本篇文章透過分享一例挖礦木馬的應急響應來讓大家瞭解什麼是挖礦木馬,以及相應的危害、傳播方式,並對主流挖礦木馬家族做了彙總,繪製攻擊事件對應ATT&CK對映圖譜等。透過一起案例以威脅獵殺視角對挖礦木馬進行分析處置,並在結尾提出了針對校園網挖礦木馬防禦建議,助力校園提高挖礦木馬入侵成本和自身防禦能力。
1.挖礦木馬簡介
所謂挖礦,是指透過執行工作量證明或其他類似的電腦演算法來獲取虛擬貨幣,礦代表的是虛擬貨幣,挖礦的工人通常稱為礦工。而挖礦木馬是透過各種手段將挖礦程式植入受害者的計算機中,在使用者不知情的情況下,利用受害者計算機的運算力進行挖礦,從而獲取非法收益。這類非法入侵使用者計算機的挖礦程式被稱作挖礦木馬。
一般情況下,挖礦分為被動型和主動型:被動型一般是指挖礦木馬,是指在使用者不知情的情況下被植入挖礦程式,獲取的虛擬貨幣歸植入挖礦程式的入侵者所有;主動型是指人員主動利用計算資產執行挖礦程式,獲取的虛擬貨幣歸計算資產所有者或使用者所有。本次報告只提到了被動型挖礦,並未提及主動型挖礦,主動型挖礦並不屬於我們的研究範圍。
挖礦木馬主要有以下危害:首先嚴重佔有計算機資源:普遍挖礦木馬消耗大量系統資源,使系統或其他服務或軟體執行緩慢,甚至可能使正常服務崩潰,資料丟失;其次降低計算機裝置效能和壽命:普遍被植入挖礦木馬的計算機壽命都不高,而且裝置效能嚴重下降;浪費能源消耗,碳排放量大:挖礦木馬挖礦會消耗大量的電,造成巨大的能源消耗,而電的主要來源是煤炭,汙染巨大;留置後門,淪為殭屍網路:挖礦木馬普遍具有新增SSH免密登入後門、安裝rpc後門,接收遠端IRC伺服器指令、安裝Rootkit後門等;作為攻擊跳板,攻擊其他目標:挖礦木馬控制伺服器進行DDoS攻擊,一次伺服器作為跳板,攻擊其他計算機,或者釋放勒索軟體勒索贖金等;
挖礦木馬是如何入侵到終端上的呢?以下給出了五種挖礦木馬的傳播方式:
第一種:釣魚網站,攻擊者透過前期搭建的釣魚網站,誘使受害者訪問釣魚網站,釣魚網站是透過JavaScript等編寫的“挖礦”指令碼可以在瀏覽器中執行,透過在釣魚網站中嵌入含有“挖礦”程式碼的指令碼,當瀏覽器訪問帶有“挖礦”指令碼的網站時,瀏覽器將解析並執行“挖礦”指令碼,在後臺進行挖礦行為。
第二種:捆綁傳播,攻擊者將挖礦木馬偽裝為遊戲軟體、娛樂社交軟體、安全軟體、遊戲外掛等進行傳播,欺騙使用者下載並執行。由於多數遊戲對顯示卡、CPU等硬體效能要求較高,所以挖礦木馬通常偽裝成遊戲輔助外掛,透過社交群、網盤等渠道傳播,感染大量機器。
第三種:殭屍網路,一些殭屍網路家族為了獲利,會透過指令下發等方式將挖礦程式植入到受害者系統中進行挖礦。
第四種:弱口令暴力破解,弱口令指的是僅包含簡單口令、有規律的鍵盤組合或歷次洩漏過的密碼,像“qwe123”、“666666”及“p@ssw0rd”這種,攻擊者通常會針對3389、ssh、mssql、TOMCAT等服務進行爆破。爆破成功後,嘗試獲取系統許可權,植入挖礦木馬並設定持久化等操作。
第五種:漏洞利用,利用系統漏洞快速獲取相關伺服器許可權,植入挖礦木馬是目前最為普遍的傳播方式之一。常見的漏洞包括Windows系統漏洞、伺服器元件外掛漏洞、中介軟體漏洞、web漏洞等。或者部分攻擊者直接利用永恆之藍漏洞,降低了利用漏洞攻擊的難度,提高了挖礦木馬的傳播能力。像傳播較廣的WannaMine挖礦家族,利用了永恆之藍漏洞在內網蠕蟲式傳播,給不少公司和機構帶來巨大損失。
H2Miner家族從最早針對Linux平臺挖礦到現在的Linux和Windows雙平臺挖礦,安天CERT在2021年的11月釋出過該組織的分析報告,報告中指出H2Miner組織擅長利用漏洞進行傳播挖礦木馬,結果在Log4j漏洞出來後,該組織迅速利用該漏洞進行大面積傳播,影響較為廣泛。像MyKings和BillGates作為老牌殭屍網路家族,也在從事挖礦行為,BillGates也是在Log4j漏洞出來後利用該漏洞進行傳播。Mykings殭屍網路運營者自2019年以來,先後在比特幣、以太坊和狗狗幣等20多種加密貨幣上賺取了至少2400萬美元。目前絕大多是的挖礦組織更傾向於挖門羅幣,主要有以下幾種原因:首先是門羅幣的匿名性被證明是無法追蹤的貨幣、其次門羅幣的挖礦演算法用CPU挖礦效率更高,一般殭屍網路掌握的肉雞普遍不具備高效能,也就是沒有顯示卡,所以為了更多的機器能挖礦,使用門羅幣挖是最佳選擇,最後,比特幣現在越來越難挖,而門羅幣在虛擬貨幣市場價格保持穩定,相較於比特幣,門羅幣挖的價值更高,收益也更加穩定。
2.挖礦木馬應急響應案例分享
首先,挖礦木馬檢測主要有三種方式,流量檢測,終端防護和威脅情報,每一項都需要人的參與,像在發現階段,可透過流量監測挖礦木馬特徵,通訊協議特徵等進行發現識別,結合終端異常告警,外部威脅情報,可有效檢測挖礦木馬,在對挖礦木馬進行取證時,可對記憶體,作業系統,網路裝置,登錄檔,服務等進行取證,結合人工分析,評估影響,最後使用惡意程式碼定點清除和網路流量阻斷等方法進行處置。
圖 3‑1 挖礦木馬威脅獵殺
在一次校園網應急響應過程中,透過探海在流量側發現了Log4j利用並投放挖礦木馬情況,在對Linux伺服器進行取證時,發現一個程序嚴重佔用CPU資源,並在TMP目錄下相繼找到該樣本,在對計劃任務排查時,發現會定時下載一個指令碼,在取證時相繼又找到了很多的指令碼,這些指令碼主要功能是解除安裝被感染主機上的安全軟體、清除競品的挖礦程式和計劃任務,最後下載kinsing惡意軟體,該惡意軟體釋放挖礦程式進行挖礦並留置後門等。在對Windows取證時發現一個名為sysupdate.exe的程序,該程序大量佔用CPU資源,根據我們分析並判斷出該程序是開源門羅幣挖礦軟體,在TEMP路徑下找到該挖礦程式和配置檔案。在計劃任務中發現一條定時任務,無限期每30分鐘執行一次update.ps1的PowerShell指令碼。在處置挖礦時採用智甲查殺,首先智甲支援雙平臺查殺,其次是透過智甲查殺在感染機器比較多的時候會更加有效率,智甲在Windows平臺還是Linux平臺都支援對挖礦木馬的查殺。在將挖礦木馬查殺完畢之後,透過威脅情報綜合分析平臺關聯到該組織屬於分析過的挖礦組織H2Miner,並且透過該平臺關聯出了更多的樣本和下載檔案的URL等有用情報。
3.防禦建議與總結
以校園網為場景,對挖礦木馬提出一些防禦建議,校園網的防禦主要有三部分,第一部分是校園網的資產管理,第二部分是校園網的資產運維,第三部分是產品對校園網的賦能。資產管理可以透過資產識別和拓撲繪製的方式掌握校園網的網路結構和業務連通關係,在出現緊急情況時可定位追蹤。對校園網進行合理、細粒度的區域劃分。對不同型別的流量組進行劃分,流量組之間相互分離。運維方面要對資產全生命週期進行管理,如資產已凍結等原因要及時下線。同步漏洞資訊並實施漏洞修復和補丁管理,對基準配置進行核查,透過合理配置和全面的安全加固,能有效提高挖礦木馬入侵的成本,提高對挖礦木馬的防禦能力。安全賦能可在終端安裝終端防禦系統如安天智甲,在流量出口可部署探海威脅檢測系統,對於已經中了挖礦木馬的機器,也可以採用安天應急響應服務等進行支撐。
安天CERT透過近些年對挖礦木馬的持續研究,提出了以下幾種特點,目前挖礦木馬已經形成具有針對性、整合性、競爭性永續性、隱蔽性和對抗性為一體化的特點。隨著近幾年加密貨幣等虛擬貨幣的興起和數字貨幣的價值持續走高,大量黑產組織持續運營挖礦木馬,挖礦木馬的開源也導致獲取挖礦木馬的成本下降。我們作為網路安全“國家隊”,會積極響應國家號召,持續追蹤和打擊挖礦木馬,未來會有很長一段時間與挖礦木馬對抗,我們也會不斷完善自身安全產品能力,採取有效技術方案解決挖礦木馬的檢測和清除,幫助政企單位有效防護和清除挖礦木馬,助力國家治理挖礦活動貢獻一份力量。
