当前位置:首页 > 黑客教程 > 正文内容

木马围城:比特币爆涨 *** 挖矿木马一拥而上围猎肉鸡资源

访客56年前 (1970-01-01)黑客教程646

一、背景

云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊, *** 环境中的主机资产盲点成倍增加,黑客入侵、数据泄露、病毒木马攻击风险随之增加。
与此同时,各类数字加密货币价格迎来暴涨,2020年初至今,比特币价格一度超过了4万美元/ *** C,是2019年底的10倍之多,达到了历史更高点,比特币一度摘取2020年度更佳持有资产的头衔。受比特币暴涨影响,各类数字虚拟币市值均有大幅增长,在如此大利益诱惑之下,通过传播挖矿木马来获取数字加密货币(以挖取门罗币最为普遍)的黑产团伙闻风而动,纷纷加入对主机计算资源的争夺之战。

根据腾讯安全威胁情报中心态势感知系统提供的数据,近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查,导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷,黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马,再利用被控主机系统的计算资源挖矿数字加密货币获利。

二、威胁情报数据

腾讯安全态势感知数据显示,近期与挖矿相关的恶意样本检出、IP、Domain广度热度,探测到的挖矿威胁数量均有不同程度的上升。

1、腾讯安全智能AI引擎检测到的挖矿木马样本量呈明显上涨

2、腾讯安全态势感知系统检测到挖矿团伙控制的IP、Domain广度也呈上涨趋势 3、腾讯安全智能分析系统部署的探针检测到云上挖矿威胁也有较大幅度上涨

三、近期典型挖矿事件

1、挖矿事件应急处置

腾讯安全工程师会对捕获到的有一定影响力的安全事件进行应急处置,对腾讯安全全系列产品进行安全策略升级,以覆盖最新的威胁防御、威胁检测和威胁清理能力;其中影响范围较大的病毒变种或新病毒家族会对外发布详细的病毒分析报告,给出具体的防御和清理建议,向广大用户和安全同行进行通告和预警。
根据腾讯安全威胁情报中心运营数据,从2020/12/9至2021/1/9间的一个月时间内,上述需要人工参与应急处置的挖矿相关事件从平均每日2例增长到了每日5例,有较明显增长。

2、老挖矿木马家族更加活跃

在处置安全事件过程中我们发现,老牌挖矿木马团伙H2Miner、SystemdMiner非常活跃,并且这些家族分别针对云主机的系统和应用部署特性开发了新的攻击代码:

2020年12月22日,H2Miner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193攻击传播;2020年12月28日又发现H2Miner挖矿木马家族利用XXL-JOB未授权命令执行漏洞对云主机发起攻击。(参考链接:https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ)

2020年12月,我们还发现SystemdMiner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA)

2020年10月,WatchBogMiner挖矿木马变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机。(参考链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg)

2020年10月,8220挖矿团伙利用Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence远程代码执行漏洞CVE-2019-3396攻击传播。(参考链接:https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA)

3、新挖矿家族层出不穷,新漏洞武器被迅速采用 自2020年11月以来,仅腾讯安全威胁情报中心新发现的感染量超过5000的挖矿木马家族就已超过5个,对应家族的命名、主要入侵方式、估计感染量如下: SuperManMiner:https://mp.weixin.qq.com/s/jl_mSggGf_5NcF_pr55gLw
TOPMiner:https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA
RunMiner:https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ
4SHMiner:https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWw
z0Miner:https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg
MrbMiner:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ

其中,腾讯安全团队于2020.11.02日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行攻击,本次攻击是在Weblogic官方发布安全公告(2020.10.21)之后的15天之内发起,挖矿木马团伙对于新漏洞武器的采用速度之快,由此可见一斑。 4、僵尸 *** 加入挖矿阵营

2020年11月,腾讯安全威胁情报中心检测到Team *** 僵尸 *** 通过批量扫描公网上开放2375端口的云服务器,并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击,随后植入挖矿木马。(参考链接:https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg)

2020年12月,腾讯安全威胁情报中心发现Prometei僵尸 *** 变种开始针对Linux系统进行攻击,通过SSH弱口令爆破登陆服务器,之后安装僵尸木马uplugplay控制云主机并根据C2指令启动挖矿程序。Prometei僵尸 *** 于2020年7月被发现,初期主要以 *** B、WMI弱口令爆破和 *** B漏洞(如永恒之蓝漏洞)对Windows系统进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng)

四、总结

“挖矿木马”开始大规模流行于2017年初,黑客通过 *** 入侵控制大量计算机并植入矿机程序后,利用计算机的CPU或GPU算力完成大量运算,从而获得数字加密货币。2017年开始爆发之后,挖矿木马逐渐成为 *** 世界主要的威胁之一。

服务器一旦被挖矿木马团伙攻占,正常业务服务的性能会受到严重影响,挖矿木马感染,也意味着服务器权限被黑客夺取,企业机密信息可能泄露,攻击者也同时具备彻底破坏数据的可能性。

面对越来越严峻的安全挑战,企业应该加大对主机安全的重视程度和建设力度。挖矿木马作为目前主机面临的最普遍威胁之一,是检验企业安全防御机制、环境和技术能力水平的试金石。如何有效应对此类安全威胁,并在此过程中促进企业 *** 安全能力提升,应当成为企业安全管理人员与 *** 安全厂商的共同目标。

五、安全防护建议

针对联网主机防护挖矿团伙入侵的一般建议

1.对于Linux服务器SSH、Windows SQL Server等主机访问入口设置高强度的登录密码;
2.对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证,对访问对象进行控制。
3.如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件,应密切关注相应组件官方网站和各大安全厂商发布的安全公告,根据提示及时修复相关漏洞,将相关组件升级到最新版本。

失陷系统的排查及清除

1、检查有无占用CPU资源接近甚至超过100%的进程,如有找到进程对应文件,确认是否属于挖矿木马,Kill 挖矿进程并删除文件;kill 掉包含下载恶意shell脚本代码执行的进程;
2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令,有无挖矿木马启动命令,并将其删除;

3、如有发现挖矿相关进程、恶意程序,及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。

六、腾讯安全解决方案

针对近期挖矿木马家族异常活跃的现状,腾讯安全团队及时响应,腾讯安全全系列产品升级相应的检测、防御规则,确保部署腾讯安全产品的用户不受影响:

应用

场景

安全产品 解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)相关流行挖矿木马黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)相关流行挖矿木马黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生

安全

防护

云防火墙

(Cloud Firewall,CFW)

基于 *** 流量进行威胁检测与主动拦截,已支持:

1)相关流行挖矿木马关联的IOCs已支持识别检测;

2)支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。

有关云防火墙的更多信息,可参考:
 https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1)已支持查杀相关流行挖矿木马程序;

2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测;

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持通过协议检测相关流行挖矿木马与服务器的 *** 通信;

2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32647.html

“木马围城:比特币爆涨 *** 挖矿木马一拥而上围猎肉鸡资源” 的相关文章

Lapsus$ 黑客入侵 T-Mobile 的系统并窃取其源代码

Lapsus$黑客组织在3月发生的一系列网络入侵事件中窃取了T-Mobile的源代码,T-Mobile在一份声明中确认了这次攻击,并说”被访问的系统不包含客户或政府信息或其他类似的敏感信息”。在一份私人信息副本中,Lapsus$黑客组织讨论了在其七名青少年成员被捕前一周针对T-Mobile的攻击。...

美政府悬赏 1000 万美元来寻找能够识别或定位俄黑客组织 Sandworm 成员的信息

据TechCrunch报道,美国政府通过悬赏1000万美元来寻找能够识别或定位黑客组织Sandworm成员的信息,从而加大了对六名俄罗斯情报官员的追捕力度。黑客组织Sandworm的成员为俄罗斯军事情报部门GRU的一个部门工作–以对关键基础设施,包括食品供应和能源部门发起破坏性和毁灭性的网络攻击而闻...

微软示警 PHaaS 模式:发现为网络犯罪团伙提供的大规模钓鱼服务

在今天发布的安全公告中,微软安全团队发现了一个大规模的活动:利用类似主机的基础设施向网络犯罪团伙提供钓鱼服务。该服务被称为 BulletProofLink、BulletProftLink 或 Anthrax,目前在地下网络犯罪论坛上进行宣传。微软称这项服务为“钓鱼即服务”(Phishing-as-a...

美国财政部报告:2021 年勒索事件支付赎金将近 6 亿美元 超过去年全年

根据美国财政部公布的最新报告,2021 年上半年勒索事件支付的赎金总额将近 6 亿美元,轻松超过了 2020 年全年的总额。该报告由财政部金融犯罪执法网络周五发布,重点提及了今年发生了几起高调的勒索软件攻击事件,包括 Colonial Pipeline 和肉类加工厂 JBS USA Holdings...

安卓 APT 间谍软件 GnatSpy 分析

一个名为C-23(也被称为 GnatSpy,FrozenCell,或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性,这些特性使得它们对用户的行为更具适应力,用户可能会试图手动删除它们,安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名,但这些恶意应用程序也能应对。 这款间谍软件...

FontOnLake Rootkit 恶意软件攻击 Linux 系统

网络安全研究人员详细介绍了一项新的黑客行动,该行动可能以东南亚的实体为目标,工具是一种以前未被识别的Linux恶意软件,该恶意软件被用于进行远程访问,此外还可以收集凭证和充当代理服务器。 该恶意软件家族被斯洛伐克网络安全公司ESET称为“FontOnLake”,据说具有“设计良好的模块”,可以不断升...

评论列表

辙弃折奉
2年前 (2022-07-27)

gic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件,应密切关注相应组件官方网站和各大安全厂商发布的安全公告,根据提示及时修复相关漏洞,将相关组件升级到最新版本。失陷系统的排查及清除1、检查有无占用CPU资源接近甚至超过1

笙沉青朷
2年前 (2022-07-27)

链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg)2020年10月,8220挖矿团伙利用Nexus Reposi

孤鱼轻禾
2年前 (2022-07-27)

1V0dkL0AUIPYZWmNSjpARunMiner:https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ4SHMiner:https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWwz0Miner:ht

闹旅戏侃
2年前 (2022-07-27)

安全威胁,并在此过程中促进企业网络安全能力提升,应当成为企业安全管理人员与网络安全厂商的共同目标。五、安全防护建议针对联网主机防护挖矿团伙入侵的一般建议1.对于Linux服务器SSH、Win

离鸢拔弦
2年前 (2022-07-27)

提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics腾讯T-Sec高级威胁追溯系统1)相关流行挖矿木马黑产团伙相关信

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。