作者:阿里雲安全
來源公眾號:阿里雲安全
在剛剛過去的 2018 年,惡意挖礦事件層出不窮。儘管加密貨幣的價格經歷了狂歡后的暴跌之痛,但挖礦仍是網絡黑產團伙在入侵服務器之後,最直接的變現手段。隨着挖礦團伙產業化,我們看到越來越多的0-Day/N-Day 漏洞在公布后的極短時間內就被用於入侵挖礦;同時,一些”根深蒂固”存在的問題,如弱密碼和應用權限配置不當也成為了惡意挖礦活動的溫床。
在可預見的未來,黑產團伙利用漏洞發起攻擊進行挖礦的趨勢仍將持續,已被入侵挖礦的機器也隨時可能被挖礦攻擊者當成下一輪攻擊的
“跳板”。本報告以阿里雲 2018 年的攻防數據為基礎,對惡意挖礦態勢進行了分析,並為個人和企業提出了合理的安全防護建議。
核心概要
- 熱點 0-Day/N-Day 漏洞成為挖礦團伙的“武器庫”,0-Day 漏洞留給用戶進行修復的窗口期變短;
- 非 Web 網絡應用暴露在公網后成為挖礦團伙利用的重災區;
- 挖礦團伙廣泛利用暴力破解進行傳播,弱密碼仍然是互聯網面臨的主要威脅;
- 挖礦後門普遍通過蠕蟲形式傳播,並在受害主機上通過持久化駐留獲取最大收益;
- 挖礦團伙會通過偽裝進程、加殼、代碼混淆、私搭礦池(代理)等手段規避安全分析和溯源。
攻擊態勢分析
【熱點 0-Day/N-Day 漏洞利⽤成為挖礦團伙的”武器庫”,0-Day 漏洞留給⽤戶進⾏修復的窗⼝期變短】
2018 年,多個應用廣泛的 web 應用爆出高危漏洞,對互聯網安全造成嚴重威脅。事後安全社區對漏洞信息的分析和漏洞細節的分享,讓利用代碼能夠方便的從互聯網上獲取。挖礦團伙自然不會放過這些唾手可
得的“武器庫”。此外一些持續未得到普遍修復的 N-Day 漏洞往往也會被挖礦團伙利用,例如近年熱門的反序列化漏洞和 Struts 系列的遠程執行漏洞等。下圖展示的是部分熱點 0-Day/N-Day 漏洞被挖礦團伙大量利用的時間線。
蠕蟲病毒 bulehero 再次利用“ 永恆之藍”在企業內網攻擊傳播
https://www.freebuf.com/column/180544.html
JbossMiner 挖礦蠕蟲分析
https://xz.aliyun.com/t/2189
Kworkerd 惡意挖礦分析 https://www.anquanke.com/post/id/159497
Threat Hunting, the Investigation of Fileless Malware Attacks
https://www.pandasecurity.com/mediacenter/pandalabs/threat-hunting-fileless-attacks/
Cryptomining: Harmless Nuisance or Disruptive Threat?
https://www.crowdstrike.com/blog/cryptomining-harmless-nuisance-disruptive-threat/
疑似國內來源的“ 8220”追蹤溯源分析
https://ti.360.net/blog/articles/8220-mining-gang-in-china/
转载请注明:IAMCOOL » 2018 年雲上挖礦分析報告