当前位置:首页 > 黑客教程 > 正文内容

木马围城:比特币爆涨 *** 挖矿木马一拥而上围猎肉鸡资源

访客56年前 (1970-01-01)黑客教程639

一、背景

云主机是企业数字化转型的重要基础设施,承载着重要的数据和服务价值,也逐渐成为了黑客的重点攻击对象。随着虚拟机、云主机、容器等技术的普遍应用,传统安全边界逐渐模糊, *** 环境中的主机资产盲点成倍增加,黑客入侵、数据泄露、病毒木马攻击风险随之增加。
与此同时,各类数字加密货币价格迎来暴涨,2020年初至今,比特币价格一度超过了4万美元/ *** C,是2019年底的10倍之多,达到了历史更高点,比特币一度摘取2020年度更佳持有资产的头衔。受比特币暴涨影响,各类数字虚拟币市值均有大幅增长,在如此大利益诱惑之下,通过传播挖矿木马来获取数字加密货币(以挖取门罗币最为普遍)的黑产团伙闻风而动,纷纷加入对主机计算资源的争夺之战。

根据腾讯安全威胁情报中心态势感知系统提供的数据,近期针对云主机的挖矿木马呈现成倍增长趋势。由于部分主机未对系统进行合理的访问策略控制、安全风险检查,导致其存在较多的弱口令、未授权访问、远程代码执行漏洞等安全缺陷,黑客团伙利用这些缺陷大规模入侵服务器并植入挖矿木马,再利用被控主机系统的计算资源挖矿数字加密货币获利。

二、威胁情报数据

腾讯安全态势感知数据显示,近期与挖矿相关的恶意样本检出、IP、Domain广度热度,探测到的挖矿威胁数量均有不同程度的上升。

1、腾讯安全智能AI引擎检测到的挖矿木马样本量呈明显上涨

2、腾讯安全态势感知系统检测到挖矿团伙控制的IP、Domain广度也呈上涨趋势 3、腾讯安全智能分析系统部署的探针检测到云上挖矿威胁也有较大幅度上涨

三、近期典型挖矿事件

1、挖矿事件应急处置

腾讯安全工程师会对捕获到的有一定影响力的安全事件进行应急处置,对腾讯安全全系列产品进行安全策略升级,以覆盖最新的威胁防御、威胁检测和威胁清理能力;其中影响范围较大的病毒变种或新病毒家族会对外发布详细的病毒分析报告,给出具体的防御和清理建议,向广大用户和安全同行进行通告和预警。
根据腾讯安全威胁情报中心运营数据,从2020/12/9至2021/1/9间的一个月时间内,上述需要人工参与应急处置的挖矿相关事件从平均每日2例增长到了每日5例,有较明显增长。

2、老挖矿木马家族更加活跃

在处置安全事件过程中我们发现,老牌挖矿木马团伙H2Miner、SystemdMiner非常活跃,并且这些家族分别针对云主机的系统和应用部署特性开发了新的攻击代码:

2020年12月22日,H2Miner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193攻击传播;2020年12月28日又发现H2Miner挖矿木马家族利用XXL-JOB未授权命令执行漏洞对云主机发起攻击。(参考链接:https://mp.weixin.qq.com/s/koxWEnlBDAfgh18hDl8RhQ)

2020年12月,我们还发现SystemdMiner挖矿木马家族利用Postgres远程代码执行漏洞CVE-2019-9193进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/kkCm0eg1xshxgowHpabRFA)

2020年10月,WatchBogMiner挖矿木马变种利用Apache Flink任意Jar包上传导致远程代码执行漏洞入侵云主机。(参考链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg)

2020年10月,8220挖矿团伙利用Nexus Repository Manager 3远程代码执行漏洞CVE-2019-7238、Confluence远程代码执行漏洞CVE-2019-3396攻击传播。(参考链接:https://mp.weixin.qq.com/s/w8dcdv-V7w8MUhADEvJeXA)

3、新挖矿家族层出不穷,新漏洞武器被迅速采用 自2020年11月以来,仅腾讯安全威胁情报中心新发现的感染量超过5000的挖矿木马家族就已超过5个,对应家族的命名、主要入侵方式、估计感染量如下: SuperManMiner:https://mp.weixin.qq.com/s/jl_mSggGf_5NcF_pr55gLw
TOPMiner:https://mp.weixin.qq.com/s/9U1V0dkL0AUIPYZWmNSjpA
RunMiner:https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ
4SHMiner:https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWw
z0Miner:https://mp.weixin.qq.com/s/cyPZpB4zkSQccViM0292Zg
MrbMiner:https://mp.weixin.qq.com/s/oq3z6rUcPfmMi0-KHQ3wwQ

其中,腾讯安全团队于2020.11.02日发现挖矿木马团伙z0Miner利用Weblogic未授权命令执行漏洞(CVE-2020-14882/14883)进行攻击,本次攻击是在Weblogic官方发布安全公告(2020.10.21)之后的15天之内发起,挖矿木马团伙对于新漏洞武器的采用速度之快,由此可见一斑。 4、僵尸 *** 加入挖矿阵营

2020年11月,腾讯安全威胁情报中心检测到Team *** 僵尸 *** 通过批量扫描公网上开放2375端口的云服务器,并尝试利用Docker Remote API未授权访问漏洞对云服务器进行攻击,随后植入挖矿木马。(参考链接:https://mp.weixin.qq.com/s/td6KznnHqwALFwqXdMvUDg)

2020年12月,腾讯安全威胁情报中心发现Prometei僵尸 *** 变种开始针对Linux系统进行攻击,通过SSH弱口令爆破登陆服务器,之后安装僵尸木马uplugplay控制云主机并根据C2指令启动挖矿程序。Prometei僵尸 *** 于2020年7月被发现,初期主要以 *** B、WMI弱口令爆破和 *** B漏洞(如永恒之蓝漏洞)对Windows系统进行攻击传播。(参考链接:https://mp.weixin.qq.com/s/mAKsscAFLHQU_WrbsVbQng)

四、总结

“挖矿木马”开始大规模流行于2017年初,黑客通过 *** 入侵控制大量计算机并植入矿机程序后,利用计算机的CPU或GPU算力完成大量运算,从而获得数字加密货币。2017年开始爆发之后,挖矿木马逐渐成为 *** 世界主要的威胁之一。

服务器一旦被挖矿木马团伙攻占,正常业务服务的性能会受到严重影响,挖矿木马感染,也意味着服务器权限被黑客夺取,企业机密信息可能泄露,攻击者也同时具备彻底破坏数据的可能性。

面对越来越严峻的安全挑战,企业应该加大对主机安全的重视程度和建设力度。挖矿木马作为目前主机面临的最普遍威胁之一,是检验企业安全防御机制、环境和技术能力水平的试金石。如何有效应对此类安全威胁,并在此过程中促进企业 *** 安全能力提升,应当成为企业安全管理人员与 *** 安全厂商的共同目标。

五、安全防护建议

针对联网主机防护挖矿团伙入侵的一般建议

1.对于Linux服务器SSH、Windows SQL Server等主机访问入口设置高强度的登录密码;
2.对于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等应用增加授权验证,对访问对象进行控制。
3.如果服务器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件,应密切关注相应组件官方网站和各大安全厂商发布的安全公告,根据提示及时修复相关漏洞,将相关组件升级到最新版本。

失陷系统的排查及清除

1、检查有无占用CPU资源接近甚至超过100%的进程,如有找到进程对应文件,确认是否属于挖矿木马,Kill 挖矿进程并删除文件;kill 掉包含下载恶意shell脚本代码执行的进程;
2、检查/var/spool/cron/root、/var/spool/cron/crontabs/root等文件中有无恶意脚本下载命令,有无挖矿木马启动命令,并将其删除;

3、如有发现挖矿相关进程、恶意程序,及时对服务器存在的系统漏洞、弱口令、Web应用漏洞进行排查和修复。

六、腾讯安全解决方案

针对近期挖矿木马家族异常活跃的现状,腾讯安全团队及时响应,腾讯安全全系列产品升级相应的检测、防御规则,确保部署腾讯安全产品的用户不受影响:

应用

场景

安全产品 解决方案

腾讯T-Sec

威胁情报云查服务

(SaaS)

1)相关流行挖矿木马黑产团伙相关IOCs已入库。

各类安全产品可通过“威胁情报云查服务”提供的接口提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics

腾讯T-Sec

高级威胁追溯系统

1)相关流行挖矿木马黑产团伙相关信息和情报已支持检索。

网管可通过威胁追溯系统,分析日志,进行线索研判、追溯 *** 入侵源头。T-Sec高级威胁追溯系统的更多信息,可参考:https://cloud.tencent.com/product/atts

云原生

安全

防护

云防火墙

(Cloud Firewall,CFW)

基于 *** 流量进行威胁检测与主动拦截,已支持:

1)相关流行挖矿木马关联的IOCs已支持识别检测;

2)支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。

有关云防火墙的更多信息,可参考:
 https://cloud.tencent.com/product/cfw

腾讯T-Sec  主机安全

(Cloud Workload Protection,CWP)

1)已支持查杀相关流行挖矿木马程序;

2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测;

腾讯主机安全(云镜)提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等。关于T-Sec主机安全的更多信息,可参考:https://cloud.tencent.com/product/cwp

腾讯T-Sec 安全运营中心 基于客户云端安全数据和腾讯安全大数据的云安全运营平台。已接入腾讯主机安全(云镜)、腾讯御知等产品数据导入,为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。

关于腾讯T-Sec安全运营中心的更多信息,可参考:https://s.tencent.com/product/soc/index.html

非云企业安全防护 腾讯T-Sec

高级威胁检测系统

(腾讯御界)

1)已支持通过协议检测相关流行挖矿木马与服务器的 *** 通信;

2)已支持相关流行挖矿木马利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测。

关于T-Sec高级威胁检测系统的更多信息,可参考:

https://cloud.tencent.com/product/nta

扫描二维码推送至手机访问。

版权声明:本文由黑客技术发布,如需转载请注明出处。

本文链接:https://w-123.com/32647.html

“木马围城:比特币爆涨 *** 挖矿木马一拥而上围猎肉鸡资源” 的相关文章

黑客演示入侵电影制片人 Mac 计算机 证明 macOS 无法主动抵御网络威胁

近日,两位安全研究人员成功入侵了亿万富翁兼电影制片人 Jeffrey Katzenberg 的 Mac 计算机,意味着 macOS 设备并不能自动抵御网络威胁。虽然没有提到特定的 macOS 设备型号,深谙社会工程的 SocialProof Security 首席执行官 Rachel Tobac 还...

公民实验室:英政府内部网络曾遭“飞马”间谍软件攻击

加拿大多伦多大学下属“公民实验室”(Citizen Lab)的研究人员当地时间周一发文称,该实验室的核心任务是对民间社会的数字威胁进行研究。在调查雇佣军间谍软件的过程中,他们偶尔会观察到一些案例,怀疑政府正在使用间谍软件对其他政府进行国际间谍活动。这些案件绝大多数都不属于他们的范围和任务。然而,在某...

技术专家与黑客展开竞赛 以确保电动汽车网络电网的安全

电动汽车(EV)革命来了。在过去的十年里,插电式混合动力电动车已经从16000辆增长到超过200万辆,汽车高管们预计到2030年,超过50%的美国汽车将是全电动的。不难看出,专家们为何做出如此乐观的预测。除了不断增长的电动汽车车队,今年早些时候签署的美国国会两党基础设施协议将包括75亿美元,以帮助规...

TrickBot 团伙转移阵地,Emotet 成新选择

Hackernews 编译,转载请注明出处: TrickBot 是一个臭名昭著的“ Windows 犯罪软件即服务”(Windows crimeware-as-a-service,简称 caa)解决方案,被各种黑客用来提供下一阶段的有效载荷,比如勒索软件。TrickBot似乎正在做...

微软示警 PHaaS 模式:发现为网络犯罪团伙提供的大规模钓鱼服务

在今天发布的安全公告中,微软安全团队发现了一个大规模的活动:利用类似主机的基础设施向网络犯罪团伙提供钓鱼服务。该服务被称为 BulletProofLink、BulletProftLink 或 Anthrax,目前在地下网络犯罪论坛上进行宣传。微软称这项服务为“钓鱼即服务”(Phishing-as-a...

法国隐私监管机构向 Clearview AI 下达删除数据的命令

有争议的面部识别公司Clearview AI通过从互联网上搜罗自拍照片,积累了一个约100亿张图片的数据库,以便向执法部门出售身份匹配服务,今天,该公司再次被勒令删除人们的数据。法国的隐私监督机构CNIL今天说,这是因为Clearview违反了欧洲的《通用数据保护条例》(GDPR)。 在一份关于违...

评论列表

辙弃折奉
2年前 (2022-07-27)

gic、Apache Struts、Apache Flink、ThinkPHP等经常曝出安全漏洞的服务器组件,应密切关注相应组件官方网站和各大安全厂商发布的安全公告,根据提示及时修复相关漏洞,将相关组件升级到最新版本。失陷系统的排查及清除1、检查有无占用CPU资源接近甚至超过1

笙沉青朷
2年前 (2022-07-27)

链接:https://mp.weixin.qq.com/s/zviLvGK3wTnl0iwtszHQlg)2020年10月,8220挖矿团伙利用Nexus Reposi

孤鱼轻禾
2年前 (2022-07-27)

1V0dkL0AUIPYZWmNSjpARunMiner:https://mp.weixin.qq.com/s/7SUXrdZ4WdTVenkVcMpZJQ4SHMiner:https://mp.weixin.qq.com/s/iwtcUsiAOpOtDm79lsOXWwz0Miner:ht

闹旅戏侃
2年前 (2022-07-27)

安全威胁,并在此过程中促进企业网络安全能力提升,应当成为企业安全管理人员与网络安全厂商的共同目标。五、安全防护建议针对联网主机防护挖矿团伙入侵的一般建议1.对于Linux服务器SSH、Win

离鸢拔弦
2年前 (2022-07-27)

提升威胁识别能力。可参考:https://cloud.tencent.com/product/tics腾讯T-Sec高级威胁追溯系统1)相关流行挖矿木马黑产团伙相关信

发表评论

访客

◎欢迎参与讨论,请在这里发表您的看法和观点。