[[266166]]

加密貨幣劫持(俗稱惡意挖礦)是一種新興的在線威脅，它隱藏在服務(wù)器或PC等設(shè)備上，并利用設(shè)備資源來“挖掘”加密貨幣。挖礦威脅盡管相對較新，但它已經(jīng)成為最常見的網(wǎng)絡(luò)威脅之一，很有可能成為網(wǎng)絡(luò)世界下一個(gè)主要的安全威脅。

與網(wǎng)絡(luò)世界中大多數(shù)其它惡意攻擊一樣，挖礦最終動(dòng)機(jī)也是因?yàn)橛欣蓤D。在了解挖礦的機(jī)制以及如何保護(hù)自己免受挖礦的荼毒之前，需要先了解一些背景。

什么是加密貨幣

加密貨幣是一種數(shù)字貨幣的形式，僅存在于網(wǎng)絡(luò)世界中，沒有實(shí)際的物理形式。它們以分散的貨幣單位形式存在，可在網(wǎng)絡(luò)參與者之間自由轉(zhuǎn)移。

與傳統(tǒng)貨幣不同，加密貨幣不受特定政府或銀行的支持，沒有政府監(jiān)管或加密貨幣的中央監(jiān)管機(jī)構(gòu)。加密貨幣的分散性和匿名性意味著并沒有監(jiān)管機(jī)構(gòu)決定有多少貨幣將會(huì)流入市場。

大多數(shù)加密貨幣，正是通過“挖礦”方式開始進(jìn)入流通。挖礦實(shí)質(zhì)上是將計(jì)算資源轉(zhuǎn)變?yōu)榧用茇泿?。起初，任何擁有?jì)算機(jī)的人都可以挖掘加密貨幣，但它很快就變成了軍備競賽。如今，大多數(shù)挖礦者使用功能強(qiáng)大的專用計(jì)算機(jī)來全天候地挖掘加密貨幣。不久，人們開始尋找挖掘加密貨幣的新方法，挖礦木馬應(yīng)運(yùn)而生。黑客不用購買昂貴的采礦計(jì)算機(jī)，僅需要感染常規(guī)計(jì)算機(jī)，就可以竊取他人的資源來牟取自身利益。

什么是“挖礦”行為

“挖礦”是一種使用他人設(shè)備，并在他人不知曉、未允許的情況下，秘密地在受害者的設(shè)備上挖掘加密貨幣的行為。黑客使用“挖礦”手段從受害者的設(shè)備中竊取計(jì)算資源，以獲得復(fù)雜加密運(yùn)算的能力。

以比特幣挖礦為例，每隔一個(gè)時(shí)間點(diǎn)，比特幣系統(tǒng)會(huì)在節(jié)點(diǎn)上生成一個(gè)隨機(jī)代碼，互聯(lián)網(wǎng)中的所有計(jì)算機(jī)都可以去尋找此代碼，誰找到此代碼，就會(huì)產(chǎn)生一個(gè)區(qū)塊。根據(jù)比特幣發(fā)行的獎(jiǎng)勵(lì)機(jī)制，每促成一個(gè)區(qū)塊的生成，該節(jié)點(diǎn)便獲得相應(yīng)獎(jiǎng)勵(lì)。這個(gè)尋找代碼獲得獎(jiǎng)勵(lì)的過程就是挖礦。但是要計(jì)算出符合條件的隨機(jī)代碼，需要進(jìn)行上萬億次的哈希運(yùn)算，于是部分黑客就會(huì)通過入侵服務(wù)器等方式讓別人的計(jì)算機(jī)幫助自己挖礦。

挖礦攻擊的危害十分嚴(yán)重，這是因?yàn)橥诘V利用了計(jì)算機(jī)的中央處理器(CPU)和圖形處理器(GPU)，讓它們在極高的負(fù)載下運(yùn)行。這就如同在開車爬坡時(shí)猛踩油門或者開啟空調(diào)，會(huì)降低計(jì)算機(jī)所有其他進(jìn)程的運(yùn)行速度，縮短系統(tǒng)的使用壽命，最終使計(jì)算機(jī)崩潰。當(dāng)然，“挖礦者”有多種方法來“奴役”控制你的設(shè)備。

第一種方法：就像惡意軟件一樣，一旦點(diǎn)擊惡意鏈接，它會(huì)將加密代碼直接加載到您的計(jì)算機(jī)設(shè)備上。一旦計(jì)算機(jī)被感染，挖礦者就會(huì)開始挖掘加密貨幣，同時(shí)保持隱藏在后臺(tái)。因?yàn)樗腥静Ⅰv留在計(jì)算機(jī)上，所以它是本地的一種持續(xù)的威脅。

第二種方法：被稱為基于Web的加密攻擊。與惡意廣告攻擊類似，比如通過將一段JavaScript代碼嵌入到網(wǎng)頁中。之后，它會(huì)在訪問該頁面的用戶計(jì)算機(jī)上執(zhí)行挖礦，該過程不需要請求權(quán)限并且在用戶離開初始Web站點(diǎn)后仍可長時(shí)間保持運(yùn)行。那些用戶認(rèn)為可見的瀏覽器窗口已關(guān)閉，但隱藏的瀏覽器窗口仍然打開。

如何發(fā)現(xiàn)、清除“挖礦”木馬

當(dāng)出現(xiàn)下述這些情況的時(shí)候，說明你的設(shè)備很有可能是遭到惡意挖礦了。

1. CPU使用率居高不下;

2. 響應(yīng)速度異常緩慢;

3. 設(shè)備過熱，冷卻風(fēng)扇長期高速運(yùn)轉(zhuǎn);

這時(shí)，需要確定是設(shè)備本身(以服務(wù)器為主)感染了挖礦木馬，還是瀏覽器挖礦。

服務(wù)器挖礦知多少?

目前服務(wù)器挖礦使用最多的入侵方式為SSH弱口令、Redis未授權(quán)訪問，其他常見的入侵方式如下：

(1)未授權(quán)訪問或者弱口令。包括但不限于：Docker API未授權(quán)訪問，Hadoop Yarn 未授權(quán)訪問，NFS未授權(quán)訪問，Rsync弱口令，PostgreSQL弱口令，Tomcat弱口令，Telnet弱口令，Windows遠(yuǎn)程桌面弱口令。

(2)新爆發(fā)的高危漏洞。每次爆出新的高危漏洞，尤其命令執(zhí)行類漏洞，那些長期致力于挖礦獲利的黑客或挖礦家族都會(huì)及時(shí)更新挖礦payload。因此，在新漏洞爆發(fā)后，黑客會(huì)緊跟一波大規(guī)模的全網(wǎng)掃描利用和挖礦行動(dòng)。

例如2018年爆發(fā)的WebLogic反序列化漏洞，Struts命令執(zhí)行漏洞，甚至12月爆出的ThinkPHP5遠(yuǎn)程命令執(zhí)行漏洞已經(jīng)被buleherowak挖礦家族作為攻擊荷載，進(jìn)行挖礦。

一旦發(fā)現(xiàn)服務(wù)器存在挖礦跡象，又應(yīng)該如何操作呢?需要盡快確認(rèn)挖礦進(jìn)程、挖礦進(jìn)程所屬用戶、查看用戶進(jìn)程、清除挖礦木馬等。

確定挖礦進(jìn)程

可以使用top命令直接篩選出占用CPU過高的可疑進(jìn)程，來確定挖礦進(jìn)程。比如部分挖礦進(jìn)程的名字由不規(guī)則數(shù)字和字母組成，可直接看出(如ddg的qW3xT.4或zigw等)。

當(dāng)然，挖礦進(jìn)程也有可能被修改為常見名稱來干擾運(yùn)維人員。但是這種偽裝方法比較簡單(比如利用XHide修改進(jìn)程名或直接修改可執(zhí)行文件名)，所以排查過程中也要關(guān)注所有占用CPU較高的可疑進(jìn)程。

如果看到了可疑進(jìn)程，可以使用lsof -p pid 查看進(jìn)程打開的文件，或查看/proc/pid/exe 指向的文件。

Isof

proc

從上圖可以看到，python進(jìn)程所指向的文件明顯為異常文件，此時(shí)就需要重點(diǎn)排查該文件。

此外，如果挖礦木馬有隱藏進(jìn)程的功能，那么很難直接從top中確定可疑進(jìn)程名。這時(shí)，可從以下幾方面進(jìn)行排查：

1、是否替換了系統(tǒng)命令

使用 rpm -Va 查看系統(tǒng)命令是否被替換，如果系統(tǒng)命令已經(jīng)被替換，可直接從純凈系統(tǒng)拷貝ps，top等命令到受感染主機(jī)上使用。

可以看到，系統(tǒng)的ps、netstat、lsof 三個(gè)命令均被替換。

ps命令被替換后，會(huì)修改ps輸出的內(nèi)容，從而隱藏可疑進(jìn)程。此時(shí)直接使用ps命令時(shí)，會(huì)導(dǎo)致查詢不準(zhǔn)確。比如gates木馬會(huì)替換ps命令，直接使用ps -ef命令查看進(jìn)程時(shí)，會(huì)隱藏一個(gè)位于/usr/bin/下的進(jìn)程。如下所示，使用busybox可看到可疑進(jìn)程，但是使用系統(tǒng)的ps命令就不會(huì)看到/usr/bin/bsd-port/recei進(jìn)程。

2、是否修改了動(dòng)態(tài)鏈接庫

如果找不到占用CPU較高的進(jìn)程，可考慮排查是否修改了動(dòng)態(tài)鏈接庫，使用cat /etc/ld.so.preload 或echo $LD_PRELOAD 命令查看是否有預(yù)加載的動(dòng)態(tài)鏈接庫文件。

也可以使用ldd命令查看命令依賴庫中是否有可疑動(dòng)態(tài)庫文件，如圖，在將libprocesshider.so文件加入ld.so.preload文件中后，ldd 命令可看到top命令預(yù)先加載了可疑動(dòng)態(tài)庫。

確認(rèn)已經(jīng)加載惡意動(dòng)態(tài)鏈接庫后，直接移除惡意動(dòng)態(tài)鏈接庫文件或清除ld.so.preload中對該庫文件的引用內(nèi)容即可。

3、以上情況都可以直接通過靜態(tài)編譯的busybox進(jìn)行排查。

查看挖礦進(jìn)程所屬用戶

一般挖礦進(jìn)程為自動(dòng)化攻擊腳本，所以很少有提權(quán)的過程，那么很大可能挖礦進(jìn)程所屬用戶即為攻擊進(jìn)入系統(tǒng)的用戶。后續(xù)的排查過程可根據(jù)此尋找攻擊者的入侵途徑。

top

ps -ef |grep pid

兩種方式都可以看到，挖礦進(jìn)程所屬用戶為 weblogic。

查看用戶進(jìn)程

確定已失陷用戶后，可查詢該用戶所屬其他進(jìn)程，判斷其他進(jìn)程是否有已知漏洞(Weblogic反序列化、Struts2系列漏洞、Jenkins RCE)或弱口令(Redis未授權(quán)、Hadoop yarn未授權(quán)、SSH弱口令)等問題。

ps -ef|grep username

可以看到，weblogic用戶下除了兩個(gè)挖礦進(jìn)程，還有一個(gè)weblogic應(yīng)用的進(jìn)程，所以這時(shí)候就應(yīng)該判斷該weblogic應(yīng)用是否有已知的漏洞(比如WebLogic反序列化漏洞)。如果有的話，那么該挖礦進(jìn)程很可能是利用了該漏洞進(jìn)入主機(jī)。

確定原因

排查出挖礦木馬后對木馬類型進(jìn)行分析，根據(jù)木馬的傳播特征和傳播方式，初步判斷本次入侵的原因。然后結(jié)合應(yīng)用日志以及漏洞利用殘留文件確定本次攻擊是否利用了該漏洞。

比如，利用redis未授權(quán)訪問漏洞后，一般會(huì)修改redis的dbfilename和dir的配置，并且使用redis寫文件時(shí)，會(huì)在文件中殘留redis和版本號標(biāo)識，可以根據(jù)以上兩個(gè)信息排查是否利用了redis。

清除挖礦木馬

1、及時(shí)隔離主機(jī)

部分帶有蠕蟲功能的挖礦木馬在取得本機(jī)的控制權(quán)后，會(huì)以本機(jī)為跳板機(jī)，對同一局域網(wǎng)內(nèi)的其他主機(jī)進(jìn)行已知漏洞的掃描和進(jìn)一步利用，所以發(fā)現(xiàn)挖礦現(xiàn)象后，在不影響業(yè)務(wù)的前提下應(yīng)該及時(shí)隔離受感染主機(jī)，然后進(jìn)行下一步分析。

2、阻斷與礦池通訊

iptables -A INPUT -s xmr.crypto-pool.fr -j DROP

iptables -A OUTPUT -d xmr.crypto-pool.fr -j DROP

3、清除定時(shí)任務(wù)

大部分挖礦進(jìn)程會(huì)在受感染主機(jī)中寫入定時(shí)任務(wù)完成程序的駐留，當(dāng)安全人員只清除挖礦木馬時(shí)，定時(shí)任務(wù)會(huì)再次從服務(wù)器下載挖礦進(jìn)程或直接執(zhí)行挖礦腳本，導(dǎo)致挖礦進(jìn)程清除失敗。

使用crontab -l 或 vim /var/spool/cron/root 查看是否有可疑定時(shí)任務(wù)，有的話直接刪除，或停止crond進(jìn)程。

還有/etc/crontab、/var/spool/cron、/etc/cron.daily/、/etc/cron.hourly/、/etc/cron.monthly/、/etc/anacrontab 等文件夾或文件中的內(nèi)容也要關(guān)注。

4、清除啟動(dòng)項(xiàng)

還有的挖礦進(jìn)程為了實(shí)現(xiàn)長期駐留，會(huì)向系統(tǒng)中添加啟動(dòng)項(xiàng)來確保系統(tǒng)重啟后挖礦進(jìn)程還能重新啟動(dòng)。所以在清除時(shí)還應(yīng)該關(guān)注啟動(dòng)項(xiàng)中的內(nèi)容，如果有可疑的啟動(dòng)項(xiàng)，也應(yīng)該進(jìn)行排查，確認(rèn)是挖礦進(jìn)程后，對其進(jìn)行清除。

排查過程中重點(diǎn)應(yīng)該關(guān)注：/etc/rc0.d/、/etc/rc1.d/、/etc/rc2.d/、/etc/rc3.d/、/etc/rc4.d/、/etc/rc5.d/、/etc/rc6.d/、/etc/rc.d/、/etc/rc.local /etc/inittab等目錄或文件下的內(nèi)容。

5、清除公鑰文件

在用戶家目錄的.ssh目錄下放置authoruzed_keys文件，從而免密登陸該機(jī)器也是一種常見的保持服務(wù)器控制權(quán)的手段。在排查過程中應(yīng)該查看該文件中是否有可疑公鑰信息，有的話直接刪除，避免攻擊者再次免密登陸該主機(jī)。

[UserDIR]/.ssh/authorized_keys

6、kill挖礦進(jìn)程

對于單進(jìn)程挖礦程序，直接結(jié)束挖礦進(jìn)程即可。但是對于大多數(shù)的挖礦進(jìn)程，如果挖礦進(jìn)程有守護(hù)進(jìn)程，應(yīng)先殺死守護(hù)進(jìn)程再殺死挖礦進(jìn)程，避免清除不徹底。

kill -9 pid 或 pkill ddg.3014

在實(shí)際的清除工作中，應(yīng)找到本機(jī)上運(yùn)行的挖礦腳本，根據(jù)腳本的執(zhí)行流程確定木馬的駐留方式，并按照順序進(jìn)行清除，避免清除不徹底。

瀏覽器挖礦不可不防

首先要做的是確定吞噬資源的過程。通常使用Windows Taskmanager或MacOs的Activity Monitor足以識別罪魁禍?zhǔn)?。但是，該進(jìn)程也可能與合法的Windows文件具有相同的名稱，如下圖所示。

如果該進(jìn)程是瀏覽器時(shí)，更加難以找到罪魁禍?zhǔn)住?/p>

當(dāng)然，可以粗暴地終止該進(jìn)程，但精確找到究竟是瀏覽器中的哪一個(gè)站點(diǎn)占用了如此之多的CPU性能是一個(gè)更好的辦法。比如，Chrome有一個(gè)內(nèi)置工具，被稱為Chrome任務(wù)管理器，通過單擊主菜單中的“更多工具”并在其中選擇“任務(wù)管理器”來啟動(dòng)它。

此任務(wù)管理器顯示各個(gè)瀏覽器選項(xiàng)卡和擴(kuò)展項(xiàng)的CPU使用情況，因此如果您的某個(gè)擴(kuò)展程序包含一個(gè)挖礦者，則它也會(huì)顯示在列表中。

寫在最后

2017年是挖礦木馬爆發(fā)的一年，而2018年是挖礦木馬從隱匿的角落走向大眾視野的一年，2019年可能是木馬瘋狂的一年。阻止挖礦木馬的興起是安全人員的重要責(zé)任，而防范挖礦木馬的入侵是每一位服務(wù)器管理員、PC用戶需要時(shí)刻注意的重點(diǎn)。防御挖礦木馬，任重而道遠(yuǎn)!