《2018年云上挖矿态势分析报告》发布,非Web类应用安全风险需重点关注

近日,阿里云安全团队发布了《2018年云上挖矿分析报告》。该报告以阿里云2018年的***数据为基础,对恶意挖矿态势进行了分析,并为个人和企业提出了合理的安全防护建议。

报告指出,尽管加密货币的价格在2018年经历了暴跌,但挖矿仍是网络黑产团伙在***服务器之后最直接的变现手段,越来越多的0-Day/N-Day漏洞在公布后的极短时间内就被用于***挖矿,黑产团伙利用漏洞发起***进行挖矿的趋势仍将持续。

以下是报告部分内容,下载报告完整版:
https://yq.aliyun.com/download/3312

***态势分析

【热点0-Day/N-Day漏洞利用成为挖矿团伙的"武器库",0-Day漏洞留给用户进行修复的窗口期变短】

2018年,多个应用广泛的web应用爆出高危漏洞,对互联网安全造成严重威胁。事后安全社区对漏洞信息的分析和漏洞细节的分享,让利用代码能够方便的从互联网上获取。挖矿团伙自然不会放过这些唾手可得的“武器库”。此外一些持续未得到普遍修复的N-Day漏洞往往也会被挖矿团伙利用。本报告梳理了部分热点0-Day/N-Day漏洞被挖矿团伙大量利用的事件。

同时阿里云观察到,0-Day漏洞从披露到大规模利用之间的时间间隔越来越小。因此在高危0-Day漏洞爆出后未能及时修复的用户,容易成为恶意挖矿的受害者。

【非Web网络应用暴露在公网后成为挖矿团伙利用的重灾区】

企业对Web应用可能造成的安全威胁已经有足够的重视,WAF、RASP、漏洞扫描等安全产品也提升了Web应用的安全水位。而非Web网络应用(Redis、Hadoop、SQLServer等)往往并非企业核心应用,企业在安全加固和漏洞修复上投入并不如Web应用,往往导致高危漏洞持续得不到修复,因而挖矿团伙也会针对性利用互联网上这些持续存在的弱点应用。本报告梳理了2018年非Web网络应用漏洞被挖矿团伙利用的时间线。

【挖矿团伙广泛利用暴力破解进行传播,弱密码仍然是互联网面临的主要威胁】

下图为不同应用被***导致挖矿所占百分比,可以发现SSH/RDP/SQLServer是挖矿利用的重点应用,而这些应用通常是因为弱密码被暴力破解导致被***感染挖矿病毒。由此可以看出弱密码导致的身份认证问题仍然是互联网面临的重要威胁。

恶意行为

【挖矿后门普遍通过蠕虫形式传播】

大多数的挖矿团伙在感染受害主机植入挖矿***后,会控制这些受害主机对本地网络及互联网的其他主机进行扫描和***,从而扩大感染量。这些挖矿***传播速度较快,且很难在互联网上根除,因为一旦少量主机受到恶意程序感染,它会受控开始***其他主机,导致其它带有漏洞或存在配置问题的主机也很快沦陷。

少量挖矿团伙会直接控制部分主机进行网络***,***受害主机后只在主机植入挖矿后门,并不会进一步扩散。最有代表性的就是8220挖矿团伙。这类团伙一般漏洞利用手段比较丰富,漏洞更新速度较快。

【挖矿团伙会在受害主机上通过持久化驻留获取最大收益】

大多数的挖矿团伙,都会尝试在受害主机上持久化驻留以获取最大收益。

通常在Linux系统中,挖矿团伙通过crontab设置周期性被执行的指令。在Windows系统中,挖矿团伙通常使用schtask和WMI来达到持久化的目的。

如下为Bulehero***执行添加周期任务的schtask命令:

cmd /c schtasks /create /sc minute /mo 1 /tn "Miscfost" /ru system /tr "cmd /c C:\Windows\ime\scvsots.exe"
cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\Windows\scvsots.exe /p everyone:F"
【挖矿团伙会通过伪装进程、加壳、代码混淆、私搭矿池或代理等手段规避安全分析和溯源】

Bulehero挖矿网络使用的病毒下载器进程名为scvsots.exe,与windows正常程序的名字svchost.exe极其相似;其它僵尸网络使用的恶意程序名,像taskhsot.exe、taskmgr.exe、java这类形似正常程序的名称也是屡见不鲜。

在分析挖矿僵尸网络的过程中我们发现,大多数后门二进制程序都被加壳,最经常被使用的是Windows下的UPX、VMP、sfxrar等,如下图,几乎每个RDPMiner使用的恶意程序都加了上述三种壳之一。

此外,挖矿团伙使用的恶意脚本往往也经过各种混淆。如下图,JBossMiner挖矿僵尸网络在其vbs恶意脚本中进行混淆加密。

尽管人工分析时可以通过多种手段去混淆或解密,但加密和混淆对逃避杀毒软件而言,仍是非常有效的手段。

恶意挖矿团伙使用自己的钱包地址连接公开矿池,可能因为矿池收到投诉导致钱包地址被封禁。挖矿团伙倾向于更多的使用矿池代理或私搭矿池的方式进行挖矿。进而安全研究人员也难以通过矿池公布的HashRate和付款历史估算出被***主机的数量和规模。

主流团伙概述

1.DDG挖矿团伙

从2017年底首次被曝光至今,DDG挖矿僵尸网络一直保持着极高的活跃度。其主要恶意程序由go语言写成,客观上对安全人员研究分析造成了一定阻碍。而频繁的程序配置改动、技术手段升级,使它堪称2018年危害最大的挖矿僵尸网络。

DDG(3019)各模块结构功能

2.8220挖矿团伙

在诸多挖矿僵尸网络中,8220团伙的挖矿***独树一帜,因为它并未采用蠕虫型传播,而是直接对漏洞进行利用。

这种方式理论上传播速度较慢,相较于蠕虫型传播的僵尸网络也更难存活,但8220挖矿团伙仍以这种方式获取了较大的感染量。

挖矿网络结构

3.Mykings(theHidden)挖矿团伙

Mykings(又名theHidden“隐匿者”)挖矿网络在2017年中就被多家友商提及并报道。它从2014年开始出现,时至今日该僵尸网络依然活跃,可以说是拥有非常旺盛的生命力。该僵尸网络极为复杂,集成了Mirai、Masscan等恶意程序的功能,此外在payload、BypassUAC部分都使用极其复杂的加密混淆技术,掩盖***意图,逃避安全软件的检测和安全研究人员的分析。该挖矿僵尸网络在11月底更是被发现与“暗云”联手,危害性再次增强。

挖矿网络结构

4.Bulehero挖矿团伙

挖矿网络结构

5.RDPMiner挖矿团伙

该挖矿僵尸网络自2018年10月开始蔓延,之后多次更换挖矿程序名称。

挖矿网络结构

6.JbossMiner挖矿团伙

阿里云安全团队于2018年3月报道过,从蜜罐中捕获到JbossMiner的恶意程序样本,该样本由py2exe打包,解包反编译后是一套由Python编写的完整***程序,包含源码及依赖类库等数十个文件。且对于Windows和Linux系统的受害主机,有不同的利用程序。

挖矿网络结构

7.WannaMine

WannaMine是一个蠕虫型僵尸网络。这个挖矿团伙的策略曾被CrowdStrike形容为“靠山吃山靠水吃水”(living off the land),因为恶意程序在被感染的主机上,首先会尝试通过Mimikatz收集的密码登录其他主机,失败之后再利用“永恒之蓝”漏洞***其他主机,进行繁殖传播。

挖矿网络结构

8.Kworkerd

这是一个主要***Redis数据库未授权访问漏洞的挖矿僵尸网络,因其将挖矿程序的名字伪装成Linux正常进程Kworkerd故得名。

该***只利用一种漏洞却仍有不少感染量,说明数据库安全配置亟待得到用户的重视。

9.DockerKiller

随着微服务的热度不断上升,越来越多的企业选择容器来部署自己的应用。而Docker作为实现微服务首选容器,在大规模部署的同时其安全性却没有引起足够的重视。2018年8月,Docker配置不当导致的未授权访问漏洞遭到挖矿团伙的批量利用。

挖矿网络结构

安全建议

如今尽管币价低迷,但由于经济形势承受下行的压力,可能为潜在的犯罪活动提供诱因。阿里云预计,2019年挖矿活动数量仍将处于较高的水位;且随着挖矿和漏洞利用相关知识的普及,恶意挖矿的入场玩家可能趋于稳定且伴有少量增加。

基于这种状况,阿里云安全团队为企业和个人提供如下安全建议:

安全系统中最薄弱的一环在于人,最大的安全问题也往往出于人的惰性,因此弱密码、爆破的问题占了挖矿原因的半壁江山。无论是企业还是个人,安全意识教育必不可少;
0-Day漏洞修复的窗口期越来越短,企业需要提升漏洞应急响应的效率,一方面是积极进行应用系统更新,另一方面是关注产品的安全公告并及时升级,同时也可以选择购买安全托管服务提升自己的安全水位;
伴随着云上弹性的计算资源带来的便利,一些非Web类的网络应用暴露的风险也同步上升,安全运维人员应该重点关注非Web类的应用伴随的安全风险,或者选择购买带IPS功能的防火墙产品,第一时间给0-Day漏洞提供防护。
报告主笔:悟泛;其他内容贡献者:桑铎、堇云、穆如、乐枕、燚龘、刘洪亮、南浔

原文地址:https://blog.51cto.com/14031893/2357796

时间: 2024-09-30 19:41:04

《2018年云上挖矿态势分析报告》发布,非Web类应用安全风险需重点关注的相关文章

2016 中国互联网仿冒态势分析报告

     2016  中国互联网仿冒态势分析报告 一.摘要 基于阿里聚安全在2016年1-8月收录的APK样本数据,从16个行业分类分别选取了15个热门应用,共240个应用进行仿冒分析,发现83%的热门应用存在仿冒,总仿冒量高达8267个,平均每个应用的仿冒量达34个,总感染设备量达6790万台.广东省的仿冒应用感染设备量最大,占全国的13%.北京市作为首都,仿冒应用感染量也非常大,占全国的7%. 16个行业分类中,社交类应用的仿冒量达4096个,占总仿冒量的49.5%,排名第一.电信类应用的仿

【Spring源码分析系列】启动component-scan类扫描加载过程

原文地址:http://blog.csdn.net/xieyuooo/article/details/9089441/ 在spring 3.0以上大家都一般会配置一个Servelet,如下所示: 1 <servlet> 2 <servlet-name>spring</servlet-name> 3 <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-clas

云计算之路-阿里云上:Wireshark抓包分析一个耗时20秒的请求

这篇博文分享的是我们针对一个耗时20秒的请求,用Wireshark进行抓包分析的过程. 请求的流程是这样的:客户端浏览器 -> SLB(负载均衡) -> ECS(云服务器) -> SLB -> 客户端浏览器. 下面是分析的过程: 1. 启动Wireshark,针对内网网卡进行抓包. 2. 在IIS日志中找出要分析的请求(借助Log Parser Studio) 通过c-ip(Client IP Address)可以获知SLB的内网IP,在分析Wireshar抓包时需要依据这个IP进

云计算之路-阿里云上:超过70秒的请求抓包分析

超过70秒的请求是通过分析IIS日志发现的: 10.159.63.104是SLB的内网IP. 通过Wireshark抓包分析请求是9:22:21收到的(tcp.stream eq 23080): 09:22:21.299838000 10.159.63.104 10.161.241.208 HTTP 291 GET /eastsea/p/3764040.html HTTP/1.0 这个请求响应内容的长度是:Content-Length 1154110(1.1MB) 云服务器(ECS)在收到请求后

爱奇艺、优酷、腾讯视频竞品分析报告2016(一)

1 背景 1.1 行业背景 1.1.1 移动端网民规模过半,使用时长份额超PC端 2016年1月22日,中国互联网络信息中心 (CNNIC)发布第37次<中国互联网络发展状况统计报告>,报告显示,网民的上网设备正在向手机端集中,手机成为拉动网民规模增长的主要因素.截至2015年12月,我国手机网民规模达6.20亿,有90.1%的网民通过手机上网. 图 1  2013Q1~2015Q3在线视频移动端和PC端有效使用时长份额对比 根据艾瑞网民行为监测系统iUserTracker及mUserTrac

中华英才网竞品分析报告2016

中华英才网竞品分析报告 1 背景 1.1 行业背景 1) 网民增速不断提升,移动端网民规模过半. 2016年1月22日,中国互联网络信息中心 (CNNIC)发布第37次<中国互联网络发展状况统计报告>.截至2015年12月,中国网民规模达6.88亿, 半数中国人已接入互联网. 其中,2015年新增网民3951万人,增长率为6.1%,较2014年提升1.1个百分点,网民规模增速有所提升. 图 1  2011-2018年中国整体网民数量及增长趋势 <报告>同时显示,网民的上网设备正在向

《亿人帮》与《新米公益》竞品分析报告(简要版)

<亿人帮>与<新米公益>竞品分析报告(简要版) --白斌 [email protected] iOS. APP版本皆为最新版 2016.12.12 竞品选择:<新米公益> 理由:都是互联网+公益,项目模式相同,两款APP均在2015年第二季度上线,SWOT四方面两者几乎是同样的起点.下面从产品的五个层次对二者进行分析并提出建议 一.战略层: 1.产品比较 产品名称 志愿者参与方式 slogan <新米公益> 走路.早起.答题 不止更好的自己 <亿人帮&

爱奇艺、优酷、腾讯视频竞品分析报告2016(二)

接上一篇<爱奇艺.优酷.腾讯视频竞品分析报告2016(一)> http://milkyqueen520.blog.51cto.com/11233158/1760192 2.4 产品设计与交互 2.4.1  视觉风格 APP设计风格从视觉效果上至少给用户传达了两个信息:一是APP的整体基调.二是APP的目标人群. 在设计风格表现上,颜色占据了80%以上的视觉体验.因此要做好设计风格,主要做好界面的颜色搭配和分布.另外颜色是有情感的,不同的色彩能给于用户不同的印象和感受,而且不同的人群对颜色偏好也

阿里巴巴资产分析报告: 淘宝和天猫谁更赚钱?

1. 在此次阿里巴巴 IPO 资产中,核心业务依然是 C2C 淘宝和 B2C 天猫.天猫去年的交易额增长或为 100%,淘宝则可能低于 40%: 2. 淘宝.天猫和聚划算的营收模式并不相同,主体上是通过收取营销费用.广告费和佣金: 3. 阿里巴巴与京东分别代表"平台电商自营化"和"自营电商平台化"两种模式,彼此渗透,未来竞争取决于精细化作业能力. 关于阿里上市,那些清楚的和糊涂的 阿里巴巴集团与北京时间 5 月 7 日向美国证券交易委员会(SEC)提交了招股说明书(