CNCERT和安恒信息联合发布《2021年恶意挖矿威胁趋势分析报告》

首页 / 业界 / 报告 /  正文
来源:安全419
发布于:2022-05-09
随着加密货币的飞速发展以及货币的价值提高,收益透明、见效性快的恶意挖矿业务成了网络犯罪分子的首选,导致恶意挖矿活动长期在全球各地持续活跃。

恶意挖矿是一种网络中常见的威胁类别,这种威胁具有良好的隐蔽性和非破坏性的特点,目的是感染并长久驻留在用户设备上,通过侵占设备计算资源挖掘加密货币,当攻击者侵占的设备越多,其获利就越多,因此有不少的黑客团体通过非法入侵从而实现牟利操作。

根据 CNCERT 和安恒威胁情报中心的监测数据,联合发布《2021 年恶意挖矿威胁趋势分析报告》,该报告首先将介绍挖矿活动的相关介绍,对 2021 年第四季度我国主机挖矿态势进行简要分析,接着从流行恶意挖矿威胁、挖矿木马传播方式以及恶意挖矿趋势等方面向社会公众发布 2021 年恶意挖矿威胁趋势分析情况。

CNCERT 通过对流行的挖矿木马及挖矿行为开展抽样监测,形成 2021 年第四季度我国主机挖矿态势分析。数据显示,在监测发现的 1072 万个活跃挖矿主机 IP 中,78.26%为境内 IP。



其中归属于广东、江苏、浙江等省份的挖矿主机 IP 较多,分别占 12.57%、11.72%、7.6%。
 


 

在矿池方面,2021 年第四季度,CNCERT 监测发现约 585 万个矿池服务 IP。其中26.10%为境内 IP,71%为境外 IP。

报告还分析了流行挖矿威胁。通常,攻击者是出于经济动机才进行挖矿恶意活动,因为挖矿是一项非常有利可图的业务,与勒索软件网络犯罪业务相比,恶意挖矿业务的攻击成本更低,且易于实施,收益直接可见,单靠个人就能完成整个攻击流程,这也是恶意挖矿业务受到广大攻击者青睐的原因之一。在具体的黑产挖矿组织、团伙方面,主要集中在TeamTNT、H2Miner、8220(疑似国内)、匿影这几家,目前流行的挖矿木马家族,则主要集中在Crackonosh、Lemon Duck、Sysrv-hello、GuardMiner。

针对挖矿木马常见感染传播方式,报告也进行了总结,主要为以下几类:

1. 钓鱼邮件传播

攻击者伪造邮件,通过邮件附件传播恶意软件,或者通过邮件中的恶意链接诱导用户点击下载恶意软件,当用户打开恶意软件时,将导致系统被植入病毒,并执行脚本自动化横向渗透网络,部署挖矿程序进行作业获利。

2. 通过非法网页进行传播

攻击者通常会在色情网站和在线赌博等非法站点上内嵌网页挖矿脚本,由于这类站点打开后往往需要停留一段时间才出现界面,不会轻易引起用户的怀疑,这也是黑客选择这些非法网站部署网页挖矿的原因之一,用户一旦进入此类网站,JS 脚本就会自动执行,并占用大量的 CPU 资源以挖取门罗币,致使电脑出现卡顿。

3. 软件捆绑下载传播

在一般情况下,激活工具、破解软件、游戏外挂以及盗版游戏等来历不明的下载站点是感染挖矿木马的温床。攻击者通过捆绑下载方式植入恶意挖矿程序,当用户下载执行激活工具、破解软件、游戏外挂以及盗版游戏时,将执行恶意程序,在后台进行挖矿恶意活动。这些站点通常有着很高的下载需求,大量用户通过搜索引擎进入这些带毒网站,并且可能将其分享到各大技术论坛,形成二次传播的情况,造成广泛的影响。

4. 通过僵尸网络进行分发

攻击者会选择组建一个规模庞大的挖矿僵尸网络进行恶意活动,并通过各种方式入侵目标设备,例如网页挂马、MySQL 数据库弱口令爆破等方法传播僵尸程序,这些僵尸程序一般内置蠕虫模块,使受害机器成为新的攻击源,从而迅速传播爆发,并通过多个主机组成僵尸网络。攻击者可以在控制端中通过僵尸网络下发指令到受害主机,执行分发挖矿木马等恶意操作。目前,这种构建僵尸网络下发挖矿木马的方法已成为挖矿黑产团伙的主要手段。

5. 通过漏洞传播

通常,企业可能会提供对外的网站服务,但其服务器操作系统却存在仍未修补的漏洞,给了攻击者可乘之机。漏洞利用一直是挖矿木马用作传播感染的重要手段,其通过配备各种可利用的通用漏洞对目标网络资产进行扫描,如果设备未及时修补漏洞,将很有可能导致入侵事件的发生。

6. 利用软件供应链感染传播

供应链感染可在短时间内获得大量的计算机资源,而备受黑产青睐,例如近日发生的“恶意 NPM 软件包携带挖矿恶意软件”安全事件就证明了通过开源软件包存储库进行软件供应链攻击的有效性,事实上在这之前就发生过多起类似的安全事件,例如2021 年 6 月初研究人员就曾在 PyPI 软件包仓库中发现恶意挖矿程序。

7. 通过浏览器插件传播

攻击者通过将恶意插件伪装成正常的 Chrome 浏览器插件,上传到插件商店供用户使用,而该插件实则上被内置了恶意代码,当用户下载安装后,将执行挖矿等恶意操作。例如之前就曾有一款超过 10 万人下载的浏览器插件被发现存在恶意代码,插件名为 Archive Poster,原本的功能是协助用户在社交平台汤不热(Tumblr)上进行多账号协作,该恶意插件会劫持电脑资源去挖掘虚拟货币Monero,背地里却在未经用户同意的情况下,利用 Coinhive 软件开始挖矿作业。

谷歌浏览器 Chrome 具备丰富的插件功能,有来自世界各地开发者提供的丰富的扩展程序或应用,极大地方便了用户的使用,但由于浏览器插件的安全性一直没有引起重视,导致滥用浏览器插件进行恶意活动的安全事件仍在不断发生。

8. 容器镜像污染

随着云原生容器的应用越来越流行,黑产团伙也将目光瞄向了这个领域。在云容器当中,最为著名的是 Docker Hub 公共容器镜像仓库,黑产团伙并没有放过这个机会,他们利用 Docker Hub 上传恶意挖矿镜像,污染容器镜像,当用户下载执行镜像时,将导致其 docker 主机被感染,攻击者还会通过容器服务器的漏洞传播蠕虫病毒,以尽可能地感染更多的 docker 主机,并执行挖矿程序进行牟利。

由于攻击者可以制造多个恶意镜像扩大污染源,导致实际上的感染和影响范围比预想的还要广泛,例如专门针对云容器的 TNTteam 黑产挖矿团伙就经常使用这种方法作为其感染手段。这种容器镜像污染的攻击方式所造成的下载传播量通常能达数十万,甚至数百万以上,给云原生环境造成严重的污染。

9. 利用移动存储介质传播

在 2015 年就出现了通过 USB 设备和其他可移动媒体传播挖矿程序的攻击案例,例如著名的Lemon Duck 挖矿团伙就曾利用 CVE-2017-8464 快捷方式漏洞作为感染传播的途径。通过将恶意的 Windows*.lnk 快捷方式文件和恶意 DLL 文件一起植入文件夹中,当使用解析.lnk 快捷方式文件打开驱动器时,快捷方式将执行恶意的 DLL 组件,从而触发 CVE-2017-8464LNK 远程执行代码漏洞,导致可移动 USB 驱动器和网络驱动器被感染。

在用户不知道移动介质已被感染的情况下,很可能会将受感染的设备携带到其他不联网的环境中,导致原本安全的环境被病毒渗透,从而扩大内部感染范围,并影响工作环境的正常运作。

针对恶意挖矿在未来的趋势,报告也有针对性地总结出以下几点:

1. 虚拟货币价格激增,通过各种手段提高挖掘效率。

攻击者会尝试使用各种技术以提高挖矿效率,例如研究人员发现的一个Golang 蠕虫挖矿木马就使用了一种新策略提升挖矿效率。

这个挖矿木马通过特定型号的寄存器(MSR)驱动程序来禁用硬件预取器。硬件预取器是一种新的技术,处理器会根据内核过去的访问行为来预取数据,处理器(CPU)通过使用硬件预取器,将指令从主内存存储到二级缓存中。然而,在多核处理器上,使用硬件预取会造成功能受损,并导致系统性能整体下降。XMRig 需要依赖机器的处理能力来挖掘 Monero 币,禁用 MSR 能够有效阻止系
统性能下降,从而提升挖矿效率。

文中描述的这种挖矿方式虽然不会对设备造成损害,但不排除攻击者未来可能会为了提升挖矿效率而做出一些加速设备损耗的操作,例如解除硬件性能限制,超频使用等。

2. 黑吃黑,黑产组织争夺挖矿资源

在恶意挖矿活动中,可能会出现两个挖矿家族相互争夺受害计算机资源的情况,这种较量通常在 Linux 和云环境中进行,挖矿木马会利用多种手法清理或阻止、干扰受害主机上其他家族的挖矿行为,从系统中删除竞争对手来独享资源,

常见手法有以下几种:

1)配置 IP 筛选器,阻止竞争对手向指定矿池 IP 地址发起 TCP 连接;
2)删除竞争对手的挖矿进程,并将该进程和其使用的 IP 添加到黑名单,禁止其进程运行或发起网络连接;
3)修复访问权限漏洞,防止系统感染其他恶意软件;
4)删除竞争对手添加的驻留手段,例如注册表、启动服务、计划任务等。

其中,比较广为人知的是Pacha 和 Rocke 黑产组织的云上资源争夺事件,这两个组织所使用的技术、战术、方法都极其相似,这种同行之间相互竞争的现象有助于提高操作员的技能水平。Pacha 组织还特别关注识别和删除 Rocke 的挖矿活动,以试图清除对方,这两个组织都是通过进行大规模扫描来寻找开放或未打补丁的 Linux 服务器和云端服务,然后使用多功能恶意软件感染目标设备。Pacha
还具有一个 IP 黑名单列表,该名单中的IP 是 Rocke 组织过去在挖矿活动中所使用的网域。当 Pacha 感染受害系统后,将自动移除 Rocke 挖矿程序,而且受感染系统无法再连接黑名单中的网域。虽然Rocke 组织也使用从受感染的服务器上清除竞争对手的手法,但与 Pacha 组织相比,规模相对较小。

这种黑吃黑争夺设备资源的情况在物联网上也经常发生,因为设备资源数量是有限的,也经常会发生多个挖矿家族感染同一台设备的情况,这种时候只有技术高明的一方才能存活下来,因为你不清除对方,就会被对方清除,这种同行竞争的情况也逐渐成为了一种趋势。

3. 利用工业控制系统进行挖矿

随着时间流逝,挖矿活动所产出虚拟货币越来越少,对算力的需求越来越大,一些攻击者已经不满足选择诸如 PC 或移动设备作为其挖矿工具,而是将目光瞄向了具有高性能、高处理能力的基础设施。工业控制系统的内部网络还可能存在过时或未打补丁的软件,因为部署新的操作系统和更新可能会无意中破坏关键的传统平台,所以系统可能仍停留在旧版本当中。

在 2017 年起,研究人员就发现针对工业控制系统的挖矿攻击有所上升,这类攻击会对工业企业的计算机造成大量负载,由此对企业 ICS 组件的运行产生负面影响并威胁其稳定性,从而构成更大的威胁。而在 2018 年的另一个工业系统进行恶意挖矿的事件中,犯罪分子还在欧洲自来水公司控制系统中进行加密劫持挖矿,该活动降低了自来水公司管理公共设施的能力。攻击者还使用了检测和禁用标记自身的安全防御工具操作,这相当于被其他类型的网络威胁开启了大门,导致原本就感染挖矿程序的系统更加脆弱。

对于从事恶意挖矿活动的攻击者而言,工厂是一个诱人的目标,由于许多基线操作不会使用大量处理能力,但会消耗大量电力,这使得挖掘恶意软件能够相对容易地掩盖其 CPU 和功耗,即使查到到系统异常,但排查控制系统上的网络威胁也需要相当多的时间成本。另外,挖矿活动还增加系统处理器和网络带宽的使用,这可能会导致工业控制应用程序因系统过载而无响应、暂停甚至崩溃,导致工厂操作员降低或失去管理工厂的能力,严重时甚至会破坏和影响业务及基础设施的关键流程。

在报告的最后,也给出了一些针对挖矿病毒的防范建议。

报告指出,无论是在本地系统还是通过浏览器被恶意挖矿,一般事后都较难通过手动检测找到入侵路径,而且也很难快速排查出高 CPU 使用率的原因。因为恶意挖矿软件可能会隐藏自身或伪装成合法的进程,以避免被用户删除。当计算机以最大性能模式运行时,系统速度将会非常慢,因此更难排除故障,所以预防恶意挖矿软件的最好方法,是在成为受害者之前采取安全措施。

最常见的方法是在常用的浏览器中阻止 JavaScript 脚本运行。虽然该功能可以有效阻止路过式网页挖矿攻击,但同样也会阻止用户使用浏览器插件功能,另外一种方法是安装专门用于防范浏览器挖矿的拓展程序,例如“No Coin”和“MinerBlock”,两者都有适用于 Chrome、Firefox 和 Opera 的扩展程序。

另一种防范本地系统感染恶意挖矿的方法与常规恶意软件基本相同:

1. 提高个人安全意识,从正常的应用市场和渠道下载安装应用程序,不轻易安装来历不明的第三方软件,或随意点击和访问一些具有诱导性质的不良网页;
2. 安装终端安全防护并定时进行全盘查杀;
3. 及时修复系统漏洞,更新系统版本、软件版本和应用版本。

如需了解更详细信息,可点击链接下载报告原文查看。(本文图片均来自CECERT与安恒信息联合发布的报告内)