奇安信威胁情报中心消息,近期挖矿病毒作案团伙异常活跃,1月份以来,奇安信安服团队已经协助客户处理了多起服务器挖矿应急事件,涉及大型央企、互联网、数据中心等多个重要行业客户。尤其春节临近,很多单位已经提前进入假期状态,服务器安全疏于防范,让黑客团伙有了可乘之机,目前奇安信安服团队收到的服务器挖矿处理需求还在快速增加。
自国家发改委宣布全面开展虚拟货币“挖矿”整治工作,严查严处国有单位机房涉及的"挖矿"行为以来,专项行动层层推进,整改目标也从国企央企扩展到全国重点企业,并且明确了挖矿病毒整治的目标为清零,挖矿整治工作刻不容缓!
何为“挖矿”
“挖矿”是指通过消耗主机(pc或服务器)的CPU、GPU等计算资源生产虚拟货币的行为,虚拟货币相关业务属于非法金融活动,挖矿同样属于违法行为,同时,虚拟货币挖矿不但会占用宝贵的计算资源、还会消耗大量的电力能源,据统计,专业挖矿设备产生一个比特币消耗的电力够一个三口之家使用一年,而通过挖矿病毒消耗的电力更是专业挖矿设备的倍!
从国家发力整治挖矿活动以来,已整治关闭了内蒙、新疆、四川、云南等众多虚拟货币矿场,仅内蒙就关闭35家挖矿企业,经初步统计,清退这35家挖矿企业可年节电52亿度,折合超万吨标准煤。虽然大部分专业挖矿机构已经被整顿关停,但是目前市值最高的虚拟货币“比特币”一枚价值就高达3万多美金,在巨大利益的趋势下,挖矿行为将由“地上”转移至“地下”,通过挖矿病毒获得虚拟货币将成为主要方式,大批新型挖矿病毒可能会持续诞生,企业的服务器资源将面临空前的安全压力。
挖矿病毒的类型
目前常见的挖矿病毒主要有以下3类:
二进制型挖矿病毒
可以独立执行的挖矿程序,相对容易被反病毒引擎发现,除了具有挖矿能力外,这类挖矿病毒还可能具有shh文件遍历、暴力破解、漏扫等能力,可以实现横向移动从而污染更多服务器。典型的如:windows平台的wannaminer、linux平台的jbossminer、移动平台的ADB.Miner等。
无文件挖矿代码
将恶意代码注入至powershell、wmi等系统高权限进程中,并通过这些进程执行挖矿操作,在服务器本地无落地文件,属于无文件攻击,很难被反病毒引擎发现,检测难度较高。典型的如powershellminer、ghostminer。
挖矿脚本
网页或网页插件形式存在的web脚本文件,当访问者浏览植入挖矿脚本的网站时,其使用的pc终端或手机会被作为矿机处理挖矿计算,国外知名视频网站YouTube,曾被曝出被攻击者在广告里的JavaScript代码里植入了一段挖矿脚本,致使成千上万的用户无意间都成了挖矿肉机。
挖矿病毒入侵方式
终端入侵:
个人PC和手机终端,主要感染途径是钓鱼邮件、浏览恶意网站、应用夹带、伪装应用等。因为个人终端的计算能力有限,并且感染挖矿后症状明显容易被发现,因此终端更多是作为进一步渗透至业务服务器的跳板。
服务器入侵:
拥有更强算力服务器早已经成为挖矿团伙的主要攻击目标,拥有大量服务器的数据中心更面临较大的安全风险。目前挖矿病毒投放的主要途径是利用口令风险(暴力破解、弱口令、口令复用、终端感染)、Nday/0day漏洞(尤其是web应用的RCE类漏洞)、以及内网横向移动(IPC、凭证窃取、PTH等),因为在内网环境下普遍安全策略不严格,服务器存在大量未修复漏洞和弱口令,所以一旦边界服务器被突破,内网被挖矿程序渗透只是时间问题。
服务器感染挖矿病毒后的明显特征
CPU、GPU异常占用:
①陌生进程资源占用率异常
特征为陌生进程占用大量cpu资源,部分挖矿病毒也会伪装成