专栏首页腾讯云安全专家服务木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

木马围城:比特币爆涨刺激挖矿木马一拥而上围猎肉鸡资源

一、背景

云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊,网络环境中的主机资产盲点成倍增加,黑客入侵、数据泄露、病毒木马攻击风险随之增加。 与此同时,各类数字加密货币价格迎来暴涨,2020年初至今,比特币价格一度超过了4万美元/BTC,是2019年底的10倍之多,达到了历史最高点,比特币一度摘取2020年度最佳持有资产的头衔。受比特币暴涨影响,各类数字虚拟币市值均有大幅增长,在如此大利益诱惑之下,通过传播挖矿木马来获取数字加密货币(以挖取门罗币最为普遍)的黑产团伙闻风而动,纷纷加入对主机计算资源的争夺之战。

比特币价格曲线(数据来源:coinmarketcap.com)

根据腾讯安全威胁情报中心态势感知系统提供的数据,近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查,导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷,黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马,再利用被控主机系统的计算资源挖矿数字加密货币获利。

二、威胁情报数据

腾讯安全态势感知数据显示,近期与挖矿相关的恶意样本检出、IP、Domain广度热度,探测到的挖矿威胁数量均有不同程度的上升。

1. 腾讯安全智能AI引擎检测到的挖矿木马样本量呈明显上涨

2. 腾讯安全态势感知系统检测到挖矿团伙控制的IP、Domain广度也呈上涨趋势

3. 腾讯安全智能分析系统部署的探针检测到云上挖矿威胁也有较大幅度上涨

三、近期典型挖矿事件

1. 挖矿事件应急处置

腾讯安全工程师会对捕获到的有一定影响力的安全事件进行应急处置,对腾讯安全全系列产品进行安全策略升级,以覆盖最新的威胁防御、威胁检测和威胁清理能力;其中影响范围较大的病毒变种或新病毒家族会对外发布详细的病毒分析报告,给出具体的防御和清理建议,向广大用户和安全同行进行通告和预警。 根据腾讯安全威胁情报中心运营数据,从2020/12/9至2021/1/9间的一个月时间内,上述需要人工参与应急处置的挖矿相关事件从平均每日2例增长到了每日5例,有较明显增长。

2. 老挖矿木马家族更加活跃

在处置安全事件过程中我们发现,老牌挖矿木马团伙H2Miner、SystemdMiner非常活跃,并且这些家族分别针对云主机的系统和应用部署特性开发了新的攻击代码:

2020年12月22日,H2Miner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193攻击传播;2020年12月28日又发现H2Miner挖矿木马家族利用XXL-JOB未授权命令执行漏洞对云主机发起攻击。(参考链接:https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ

2020年12月,我们还发现SystemdMiner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA) 2020年10月,WatchBogMiner挖矿木马变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机。(参考链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg) 2020年10月,8220挖矿团伙利用Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence远程代码执行漏洞CVE-2019-3396攻击传播。(参考链接:https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA

3. 新挖矿家族层出不穷,新漏洞武器被迅速采用

自2020年11月以来,仅腾讯安全威胁情报中心新发现的感染量超过5000的挖矿木马家族就已超过5个,对应家族的命名、主要入侵方式、估计感染量如下:

SuperManMiner:https://mp.weixin.qq.com/s/jl_mSggGf_5NcF_pr55gLw TOPMiner:https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA RunMiner:https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ 4SHMiner:https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWw z0Minerhttps://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg MrbMinerhttps://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ 其中,腾讯安全团队于2020.11.02日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行攻击,本次攻击是在Weblogic官方发布安全公告(2020.10.21)之后的15天之内发起,挖矿木马团伙对于新漏洞武器的采用速度之快,由此可见一斑。

4. 僵尸网络加入挖矿阵营

2020年11月,腾讯安全威胁情报中心检测到TeamTNT僵尸网络通过批量扫描公网上开放2375端口的云服务器,并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击,随后植入挖矿木马。(参考链接:https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg

2020年12月,腾讯安全威胁情报中心发现Prometei僵尸网络变种开始针对Linux系统进行攻击,通过SSH弱口令爆破登陆服务器,之后安装僵尸木马uplugplay控制云主机并根据C2指令启动挖矿程序。Prometei僵尸网络于2020年7月被发现,初期主要以SMB、WMI弱口令爆破和SMB漏洞(如永恒之蓝漏洞)对Windows系统进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng

四、总结

“挖矿木马”开始大规模流行于2017年初,黑客通过网络入侵控制大量计算机并植入矿机程序后,利用计算机的CPU或GPU算力完成大量运算,从而获得数字加密货币。2017年开始爆发之后,挖矿木马逐渐成为网络世界主要的威胁之一。 服务器一旦被挖矿木马团伙攻占,正常业务服务的性能会受到严重影响,挖矿木马感染,也意味着服务器权限被黑客夺取,企业机密信息可能泄露,攻击者也同时具备彻底破坏数据的可能性。 面对越来越严峻的安全挑战,企业应该加大对主机安全的重视程度和建设力度。挖矿木马作为目前主机面临的最普遍威胁之一,是检验企业安全防御机制、环境和技术能力水平的试金石。如何有效应对此类安全威胁,并在此过程中促进企业网络安全能力提升,应当成为企业安全管理人员与网络安全厂商的共同目标。

五、安全防护建议

1. 针对联网主机防护挖矿团伙入侵的一般建议

1.对于Linux服务器SSH、Windows SQL Server等主机访问入口设置高强度的登录密码; 2.对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证,对访问对象进行控制。 3.如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件,应密切关注相应组件官方网站和各大安全厂商发布的安全公告,根据提示及时修复相关漏洞,将相关组件升级到最新版本。

2. 失陷系统的排查及清除

1、检查有无占用CPU资源接近甚至超过100%的进程,如有找到进程对应文件,确认是否属于挖矿木马,Kill 挖矿进程并删除文件;kill 掉包含下载恶意shell脚本代码执行的进程; 2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令,有无挖矿木马启动命令,并将其删除;

3、如有发现挖矿相关进程、恶意程序,及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。

六、腾讯安全解决方案

针对近期挖矿木马家族异常活跃的现状,腾讯安全团队及时响应,腾讯安全全系列产品升级相应的检测、防御规则,确保部署腾讯安全产品的用户不受影响:

应用场景

安全产品

解决方案

威胁情报

腾讯T-Sec威胁情报云查服务(SaaS)

1)相关流行挖矿木马黑产团伙相关IOCs已入库。各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考: https://cloud.tencent.com/product/tics

腾讯T-Sec高级威胁追溯系统

1)相关流行挖矿木马黑产团伙相关信息和情报已支持检索。网管可通过威胁追溯系统,分析日志,进行线索研判、追溯网络入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生安全防护

云防火墙(Cloud Firewall,CFW)

基于网络流量进行威胁检测与主动拦截,已支持:1)相关流行挖矿木马关联的IOCs已支持识别检测;2)支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。 有关云防火墙的更多信息,可参考: https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全(Cloud Workload Protection,CWP)

1)已支持查杀相关流行挖矿木马程序;2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测; 腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心

基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护

腾讯T-Sec高级威胁检测系统(腾讯御界)

1)已支持通过协议检测相关流行挖矿木马与服务器的网络通信;2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。 关于T-Sec高级威胁检测系统的更多信息,可参考:https://cloud.tencent.com/product/nta

长按二维码关注 - 腾讯安全威胁情报中心

参考链接: https://mp.weixin.qq.com/s/eVBy5qLmxTNnbwBTQLSz0A

https://blog.talosintelligence.com/2020/07/prometei-botnet-and-its-quest-for-monero.html

https://www.trendmicro.com/vinfo/hk-en/security/news/virtualization-and-cloud/coinminer-ddos-bot-attack-docker-daemon-ports

原文链接:https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247497342&idx=1&sn=67aca6e895895890265cd61cdff963fa&chksm=ec9f2f0ddbe8a61b3eeba663a0ad0297a99a6b6d5b1aec05da4651fcd5f2be57d3376dc92c6b&mpshare=1&scene=1&srcid=0112mrnNHVx2Qb1y4lA5Ei0K&sharer_sharetime=1610447003737&sharer_shareid=25cc8ed8481f195

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 2018上半年区块链安全报告

    2018年,是公认的区块链大年。与区块链有关的讨论不仅遍存在于中关村的创业咖啡,更是存在于街头巷尾、地铁公交、微博微信,几乎无处不在。然而,伴随着区块链技术的不...

    FB客服
  • 当你“吃鸡”的时候,黑客正将你的电脑变成“矿鸡”!

    近日,腾讯反病毒实验室发布了《2018年Q2季度互联网安全报告》(以下简称:报告)。

    IT派
  • 黑产军团控制四百万肉鸡集群,掘金区块链数字货币

    随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火...

    FB客服
  • 《2020挖矿木马年度报告》:挖矿团伙勾结僵尸网络日趋多见

    近期,加密货币市场可谓热度十足。数字资产交易网站Crypto.com的一项调查显示,截至2021年1月,全球已有1.06亿加密货币用户。各类数字加密货币价格暴涨...

    腾讯安全
  • 博览安全圈:“吃鸡游戏”辅助程序藏挖矿木马

    【IT168 资讯】为了响应国家号召,加强全民网络安全意识,我们会经常性的为大家奉上最具代表性的安全事件。 1、“吃鸡游戏”辅助程序暗藏挖矿木马 2017年下半...

    企鹅号小编
  • 《绝地求生》辅助程序暗藏挖矿木马

    0x1 概述 数字货币“挖矿”, 通俗讲就是猜数字求解,猜对即可获得数字货币奖励。目前已知的数字货币约有100多种,包括比特币、莱卡币、门罗币等常见类型,并且近...

    FB客服
  • 《绝地求生》辅助程序暗藏挖矿木马

    0×1 概述 数字货币“挖矿”, 通俗讲就是猜数字求解,猜对即可获得数字货币奖励。目前已知的数字货币约有100多种,包括比特币、莱卡币、门罗币等常见类型...

    奶糖味的代言
  • RAT远程访问木马主控端全网探测分析

    RAT 简介 远程访问木马(RAT,remote access Trojan)是一种恶意程序,其中包括在目标计算机上用于管理控制的后门。通常攻击者会将远程访问...

    安恒信息
  • 揭秘来自中国的数字货币“挖矿”军团 – Bondnet僵尸网络

    Bondnet的控制者通过一系列公开漏洞,利用Windows管理服务(WMI)木马对服务器进行入侵控制。根据GuardiCore的分析显示,昵称为Bond007...

    FB客服
  • 腾讯安全发布挖矿木马年度报告:供应链感染或成黑产流行手法

    随着数字货币价值不断攀升,盗取用户计算机处理器的计算能力进行挖矿成为一门一本万利的暴利营生。自2017年爆发之后,近年来在挖矿木马全球范围持续活跃,每年都有大量...

    腾讯安全
  • 木马到底是什么,看完这个你还说和你没关系吗?

    如果说勒索病毒是当下“最火”的病毒。那“木马病毒”一定是最常见的病毒了。今天我们就来简单聊聊木马病毒。

    用户6477171
  • 比特币暴涨引发挖矿木马成倍增长,企业如何冲破“木马围城”?

    受比特币暴涨影响,各类数字虚拟币市值均有大幅增长。而虚拟货币繁荣背后,黑色数字产业链却早已将方向转向“挖矿”领域,挖矿木马仍是企业服务器被攻陷后植入的主要木马类...

    腾讯安全
  • 多比:比特币期货收跌至8000美元下方

    CME比特币期货BTC 9月合约收跌370美元,跌幅大约4.57%,报7730美元,据小葱统计,7月份累涨逾31.46%,CME比特币期货在6月29日以5865...

    dobitrade
  • 这都是比特币的错?矿工玩比特币到底害了谁

    【PConline 杂谈】关于比特币这个词,大家在近两年已经相当熟悉了。作为一种区块链数字货币,比特币的数量和生成速度由P2P算法保证,不受任何中央机构的控制,...

    企鹅号小编
  • 比特币挖矿木马疯狂敛财 有僵尸网络获利超300万

    原标题:比特币走高 致“挖矿”木马疯狂敛财 一个僵尸网络获利超300万人民币 段郴群 网络安全提醒 广州日报讯 (全媒体记者 段郴群)用户电脑突然出现计卡顿或者...

    企鹅号小编
  • 2019上半年恶意挖矿趋势报告

    上一期,深信服安全团队对勒索病毒进行2019半年度总结,主要盘点了高发勒索家族、受灾区域分布、勒索病毒发展走向等。本期深信服安全团队对另一流行病毒类型——挖矿木...

    FB客服
  • 比特币黑客攻击手段大揭秘

    最近一段时间,比特币彻底火了。无论是新闻媒体、行业龙头还是资本市场都对其反映敏锐,可以看出比特币正站在风口浪尖,受到各方高度关注。然而,当涉及到安全方面时,比特...

    IT派
  • “大黄蜂”远控挖矿木马分析与溯源

    事件背景: 近日,腾讯安全反病毒实验室发现了一类远控木马具有爆发的趋势。通过跟踪发现,此类木马不仅保留了远控的功能,而且随着虚拟货币价格的水涨船高,木马加入了挖...

    FB客服
  • 服务器被挖矿木马攻击该怎么处理

    正月里来是新年,刚开始上班我们SINE安全团队,首次挖掘发现了一种新的挖矿木马,感染性极强,穿透内网,自动尝试攻击服务器以及其他网站,通过我们一系列的追踪,发现...

    网站安全专家

扫码关注云+社区

领取腾讯云代金券