2018年雲上挖礦態勢分析報告》發佈，非Web類應用安全風險需重點關注

近日，阿里雲安全團隊發佈了《2018年雲上挖礦分析報告》。該報告以阿里雲2018年的攻防數據爲基礎，對惡意挖礦態勢進行了分析，併爲我的和企業提出了合理的安全防禦建議。

報告指出，儘管加密貨幣的價格在2018年經歷了暴跌，但挖礦還是網絡黑產團伙在入侵服務器以後最直接的變現手段，愈來愈多的0-Day/N-Day漏洞在公佈後的極短期內就被用於入侵挖礦，黑產團伙利用漏洞發起攻擊進行挖礦的趨勢仍將持續。

如下是報告部份內容，下載報告完整版：
yq.aliyun.com/download/33…

攻擊態勢分析

【熱點0-Day/N-Day漏洞利用成爲挖礦團伙的"武器庫",0-Day漏洞留給用戶進行修復的窗口期變短】

2018年，多個應用普遍的web應用爆出高危漏洞，對互聯網安全形成嚴重威脅。過後安全社區對漏洞信息的分析和漏洞細節的分享，讓利用代碼可以方便的從互聯網上獲取。挖礦團伙天然不會放過這些唾手可得的「武器庫」。此外一些持續未獲得廣泛修復的N-Day漏洞每每也會被挖礦團伙利用。本報告梳理了部分熱點0-Day/N-Day漏洞被挖礦團伙大量利用的事件。

同時阿里雲觀察到，0-Day漏洞從披露到大規模利用之間的時間間隔愈來愈小。所以在高危0-Day漏洞爆出後未能及時修復的用戶，容易成爲惡意挖礦的受害者。

【非Web網絡應用暴露在公網後成爲挖礦團伙利用的重災區】

企業對Web應用可能形成的安全威脅已經有足夠的重視，WAF、RASP、漏洞掃描等安全產品也提高了Web應用的安全水位。而非Web網絡應用(Redis、Hadoop、SQLServer等)每每並不是企業核心應用，企業在安全加固和漏洞修復上投入並不如Web應用，每每致使高危漏洞持續得不到修復，於是挖礦團伙也會針對性利用互聯網上這些持續存在的弱點應用。本報告梳理了2018年非Web網絡應用漏洞被挖礦團伙利用的時間線。

【挖礦團伙普遍利用暴力破解進行傳播，弱密碼仍然是互聯網面臨的主要威脅】

下圖爲不一樣應用被入侵致使挖礦所佔百分比，能夠發現SSH/RDP/SQLServer是挖礦利用的重點應用，而這些應用一般是由於弱密碼被暴力破解致使被入侵感染挖礦病毒。由此能夠看出弱密碼致使的身份認證問題仍然是互聯網面臨的重要威脅。

惡意行爲

【挖礦後門廣泛經過蠕蟲形式傳播】

大多數的挖礦團伙在感染受害主機植入挖礦木馬後，會控制這些受害主機對本地網絡及互聯網的其餘主機進行掃描和攻擊，從而擴大感染量。這些挖礦木馬傳播速度較快，且很難在互聯網上根除，由於一旦少許主機受到惡意程序感染，它會受控開始攻擊其餘主機，致使其它帶有漏洞或存在配置問題的主機也很快淪陷。

少許挖礦團伙會直接控制部分主機進行網絡攻擊，入侵受害主機後只在主機植入挖礦後門，並不會進一步擴散。最有表明性的就是8220挖礦團伙。這類團伙通常漏洞利用手段比較豐富，漏洞更新速度較快。

【挖礦團伙會在受害主機上經過持久化駐留獲取最大收益】

大多數的挖礦團伙，都會嘗試在受害主機上持久化駐留以獲取最大收益。

一般在Linux系統中，挖礦團伙經過crontab設置週期性被執行的指令。在Windows系統中，挖礦團伙一般使用schtask和WMI來達到持久化的目的。

以下爲Bulehero木馬執行添加週期任務的schtask命令:

cmd /c schtasks /create /sc minute /mo 1 /tn "Miscfost" /ru system /tr "cmd /c C:\Windows\ime\scvsots.exe"
cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\Windows\scvsots.exe /p everyone:F"
複製代碼

【挖礦團伙會經過假裝進程、加殼、代碼混淆、私搭礦池或代理等手段規避安全分析和溯源】

Bulehero挖礦網絡使用的病毒下載器進程名爲scvsots.exe，與windows正常程序的名字svchost.exe極其類似；其它僵屍網絡使用的惡意程序名，像taskhsot.exe、taskmgr.exe、java這類形似正常程序的名稱也是家常便飯。

在分析挖礦僵屍網絡的過程當中咱們發現，大多數後門二進制程序都被加殼，最常常被使用的是Windows下的UPX、VMP、sfxrar等，以下圖，幾乎每一個RDPMiner使用的惡意程序都加了上述三種殼之一。

此外，挖礦團伙使用的惡意腳本每每也通過各類混淆。以下圖，JBossMiner挖礦僵屍網絡在其vbs惡意腳本中進行混淆加密。

儘管人工分析時能夠經過多種手段去混淆或解密，但加密和混淆對逃避殺毒軟件而言，還是很是有效的手段。

惡意挖礦團伙使用本身的錢包地址鏈接公開礦池，可能由於礦池收到投訴致使錢包地址被封禁。挖礦團伙傾向於更多的使用礦池代理或私搭礦池的方式進行挖礦。進而安全研究人員也難以經過礦池公佈的HashRate和付款歷史估算出被入侵主機的數量和規模。

主流團伙概述

1.DDG挖礦團伙

從2017年末首次被曝光至今，DDG挖礦僵屍網絡一直保持着極高的活躍度。其主要惡意程序由go語言寫成，客觀上對安全人員研究分析形成了必定阻礙。而頻繁的程序配置改動、技術手段升級，使它堪稱2018年危害最大的挖礦僵屍網絡。

DDG（3019）各模塊結構功能

2.8220挖礦團伙

在諸多挖礦僵屍網絡中，8220團伙的挖礦木馬獨樹一幟，由於它並未採用蠕蟲型傳播，而是直接對漏洞進行利用。

這種方式理論上傳播速度較慢，相較於蠕蟲型傳播的僵屍網絡也更難存活，但8220挖礦團伙仍以這種方式獲取了較大的感染量。

挖礦網絡結構

3.Mykings(theHidden)挖礦團伙

Mykings（又名theHidden「隱匿者」）挖礦網絡在2017年中就被多家友商說起並報道。它從2014年開始出現，時至今日該僵屍網絡依然活躍，能夠說是擁有很是旺盛的生命力。該僵屍網絡極爲複雜，集成了Mirai、Masscan等惡意程序的功能，此外在payload、BypassUAC部分都使用極其複雜的加密混淆技術，掩蓋攻擊意圖，逃避安全軟件的檢測和安全研究人員的分析。該挖礦僵屍網絡在11月底更是被發現與「暗雲」聯手，危害性再次加強。

挖礦網絡結構

4.Bulehero挖礦團伙

挖礦網絡結構

5.RDPMiner挖礦團伙

該挖礦僵屍網絡自2018年10月開始蔓延，以後屢次更換挖礦程序名稱。

挖礦網絡結構

6.JbossMiner挖礦團伙

阿里雲安全團隊於2018年3月報道過，從蜜罐中捕獲到JbossMiner的惡意程序樣本，該樣本由py2exe打包，解包反編譯後是一套由Python編寫的完整攻擊程序，包含源碼及依賴類庫等數十個文件。且對於Windows和Linux系統的受害主機，有不一樣的利用程序。

挖礦網絡結構

7.WannaMine

WannaMine是一個蠕蟲型僵屍網絡。這個挖礦團伙的策略曾被CrowdStrike形容爲「靠山吃山靠水吃水」(living off the land)，由於惡意程序在被感染的主機上，首先會嘗試經過Mimikatz收集的密碼登陸其餘主機，失敗以後再利用「永恆之藍」漏洞攻擊其餘主機，進行繁殖傳播。

挖礦網絡結構

8.Kworkerd

這是一個主要攻擊Redis數據庫未受權訪問漏洞的挖礦僵屍網絡，因其將挖礦程序的名字假裝成Linux正常進程Kworkerd故得名。

該木馬只利用一種漏洞卻仍有很多感染量，說明數據庫安全配置亟待獲得用戶的重視。

9.DockerKiller

隨着微服務的熱度不斷上升，愈來愈多的企業選擇容器來部署本身的應用。而Docker做爲實現微服務首選容器，在大規模部署的同時其安全性卻沒有引發足夠的重視。2018年8月，Docker配置不當致使的未受權訪問漏洞遭到挖礦團伙的批量利用。

挖礦網絡結構

安全建議

現在儘管幣價低迷，但因爲經濟形勢承受下行的壓力，可能爲潛在的犯罪活動提供誘因。阿里雲預計，2019年挖礦活動數量仍將處於較高的水位；且隨着挖礦和漏洞利用相關知識的普及，惡意挖礦的入場玩家可能趨於穩定且伴有少許增長。

基於這種情況，阿里雲安全團隊爲企業和我的提供以下安全建議：

• 安全系統中最薄弱的一環在於人，最大的安全問題也每每出於人的惰性，所以弱密碼、爆破的問題佔了挖礦緣由的半壁江山。不管是企業仍是我的，安全意識教育必不可少；
• 0-Day漏洞修復的窗口期愈來愈短，企業須要提高漏洞應急響應的效率，一方面是積極進行應用系統更新，另外一方面是關注產品的安全公告並及時升級，同時也能夠選擇購買安全託管服務提高本身的安全水位；
• 伴隨着雲上彈性的計算資源帶來的便利，一些非Web類的網絡應用暴露的風險也同步上升，安全運維人員應該重點關注非Web類的應用伴隨的安全風險，或者選擇購買帶IPS功能的防火牆產品，第一時間給0-Day漏洞提供防禦。

#阿里雲開年Hi購季#幸運抽好禮！

點此抽獎：【阿里雲】開年Hi購季，幸運抽好禮

原文連接

本文爲雲棲社區原創內容，未經容許不得轉載。