2021年以來(lái)��,我國(guó)加大了整治虛擬貨幣的力度��,陸續(xù)出臺(tái)了相關(guān)政策封殺虛擬貨幣交易平臺(tái)���,后續(xù)又發(fā)布了《關(guān)于整治虛擬貨幣“挖礦”活動(dòng)》的通知,重點(diǎn)強(qiáng)調(diào)全面梳理排查虛擬貨幣“挖礦”項(xiàng)目���。在國(guó)家對(duì)虛擬貨幣和“挖礦”等項(xiàng)目重拳出擊的背景下���,挖礦木馬家族仍在發(fā)展壯大,老的挖礦家族依舊活躍���,新的挖礦家族不斷涌現(xiàn)����。
深信服威脅情報(bào)團(tuán)隊(duì)基于云端數(shù)據(jù)持續(xù)對(duì)活躍挖礦木馬家族進(jìn)行追蹤����,檢測(cè)到了多起挖礦木馬爆發(fā)事件,并從中分析總結(jié)出了一些挖礦木挖馬的發(fā)展趨勢(shì)�����,本文將根據(jù)我們追蹤監(jiān)測(cè)到的數(shù)據(jù)����,對(duì)挖礦木馬的發(fā)展趨勢(shì)和檢測(cè)思路進(jìn)行分析總結(jié)。
挖礦木馬趨勢(shì)
2021年挖礦木馬相較于往年呈現(xiàn)以下新趨勢(shì) : 
Go語(yǔ)言成為趨勢(shì)
隨著近幾年Go語(yǔ)言的流行���,越來(lái)越多挖礦木馬團(tuán)伙開始使用Go語(yǔ)言開發(fā)惡意軟件�。今年我們共監(jiān)控到12個(gè)新出現(xiàn)的成規(guī)模挖礦木馬家族�����,其中就有5個(gè)是使用Go語(yǔ)言開發(fā)的�����。
Go語(yǔ)言受挖礦木馬團(tuán)伙青睞的主要原因是挖礦木馬為了收益最大化�����,往往會(huì)跨平臺(tái)傳播�����,而Go語(yǔ)言的特性便是支持跨平臺(tái)編譯。這樣就允許惡意軟件開發(fā)人員只需維護(hù)一套代碼�����,就能針對(duì)不同操作系統(tǒng)編譯出對(duì)應(yīng)的惡意軟件��,可以減少開發(fā)周期和維護(hù)成本�����;并且Go語(yǔ)言又如Python一樣����,擁有豐富的第三方庫(kù),降低了開發(fā)難度�����,提升了開發(fā)效率���。因此使用Go語(yǔ)言開發(fā)惡意挖礦木馬已成為一種趨勢(shì)���,近幾年使用Go語(yǔ)言開發(fā)的挖礦家族如下:
挖礦通信方式的演變
直連礦池->礦池代理
挖礦木馬常見的挖礦方式為受害主機(jī)直連公共礦池貢獻(xiàn)算力,礦池平臺(tái)根據(jù)貢獻(xiàn)的算力���,再將收益支付給挖礦木馬團(tuán)伙�����。然而近幾年�����,這種方式也正在發(fā)生改變��,越來(lái)越多的挖礦家族開始使用礦池代理的方式來(lái)進(jìn)行挖礦���。如Sysrv-hello、HolesWarm��、MimuMiner等家族都已使用礦池代理的方式進(jìn)行挖礦�。
礦池代理本質(zhì)是在礦工與礦池之間增添了一個(gè)中轉(zhuǎn)環(huán)節(jié)。礦池代理從公共礦池獲取任務(wù)���,分配給礦工進(jìn)行計(jì)算��,礦工再將計(jì)算完成的結(jié)果交由礦池代理轉(zhuǎn)發(fā)到公共礦池��。
直連礦池和礦池代理方式對(duì)比流程圖:
明文通信->加密通信
直連礦池和礦池代理的方式進(jìn)行挖礦����,其網(wǎng)絡(luò)流量中的特征都十分明顯,很容易被安全設(shè)備檢測(cè)出來(lái)��。為了對(duì)抗安全設(shè)備的檢測(cè)��,越來(lái)越多的挖礦木馬團(tuán)伙選擇對(duì)挖礦流量進(jìn)行加密��。如HolesWarm家族��,便是使用加密流量來(lái)進(jìn)行挖礦的����。下圖為明文通信和加密通信的挖礦流量對(duì)比:
愈漸強(qiáng)大的傳播能力
傳播方式蠕蟲化
挖礦的傳播方式分為兩種:一種是病毒作者進(jìn)行全網(wǎng)漏洞掃描,漏洞利用成功后投放惡意挖礦程序進(jìn)行挖礦����。另一種是惡意挖礦程序自身集成漏洞掃描和利用模塊,投放出去的惡意挖礦程序以蠕蟲方式進(jìn)行傳播��。目前大多數(shù)挖礦木馬團(tuán)伙都是以蠕蟲方式進(jìn)行傳播的�����,不僅傳播速度遠(yuǎn)遠(yuǎn)強(qiáng)于單點(diǎn)漏洞掃描,并且還能在內(nèi)網(wǎng)中廣泛傳播����。
強(qiáng)大的漏洞集成能力
挖礦木馬團(tuán)伙在利益的驅(qū)使下���,往往會(huì)不斷集成更有效的1/N Day漏洞來(lái)感染更多主機(jī)資源,從而獲取更多的收益����。如:HolesWarm家族�����,在其11月的版本更新中��,新集成了19種漏洞利用手法�,橫向攻擊模塊更是達(dá)到了31個(gè),幾乎涵蓋企業(yè)信息系統(tǒng)的方方面面���。一旦企業(yè)有可被利用的漏洞暴露時(shí)�,防御的木桶短板效應(yīng)就會(huì)顯現(xiàn)�����,企業(yè)會(huì)被快速攻陷。部分活躍挖礦家族漏洞集成數(shù)量如下:
快速集成新漏洞
每當(dāng)爆發(fā)影響范圍廣泛的漏洞后����,全網(wǎng)受影響的設(shè)備很難在短時(shí)間內(nèi)得到有效的修復(fù)。一些“嗅覺(jué)”敏銳的挖礦團(tuán)伙會(huì)立刻集成漏洞發(fā)起攻擊�����。例如近期Log4j2漏洞爆發(fā)事件中��,H2Miner���、Muhstik等挖礦家族在距Log4j2漏洞披露不到36小時(shí)���,便已集成該漏洞并發(fā)起攻擊。這對(duì)企業(yè)的漏洞快速修復(fù)能力構(gòu)成了嚴(yán)峻考驗(yàn)����,一旦企業(yè)沒(méi)有及時(shí)進(jìn)行修復(fù),挖礦木馬團(tuán)伙便能輕松獲得主機(jī)的控制權(quán)��,Log4j2漏洞披露及各惡意家族武器化的時(shí)間線如下:
對(duì)抗技術(shù)愈加成熟
駐留方式的對(duì)抗
挖礦木馬入侵成功后��,為了能長(zhǎng)久穩(wěn)定的挖礦,必然會(huì)使用各種對(duì)抗手法來(lái)規(guī)避安全檢測(cè)和運(yùn)維人員的清除��。近些年逐漸衍生的駐留對(duì)抗手法如下:
挖礦進(jìn)程隱藏
由于挖礦進(jìn)程行為特征明顯���,多數(shù)挖礦木馬家族常會(huì)通過(guò)隱藏挖礦進(jìn)程來(lái)逃避檢測(cè)���。以HolesWarm家族為例,針對(duì)Windows通過(guò)Hook NativeAPI來(lái)實(shí)現(xiàn)簡(jiǎn)單的進(jìn)程隱藏���;針對(duì)Linux則通過(guò)動(dòng)態(tài)鏈接庫(kù)預(yù)加載的方式來(lái)隱藏挖礦進(jìn)程。具體代碼如圖:
內(nèi)核態(tài)RootKit對(duì)抗
能力較強(qiáng)的挖礦木馬家族(如Mykings和Team***等)會(huì)集成Rootkit�����,從內(nèi)核層來(lái)進(jìn)行對(duì)抗�����。以Team***為例����,通過(guò)加載內(nèi)核模塊diamorphine.ko,來(lái)實(shí)現(xiàn)進(jìn)程�、模塊、文件目錄的隱藏以及用戶權(quán)限提升�����。diamorphine.ko Hook系統(tǒng)函數(shù)實(shí)現(xiàn)進(jìn)程隱藏如圖:
系統(tǒng)命令劫持
針對(duì)Linux平臺(tái),除了預(yù)加載動(dòng)態(tài)鏈接庫(kù)和植入RootKit外����,還可以通過(guò)替換系統(tǒng)命令的方式隱藏挖礦進(jìn)程。以Team***家族為例���,該家族替換了ps���、top、pstree系統(tǒng)命令��,當(dāng)使用這些命令進(jìn)行排查時(shí)��,挖礦進(jìn)程ext4和橫向傳播進(jìn)程scan就會(huì)被隱藏�����。具體代碼如圖:
Bash自啟和隱藏
針對(duì)Linux平臺(tái)�,除了常見的定時(shí)任務(wù)實(shí)現(xiàn)自啟動(dòng)外,還可以修改~/.profile和~/.bashrc文件來(lái)實(shí)現(xiàn)自啟動(dòng)�。~/.profile是在系統(tǒng)啟動(dòng)時(shí)執(zhí)行shell命令;~/.bashrc是用戶登陸時(shí)執(zhí)行shell命令。Team***家族通過(guò)修改~/.profile和~/.bashrc文件來(lái)實(shí)現(xiàn)自啟動(dòng)���,如圖:
除了實(shí)現(xiàn)自啟動(dòng)外����,更精明的挖礦家族還會(huì)通過(guò)修改~/.bashrc文件來(lái)逃避檢測(cè)�����,在~/.bashrc中添加結(jié)束挖礦進(jìn)程的命令��,這樣當(dāng)運(yùn)維人員登錄服務(wù)器進(jìn)行排查時(shí)����,挖礦進(jìn)程便會(huì)結(jié)束�,從而逃避檢測(cè)。
守護(hù)進(jìn)程保護(hù)
部分挖礦木馬為了防止挖礦進(jìn)程被輕易殺掉�,通常會(huì)使用守護(hù)進(jìn)程來(lái)監(jiān)控挖礦進(jìn)程的狀態(tài),當(dāng)挖礦進(jìn)程被殺掉后�,守護(hù)進(jìn)程便會(huì)創(chuàng)建新的挖礦進(jìn)程。以Sysrv-hello為例����,sys.exe為守護(hù)進(jìn)程,Kthreaddk.exe為挖礦進(jìn)程,如圖:
反分析/檢測(cè)的對(duì)抗
對(duì)抗較強(qiáng)的挖礦木馬團(tuán)伙還會(huì)對(duì)惡意軟件進(jìn)行加殼和代碼混淆處理���,來(lái)對(duì)抗安全產(chǎn)品檢測(cè)和防止安全人員分析���。如HolesWarm家族,其早期版本中使用的是普通壓縮殼�,后續(xù)版本迭代逐步替換為變型殼和VMP等的強(qiáng)殼來(lái)進(jìn)行對(duì)抗;Sysrv-hello���、HolesWarm家族���,在其后續(xù)版本中對(duì)代碼進(jìn)行了混淆處理來(lái)增加分析難度。下圖為Sysrv-hello前后版本代碼混淆對(duì)比圖:
攻擊目標(biāo)云化
隨著企業(yè)數(shù)字轉(zhuǎn)型���、業(yè)務(wù)云化����,云上安全風(fēng)險(xiǎn)也隨之而來(lái)����。近年來(lái),我們注意到越來(lái)越多的挖礦木馬家族盯上了云主機(jī)���,在其攻擊活動(dòng)中會(huì)添加專門針對(duì)云主機(jī)的相關(guān)模塊����,如移除安騎士、云鏡等云安全防護(hù)軟件以及竊取云主機(jī)登陸憑證(如Access key和Secret key)等����。其背后主要原因除了越來(lái)越多的業(yè)務(wù)上云,還有就是云主機(jī)相較于個(gè)人終端往往擁有更多的計(jì)算資源����。具體實(shí)例如今年AbcBot家族針對(duì)國(guó)內(nèi)云服務(wù)廠商發(fā)起攻擊;Team***和Muhstik家族今年陸續(xù)針對(duì)KUBERNETES集群發(fā)起攻擊�;新挖礦家族HolesWarm竊取云主機(jī)登陸憑證(Access key和Secret key)等。
在IBM的《2021 IBM Security X-Force Cloud Threat Landscape Report》報(bào)告中����,也指出目前惡意挖礦木馬已經(jīng)成為云主機(jī)惡意軟件中最突出的問(wèn)題���,報(bào)告中針對(duì)云環(huán)境的惡意軟件類型占比情況如圖:
檢測(cè)手段與防護(hù)建議
網(wǎng)絡(luò)安全是一個(gè)持續(xù)攻防對(duì)抗的過(guò)程����,挖礦木馬的對(duì)抗技術(shù)手段也在不斷在演變��,由簡(jiǎn)至繁,由弱變強(qiáng)����。相應(yīng)的針對(duì)挖礦木馬的檢測(cè)與防護(hù)手段也在不斷升級(jí)。
防護(hù)手段如下圖所示:
總結(jié) 不同時(shí)代黑灰產(chǎn)團(tuán)伙總有不同的盈利方式���,當(dāng)下較好的選擇無(wú)疑是挖礦���,其分險(xiǎn)小、技術(shù)門檻相對(duì)較低�����。因此在利益的驅(qū)使下�����,未來(lái)幾年挖礦木馬的熱度仍將持續(xù)下去��。不斷有新的挖礦木馬家族出現(xiàn)�,集成新的攻擊手法以及更加成熟的對(duì)抗手段。各安全廠商也應(yīng)持續(xù)追蹤惡意挖礦木馬���,不斷提升自身安全產(chǎn)品的能力���,積極響應(yīng)國(guó)家號(hào)召�����,幫助客戶防護(hù)和清除惡意挖礦木馬���。
經(jīng)營(yíng)性網(wǎng)站備案信息
可信網(wǎng)站信用評(píng)價(jià)
網(wǎng)絡(luò)警察提醒您
誠(chéng)信網(wǎng)站
中國(guó)互聯(lián)網(wǎng)舉報(bào)中心
網(wǎng)絡(luò)舉報(bào)APP下載
