[[375809]]

一、背景

云主機是企業(yè)數(shù)字化轉(zhuǎn)型的重要基礎(chǔ)設(shè)施，承載著重要的數(shù)據(jù)和服務(wù)價值，也逐漸成為了黑客的重點攻擊對象。隨著虛擬機、云主機、容器等技術(shù)的普遍應(yīng)用，傳統(tǒng)安全邊界逐漸模糊，網(wǎng)絡(luò)環(huán)境中的主機資產(chǎn)盲點成倍增加，黑客入侵、數(shù)據(jù)泄露、病毒木馬攻擊風(fēng)險隨之增加。

與此同時，各類數(shù)字加密貨幣價格迎來暴漲，2020年初至今，比特幣價格一度超過了4萬美元/BTC，是2019年底的10倍之多，達到了歷史最高點，比特幣一度摘取2020年度最佳持有資產(chǎn)的頭銜。受比特幣暴漲影響，各類數(shù)字虛擬幣市值均有大幅增長，在如此大利益誘惑之下，通過傳播挖礦木馬來獲取數(shù)字加密貨幣(以挖取門羅幣最為普遍)的黑產(chǎn)團伙聞風(fēng)而動，紛紛加入對主機計算資源的爭奪之戰(zhàn)。

比特幣價格曲線(數(shù)據(jù)來源：coinmarketcap.com)

根據(jù)騰訊安全威脅情報中心態(tài)勢感知系統(tǒng)提供的數(shù)據(jù)，近期針對云主機的挖礦木馬呈現(xiàn)成倍增長趨勢。由于部分主機未對系統(tǒng)進行合理的訪問策略控制、安全風(fēng)險檢查，導(dǎo)致其存在較多的弱口令、未授權(quán)訪問、遠程代碼執(zhí)行漏洞等安全缺陷，黑客團伙利用這些缺陷大規(guī)模入侵服務(wù)器并植入挖礦木馬，再利用被控主機系統(tǒng)的計算資源挖礦數(shù)字加密貨幣獲利。

二、威脅情報數(shù)據(jù)

騰訊安全態(tài)勢感知數(shù)據(jù)顯示，近期與挖礦相關(guān)的惡意樣本檢出、IP、Domain廣度熱度，探測到的挖礦威脅數(shù)量均有不同程度的上升。

1.騰訊安全智能AI引擎檢測到的挖礦木馬樣本量呈明顯上漲。

2.騰訊安全態(tài)勢感知系統(tǒng)檢測到挖礦團伙控制的IP、Domain廣度也呈上漲趨勢。

3. 騰訊安全智能分析系統(tǒng)部署的探針檢測到云上挖礦威脅數(shù)量也有較大程度上漲。

三、近期典型挖礦事件

3.1 挖礦事件應(yīng)急處置

騰訊安全工程師會對捕獲到的有一定影響力的安全事件進行應(yīng)急處置，對騰訊安全全系列產(chǎn)品進行安全策略升級，以覆蓋最新的威脅防御、威脅檢測和威脅清理能力;其中影響范圍較大的病毒變種或新病毒家族會對外發(fā)布詳細的病毒分析報告，給出具體的防御和清理建議，向廣大用戶和安全同行進行通告和預(yù)警。

根據(jù)騰訊安全威脅情報中心運營數(shù)據(jù)，從2020/12/9至2021/1/9間的一個月時間內(nèi)，上述需要人工參與應(yīng)急處置的挖礦相關(guān)事件從平均每日2例增長到了每日5例，有較大增長。

3.2 老挖礦家族更加活躍

在處置安全事件過程中我們發(fā)現(xiàn)，老牌挖礦木馬團伙H2Miner、SystemdMiner非常活躍，并且這些家族分別針對云主機的系統(tǒng)和應(yīng)用部署特性開發(fā)了新的攻擊代碼：2020年12月22日，H2Miner挖礦木馬家族利用Postgres遠程代碼執(zhí)行漏洞CVE-2019-9193攻擊傳播，2020年12月28日又發(fā)現(xiàn)H2Miner挖礦木馬家族利用XXL-JOB未授權(quán)命令執(zhí)行漏洞對云主機發(fā)起攻擊。(參考鏈接：https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ)

2020年12月，我們還發(fā)現(xiàn)SystemdMiner挖礦木馬家族利用Postgres遠程代碼執(zhí)行漏洞CVE-2019-9193進行攻擊傳播。(參考鏈接：https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA)

2020年10月，WatchBogMiner挖礦木馬變種利用Apache Flink任意Jar包上傳導(dǎo)致遠程代碼執(zhí)行漏洞入侵云主機。(參考鏈接：https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg)

2020年10月，8220挖礦團伙利用Nexus Repository Manager 3遠程代碼執(zhí)行漏洞CVE-2019-7238、Confluence遠程代碼執(zhí)行漏洞CVE-2019-3396攻擊傳播。(參考鏈接：https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA)

3.3 新挖礦家族層出不窮

自2020年11月以來，僅騰訊安全威脅情報中心新發(fā)現(xiàn)的感染量超過5000的挖礦木馬家族就已超過5個，對應(yīng)家族的命名、主要入侵方式、估計感染量如下：

SuperManMiner https://mp.weixin.qq.com/s/jl_mSggGf_5NcF_pr55gLw

TOPMiner https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA

RunMiner https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ

4SHMiner https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWw

z0Miner https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg

MrbMiner https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ

其中，于2020.11.02日發(fā)現(xiàn)挖礦木馬團伙z0Miner利用Weblogic未授權(quán)命令執(zhí)行漏洞(CVE-2020-14882/14883)進行攻擊，本次攻擊是在Weblogic官方發(fā)布安全公告(2020.10.21)之后的15天之內(nèi)發(fā)起，挖礦木馬團伙對于新漏洞武器的采用速度之快，由此可見一斑。

3.4 僵尸網(wǎng)絡(luò)加入挖礦陣營

2020年11月，騰訊安全威脅情報中心檢測到TeamTNT僵尸網(wǎng)絡(luò)通過批量掃描公網(wǎng)上開放2375端口的云服務(wù)器，并嘗試利用Docker Remote API未授權(quán)訪問漏洞對云服務(wù)器進行攻擊，隨后植入挖礦木馬。(參考鏈接：https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg)

2020年12月，騰訊安全威脅情報中心發(fā)現(xiàn)Prometei僵尸網(wǎng)絡(luò)變種開始針對Linux系統(tǒng)進行攻擊，通過SSH弱口令爆破登陸服務(wù)器，之后安裝僵尸木馬uplugplay控制云主機并根據(jù)C2指令啟動挖礦程序。Prometei僵尸網(wǎng)絡(luò)于2020年7月被發(fā)現(xiàn)，初期主要以SMB、WMI弱口令爆破和SMB漏洞(如永恒之藍漏洞)對Windows系統(tǒng)進行攻擊傳播。(參考鏈接：https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng)

四、總結(jié)

“挖礦木馬”開始大規(guī)模流行于2017年初，黑客通過網(wǎng)絡(luò)入侵控制大量計算機并植入礦機程序后，利用計算機的CPU或GPU算力完成大量運算，從而獲得數(shù)字加密貨幣。2017年開始爆發(fā)之后，挖礦木馬逐漸成為網(wǎng)絡(luò)世界主要的威脅之一。

服務(wù)器一旦被挖礦木馬團伙攻占，正常業(yè)務(wù)服務(wù)的性能會受到嚴重影響，挖礦木馬感染，也意味著服務(wù)器權(quán)限被黑客奪取，企業(yè)機密信息可能泄露，攻擊者也同時具備徹底破壞數(shù)據(jù)的可能性。

面對越來越嚴峻的安全挑戰(zhàn)，企業(yè)應(yīng)該加大對主機安全的重視程度和建設(shè)力度。挖礦木馬作為目前主機面臨的最普遍威脅之一，是檢驗企業(yè)安全防御機制、環(huán)境和技術(shù)能力水平的試金石。如何有效應(yīng)對此類安全威脅，并在此過程中促進企業(yè)網(wǎng)絡(luò)安全能力提升，應(yīng)當(dāng)成為企業(yè)安全管理人員與網(wǎng)絡(luò)安全廠商的共同目標。

五、安全防護建議

5.1 針對聯(lián)網(wǎng)主機防護挖礦團伙入侵的一般建議

1. 對于Linux服務(wù)器SSH、Windows SQL Server等主機訪問入口設(shè)置高強度的登錄密碼;

2. 對于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應(yīng)用增加授權(quán)驗證，對訪問對象進行控制。

3. 如果服務(wù)器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經(jīng)常曝出安全漏洞的服務(wù)器組件，應(yīng)密切關(guān)注相應(yīng)組件官方網(wǎng)站和各大安全廠商發(fā)布的安全公告，根據(jù)提示及時修復(fù)相關(guān)漏洞，將相關(guān)組件升級到最新版本。

5.2 失陷系統(tǒng)的排查及清除

1、檢查有無占用CPU資源接近甚至超過100%的進程，如有找到進程對應(yīng)文件，確認是否屬于挖礦木馬，Kill 挖礦進程并刪除文件;kill 掉包含下載惡意shell腳本代碼執(zhí)行的進程;

2、檢查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有無惡意腳本下載命令，有無挖礦木馬啟動命令，并將其刪除;

3、如有發(fā)現(xiàn)挖礦相關(guān)進程、惡意程序，及時對服務(wù)器存在的系統(tǒng)漏洞、弱口令、Web應(yīng)用漏洞進行排查和修復(fù)。

參考鏈接：

https://mp.weixin.qq.com/s/eVBy5qLmxTNnbwBTQLSz0A

https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html

https://www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/coinminer-ddos-bot-attack-docker-daemon-ports

如若轉(zhuǎn)載，請注明原文地址