進行“分享”傳播,相應的軟體被受害者下載安裝執行後,“安裝幽靈”就會啟動執行 | https://www.anquanke.com/post/id/161048 | ||
| 利用網遊加速器隧道傳播挖礦 | 攻擊者通過控制吃雞遊戲玩家廣泛使用的某遊戲加速器加速節點,利用終端電腦與加速節點構建的GRE隧道發動永恆之藍攻擊,傳播挖礦蠕蟲的供應鏈攻擊事件。 | https://www.anquanke.com/post/id/149059 | ||
| 利用 KMS 進行傳播 | 當用戶從網站 http://kmspi.co 下載啟用工具KMSpico(以下簡稱KMS)時,電腦將被植入挖礦病毒“Trojan/Miner”。該網站利用搜索引擎的競價排名,讓自己出現在搜尋位置的前端,從而誤導使用者下載。 | https://www.anquanke.com/post/id/91364 | ||
| 作為惡意外掛傳播 | 例如作為kodi的惡意外掛進行傳播: 1.使用者將惡意儲存庫的URL新增到他們的Kodi安裝列表中,以便下載一些附加元件。只要他們更新了Kodi附加元件,就會安裝惡意載入項。 2.使用者安裝了現成的Kodi版本,該版本本身包含惡意儲存庫的URL。只要他們更新了Kodi附加元件,就會安裝惡意載入項。 3.使用者安裝了一個現成的Kodi版本,該版本包含一個惡意外掛,但沒有連結到儲存庫以進行更新。但是如果安裝了cryptominer,它將駐留在裝置中並接收更新。 | https://www.anquanke.com/post/id/160105 |
附錄二 惡意挖礦樣本家族列表
| 家族名稱 | 簡介 | 涉及平臺和服務 | 主要攻擊手法 | 相關參考連結 |
|---|---|---|---|---|
| PhotoMiner | PhotoMiner挖礦木馬是在2016年首次被發現,主要的入侵方式是通過FTP爆破和SMB爆破傳播。該木馬傳播時偽裝成螢幕保護程式Photo.scr。 | Windows | PhotoMiner主要通過FTP爆破和SMB爆破進行傳播,當爆破成功後,就進行檔案查詢,在後綴為:php、PHP、htm、HTM、xml、XML、dhtm、DHTM、phtm、xht、htx、mht、bml、asp、shtm中新增包含自己的<iframe>元素,並把自身複製到爆破成功後的FTP當中。檔案查詢結束後,就把伺服器資訊給返回到C2伺服器。 | https://www.guardicore.com/2016/06/the-photominer-campaign/ |
| MyKings | MyKings 多重殭屍網路最早可以溯源到2014年,在這之後,一直從事入侵伺服器或個人主機的黑色產業。近年來開始傳播挖礦病毒Voluminer。傳播的挖礦病毒,隱蔽性強。 | Windows和Linux | MyKings主要通過暴力破解的方式進行入侵電腦,然後利用使用者挖去門羅幣,並留後門接受病毒團伙的控制。當挖礦病毒執行後,會修改磁碟MBR程式碼,等待電腦重啟後,將惡意程式碼注入winlogon或explorer程序,最終惡意程式碼會下載後門病毒到本地執行。目前的後門病毒模組是挖取門羅幣。 | https://www.anquanke.com/post/id/96024 |
| DDG 挖礦病毒 | DDG挖礦病毒是一款在Linux系統上執行的挖礦病毒,從2017年一直活躍到現在,到現在已經開發出了多個變種樣本,如minerd病毒只是ddg挖礦木馬的一個變種·。更新比較頻繁。有個明顯的特徵就是程序名為dgg開頭的程序就是DDG挖礦病毒。 | Linux | DDG挖礦病毒執行後,會依次掃描內建的可能的C2地址,一旦有存活的就取下載指令碼執行,寫入crontab定時任務,下載最新的挖礦木馬執行,檢測是否有其他版本的挖礦程序,如果有就結束相關程序。並內建Redis掃描器,暴力破解redis服務。 | https://www.anquanke.com/post/id/97300 |
| MsraMiner | 該挖礦木馬非常活躍,多個廠商對其命名,例如WannaMiner,MsraMiner、HSMiner這三個名字都為同一個家族。 | Windows | MsraMiner 挖礦木馬主要是通過NSA武器庫來感染,通過SMB445埠。並且蠕蟲式傳播,通過web伺服器來提供自身惡意程式碼下載,樣本的傳播主要靠失陷主機之間的web服務和socket進行傳播,並且留有C&C用於備份控制。C&C形似DGA產生,域名非常隨機,其實都硬編碼在樣本中。並且在不停的迭代木挖礦馬的版本。 | https://www.anquanke.com/post/id/101392 |
| JBossMiner | Jbossminner主要是以jboss漏洞利用模組,structs2利用模組,永痕之藍利用模組,mysql利用模組,redis利用模組,Tomcat/Axis利用模組。來進行傳播。 | Windows、Linux | JBossMiner 利用的入侵模組有5個:jboss漏洞利用模組,structs2利用模組,永痕之藍利用模組,mysql利用模組,redis利用模組,Tomcat/Axis利用模組。通過這5個模組,進行傳播。並且該挖礦木馬支援windows和linux兩種平臺,根據不同的平臺傳播不同的payload。 | https://xz.aliyun.com/t/2189 |
| PowerGhost | PowerChost惡意軟體是一個powershell指令碼,其中的主要的核心元件有:挖礦程式、minikatz工具,反射PE注入模組、利用永恆之藍的漏洞的shellcode以及相關依賴庫、MS16-032,MS15-051和CVE-2018-8120漏洞提權payload。主要針對企業使用者,在大型企業內網進行傳播,並且挖礦採用無檔案的方式進行,因此殺軟很難查殺到挖礦程式。 | Windows | PowerGhost主要是利用powershell進行工作,並且利用PE反射載入模組不落地的挖礦。Powershell指令碼也是混淆過後的,並且會定時檢測C&C上是否有有新版本進行更新。除此木馬還具有本地網路傳播,利用mimikatz和永恆之藍在本地內網傳播。 | https://www.securityweek.com/stealthy-crypto-miner-has-worm-spreading-mechanism |
| NSAFtpMiner | NASFtpMiner是通過1433埠爆破入侵SQL Server伺服器,進行傳播。一旦植入成功,則會通過遠控木馬,載入挖礦程式進行挖礦,並且還會下載NSA武器庫,進行內網傳播,目前以及感染了3w多臺電腦。 | Windows | NSAFtpMiner利用密碼字典爆破1433埠登入,傳播遠控木馬,然後再利用NSA武器庫進行內網傳播,遠控木馬還建立ftp服務,供內網其他被感染的電腦進行病毒更新,最後下載挖礦木馬在區域網內挖礦。 | https://www.freebuf.com/articles/es/183365.html |
| ADB.Miner | ADB.Miner主要是針對Andorid的5555 adb除錯埠,開始感染傳播。其中利用了的 MIRAI的SYN掃描模組。 | Andorid | ADB.Miner感染後,會對外發起5555埠掃描,並嘗試把自身拷貝到新的感染機器。 | https://www.anquanke.com/post/id/97422 |
| ZombieboyMiner | ZombieboyMiner是通過 ZombieboyTools黑客工具打包的NSA武器庫進行傳播挖礦程式和遠控木馬。 | Windows | ZombieboyMiner主要是通過ZombieboyTools所打包的NSA工具包進行入侵傳播的,執行後,會釋放NSA工具包,然後掃描內網的445埠,進行內網感染。 | https://www.freebuf.com/articles/paper/187556.html |
參考連結
1. https://ti.360.net/blog/articles/8220-mining-gang-in-china/
2. https://ti.360.net/blog/articles/more-infomation-about-adb-miner/
4. https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/
7. https://github.com/xmrig/xmrig
8. https://github.com/cnrig/cnrig
9. https://github.com/fireice-uk/xmr-stak
*本文作者:360天眼實驗室,轉載請註明來自FreeBuf.COM