一.背景
在用户不知道或者未经许可的情况下,占用系统资源和网络资源进行开采,影响用户的网络和资源,获取虚构的货币利益。
为应对恶意开采过程的攻击,发现和消除恶意开采过程,避免感染恶意开采过程,现将有关开采活动的现状分析和检查处置建议整理如下。
二、为什么要感染恶意开采流程
通常,如果企业网络主机感染了恶意开采程序,或者站点、服务器和使用的云服务嵌入了恶意开采程序,“为什么会感染恶意开采程序以及如何感染目前,感染恶意开采方案的主要方法包括:
2.1 .利用类似其他病毒木马程序的传播方式。
例如,如果用户被引导的内容迷惑而双击打开恶意文件或程序,例如网络钓鱼诈骗、色情内容引导、带有受欢迎内容的图像或文档、捆绑普通APP等,就会出现恶意开采程序
2.2 .暴露在公众网上的主机、服务器、网站和Web服务、云服务等被入侵。
通常,暴露于公共网络的主机和服务没有正确更新系统和组件修补程序,因此存在可用的远程使用漏洞、错误的设置和弱密码设置导致登录凭据被暴力解密、认证和弱密码设置
2.3 .内部人员擅自安装和执行采掘程序
企业内部人员带来的安全风险往往不容忽视,要防止企业内部人员私自利用内部网络和机器获取开采利润,避免“湖南某中学校长利用校园网进行开采”等事件发生。
三、恶意开采有何影响
3.1.CPU极高,功耗高,引起网络拥堵
开采过程消耗大量的CPU或GPU资源,消耗大量的系统资源和网络资源,因此引起内部网络的堵塞。
3.2 .影响业务运营。
如果系统运行纸箱、系统或在线服务运行状态异常或严重,则可能会对在线业务或在线服务的拒绝服务以及使用相关服务的用户带来安全风险。
四、恶意开采攻击是如何实现的
那么,恶意开采攻击具体如何实现呢? 这里总结了在常见的恶意开采攻击中作为重要攻击链的一部分主要使用的攻击战术和技术。
4.1 .初始攻击入口
针对企业或组织服务器、主机和相关Web服务的恶意开采攻击常用的初始攻击门户分为三类:
1 .远程代码执行漏洞
实施恶意开采攻击的黑客集团通常利用1-day或N-day漏洞利用程序或成熟的商业漏洞利用包,远程攻击利用公众网上的漏洞主机和服务,通过执行相关命令来填补恶意开采程序
下表组合了近一年来公开的恶意开采攻击中使用的漏洞信息。
与漏洞名称相关的漏洞编号相关的恶意开采攻击
永远的蓝色CVE-2017-0144 MsraMiner,WannaMiner,CoinMiner
Drupal Drupalgeddon 2远程代码执行CVE-2018-7600 8220开采组[1]
VBScript引擎远程代码执行漏洞CVE-2018-8174 Rig Exploit Kit利用此漏洞分发网关开采代码[3]
Apache Struts远程代码执行CVE-2018-11776利用struts漏洞执行CNRig开采方案[5]
WebLogic XMLDecoder反序列化漏洞CVE-2017-10271 8220开采组[1]
JBoss反序列化命令执行漏洞CVE-2017-12149 8220开采组[1]
Jenkins Java反序列化远程代码执行漏洞CVE-2017-1000353 Jenkins miner [4]
2 .暴力破解
它通常对目标服务器和主机上的开放Web服务和APP应用程序进行暴力破解,从而获得权限。 例如,对Tomcat服务器、SQL Server服务器、SSH和RDP登录凭据的暴力猜测。
3 .由于配置不正确,出现非法访问漏洞
由于在服务中部署的APP应用程序服务和组件配置不正确,存在非法访问漏洞。 黑客集团通过批量扫描相关服务端口,在检测到具有非法访问漏洞的主机和服务器时,通过注入执行脚本和命令,进一步下载和嵌入恶意开采程序。
下表列出了恶意开采攻击中常用的非法漏洞。
漏洞的主要恶意开采木马
Redis非法访问漏洞8220开采组[1]
Hadoop Yarn REST API非法漏洞利用8220开采集团[1]
除了上述攻击入口以外,恶意开采攻击还利用供应链攻击和病毒木马同样的传播方式实施攻击。
4.2 .植入、执行和可持续性
恶意开采攻击通常使用远程代码执行漏洞或非法漏洞执行命令,下载并释放后续的恶意开采脚本或木马程序。
恶意开采程序通常使用常见攻击技术进行移植、执行和持久化。 例如,使用WMIC执行命令移植、使用UAC Bypass相关技术、浪费、使用任务计划持续执行、或者在Linux环境中使用crontab定时执行任务等。
下图是在8220开采组文章[1]中分析的恶意开采脚本,可写入crontab计划任务,然后运行wget或curl命令远程下载恶意程序。
4.3 .竞争和对抗
恶意开采攻击除了利用混淆、加密、添加shell等手段对抗检测外,为了保障目标主机自行开采的独占性,通常还会进行“黑客”行为。 例如:
修正世卫组织
st文件,屏蔽其他恶意挖矿程序的域名访问搜索并终止其他挖矿程序进程
通过iptables修改防火墙策略,甚至主动封堵某些攻击漏洞入口以避免其他的恶意挖矿攻击利用
4.4.恶意挖矿程序有哪些形态
当前恶意挖矿程序主要的形态分为三种:
自开发的恶意挖矿程序,其内嵌了挖矿相关功能代码,并通常附带有其他的病毒、木马恶意行为
利用开源的挖矿代码编译实现,并通过PowerShell,Shell脚本或Downloader程序加载执行,如XMRig [7], CNRig [8],XMR-Stak[9]。
其中XMRig是一个开源的跨平台的门罗算法挖矿项目,其主要针对CPU挖矿,并支持38种以上的币种。由于其开源、跨平台和挖矿币种类别支持丰富,已经成为各类挖矿病毒家族最主要的挖矿实现核心。
Javascript脚本挖矿,其主要是基于CoinHive[6]项目调用其提供的JS脚本接口实现挖矿功能。由于JS脚本实现的便利性,其可以方便的植入到入侵的网站网页中,利用访问用户的终端设备实现挖矿行为。
五、如何发现是否感染恶意挖矿程序
那么如何发现是否感染恶意挖矿程序,本文提出几种比较有效而又简易的排查方法。
5.1.经验排查法或“肉眼”排查
由于挖矿程序通常会占用大量的系统资源和网络资源,所以结合经验是快速判断企业内部是否遭受恶意挖矿攻击的最简易手段。
通常企业机构内部出现异常的多台主机卡顿情况并且相关主机风扇狂响,在线业务或服务出现频繁无响应,内部网络出现拥堵,在反复重启,并排除系统和程序本身的问题后依然无法解决,那么就需要考虑是否感染了恶意挖矿程序。
5.2.技术排查法 进程行为
top命令查看CPU占用率情况,并按C键通过占用率排序,查找CPU高的进程。
网络连接状态
netstat -anp命令查看主机网络连接状态和对应进程,查看是否存在异常的连接。自启动或任务计划脚本
查看自启动或定时任务列表,例如通过crontab查看当前的定时任务。
相关配置文件
查看主机的例如/etc/hosts,iptables配置等是否异常。日志文件
查看/var/log下的主机或应用日志,例如这里查看/var/log/cron*下的相关日志。
安全防护日志
查看内部网络和主机的安全防护设备告警和日志信息,查找异常。通常在企业安全人员发现恶意挖矿攻击时,初始的攻击入口和脚本程序可能已经被删除,给事后追溯和还原攻击过程带来困难,所以更需要依赖于服务器和主机上的终端日志信息以及企业内部部署的安全防护设备产生的日志信息。
六、如何清除恶意挖矿程序
终止挖矿进程,删除挖矿文件和服务。检查是否可疑计划任务和可疑启动项,删除挖矿相关的任务、服务、启动项。检查hosts、user等配置文件,删除可疑新增的内容。七、如何防护恶意挖矿攻击
应该在其企业内部使用的相关系统,组件和服务出现公开的相关远程利用漏洞时,尽快更新其到最新版本,或在为推出安全更新时采取恰当的缓解措施。对于在线系统和业务需要采用正确的安全配置策略,使用严格的认证和授权策略,并设置复杂的访问凭证。加强人员的安全意识,避免企业人员访问带有恶意挖矿程序的文件、网站。制定相关安全条款,杜绝内部人员的主动挖矿行为。