360安全：2018年Windows挖礦木馬總結報告(29頁).pdf

《360安全：2018年Windows挖礦木馬總結報告(29頁).pdf》由會員分享，可在線閱讀，更多相關《360安全：2018年Windows挖礦木馬總結報告(29頁).pdf（29頁珍藏版）》請在三個皮匠報告上搜索。

1、 2018 年 Windows 服務器挖礦木馬總結報告 2019 年 1 月 11 日 摘要摘要 2018 年，挖礦木馬已經成為 Windows 服務器遭遇的最嚴重的安全威脅之一。這一年， 在挖礦木馬攻擊趨勢由爆發式增長逐漸轉為平穩發展的同時，挖礦木馬攻擊技術提升明顯， 惡意挖礦產業也趨于成熟， 惡意挖礦家族通過相互之間的合作使受害計算機和網絡設備的價 值被更大程度壓榨，合作帶來的技術升級也給安全從業者帶來更大挑戰。2019 年，挖礦木 馬攻擊將繼續保持平穩，但黑產家族間的合作將更加普遍， “悶聲發大財”可能是新一年挖 礦木馬的主要目標。 關鍵詞：關鍵詞：挖礦木馬、挖礦木馬、Windows 服

2、務器、惡意攻擊服務器、惡意攻擊 目錄 前言 . 1 第一章 2018 年攻擊趨勢概覽 . 2 第二章 2018 年挖礦木馬詳解 . 5 一、挖礦木馬攻擊目標分布 . 5 二、挖礦木馬使用漏洞一覽 . 5 三、挖礦木馬使用的攻擊技術 . 6 （一）橫向移動 . 6 （二）Living off the land . 7 （三）Fileless . 8 （四）代碼混淆技術 . 9 四、挖礦木馬收益分析及未來獲利方式預測 . 10 第三章 2018 年挖礦木馬家族典型 . 14 一、WannaMine（GhostMiner、PowerGhost） . 14 二、Mykings（隱匿者） . 16 三、

3、“8220”組織 . 18 四、bulehero . 20 五、MassMiner . 22 六、ArcGISMiner . 24 第四章 總結 . 25 參考文章 . 26 1 前言前言 挖礦木馬是一類通過入侵計算機系統并植入挖礦機賺取加密數字貨幣獲利的木馬， 被植 入挖礦木馬的計算機會出現 CPU 使用率飆升、系統卡頓、部分服務無法正常使用等情況。 挖礦木馬最早在 2012 年出現，并在 2017 年開始大量傳播。 2018 年， 挖礦木馬已經成為服務器遭遇的最嚴重的安全威脅之一。 360 互聯網安全中心 對挖礦木馬進行了深入研究分析和長期攻防對抗，在這一年，360 安全衛士平均每日攔截針

4、 對 Windows 服務器的挖礦木馬攻擊超過十萬次，時刻守衛 Windows 服務器安全。本文將依 據我們掌握的數據， 總結2018年Windows服務器遭遇的挖礦木馬威脅， 并對2019年Windows 服務器下挖礦木馬發展趨勢進行分析評估（注：下文提到的“挖礦木馬”均指針對 Windows 服務器的挖礦木馬） 。 2 第一章第一章 2018 年攻擊趨勢概覽年攻擊趨勢概覽 2018 年，Windows 服務器遭到的挖礦木馬攻擊呈現先揚后抑再揚的趨勢。2018 年上半 年，針對 Windows 服務器的挖礦木馬呈現穩步上升趨勢，并在 2018 年 7 月左右達到頂峰。 之后挖礦木馬攻擊強度減

5、弱， 部分挖礦木馬家族更新停滯， 直到 2018 年 12 月， WannaMine、 Mykings 等大型挖礦僵尸網絡再次發起大規模攻擊，針對 Windows 服務器的挖礦木馬攻擊 才再次出現上升趨勢。2018 年針對 Windows 服務器的挖礦木馬攻擊趨勢如圖 1 所示。 圖 1 2018 年針對 Windows 服務器的挖礦木馬攻擊趨勢 在 2018 年初，挖礦木馬攻擊的上升趨勢是 2017 年末挖礦木馬爆發的延續。2017 年 12 月，“8220”組織使用當時還是 0day 狀態的 Weblogic 反序列化漏洞（CVE-2017-10271）入侵 服務器并植入挖礦木馬1，引起一

6、波不小的轟動。之后，更多黑產從業者將目光投向服務器 挖礦領域。據 360 互聯網安全中心統計，2018 年上半年針對 Windows 服務器的挖礦木馬家 族呈逐月上升趨勢，最高時每月有 20 余個成規模的挖礦木馬家族。 3 圖 2 2018 年針對 Windows 服務器的挖礦木馬家族數量變化 不過到了 2018 年下半年， 挖礦攻擊趨勢有所下降， 挖礦木馬家族數量也僅僅保持穩定， 不再呈現類似于上半年的增長趨勢。出現這種情況的原因之一，在于 2018 年下半年披露的 Web 應用遠程代碼執行漏洞相比較上半年要少得多，挖礦木馬缺少新的攻擊入口；另外由 于虛擬貨幣的波動， 下半年針對服務器的挖礦

7、木馬家族格局基本定型， 沒有新的大家族產生。 從圖 2 可以看出 2018 年下半年成規模挖礦木馬家族數量一直保持 30 個左右的， 并未出現太 大增長。 直到 2018 年年底，各大挖礦木馬家族才再次活躍，挖礦木馬攻擊在沉寂將近半年之后 再次呈現上升趨勢。其中，“Mykings”家族、“8220”組織與“WannaMine”家族無疑是攻擊趨 勢上升的“主力”。 2018年， 這三個家族攻擊計算機數量占據所有家族攻擊計算機總量的87%， 到了 12 月，這個數值上升到了可怕的 92%。圖 4 展示了 2018 年這三個家族攻擊計算機數 量與其他家族攻擊計算機數量總和的比較。 關于這幾個活躍挖礦

8、家族的細節將在第三章提及。 4 圖 3 2018 年“Mykings”、“8220”組織與“WannaMine”三個家族攻擊計算機數量與其他家族對比 因此，2018 年成為針對 Windows 服務器挖礦木馬最為鼎盛的一年，進入進入2019年年，如，如 果加密數字貨幣繼續保持目前下滑狀態，果加密數字貨幣繼續保持目前下滑狀態，挖礦木馬可能挖礦木馬可能也將隨之降溫也將隨之降溫，攻擊者也會在更多，攻擊者也會在更多 盈盈獲利獲利方式中尋求平衡。方式中尋求平衡。 5 第二章第二章 2018 年挖礦木馬詳解年挖礦木馬詳解 一、一、挖礦木馬攻擊目標分布挖礦木馬攻擊目標分布 針對 Windows 服務器的挖礦

9、木馬除少部分利用 Windows 自身漏洞外，更多的是利用搭 建在 Windows 平臺上的 Web 應用或數據庫的漏洞入侵服務器。圖 5 展示了 2018 年針對 Windows 服務器的挖礦木馬攻擊目標分布。其中，MsSQL 是挖礦木馬的最大攻擊目標， Weblogic、JBoss、Drupal、Tomcat 等 Web 應用也是挖礦木馬重災區。 圖 4 2018 年針對 Windows 服務器挖礦木馬攻擊目標分布 二、二、挖礦木馬使用漏洞一覽挖礦木馬使用漏洞一覽 正所謂“工欲善其事，必先利其器”利用成功率高、操作簡便、適用于大規模攻擊的 漏洞往往受到攻擊者青睞。 表1展示了2018年挖礦

10、木馬入侵Windows服務器所使用的漏洞。 攻擊者手里往往持有一個能夠針對多個平臺的漏洞武器庫和一個保存有存在漏洞計算機的 IP 地址的列表，具有僵尸網絡性質的挖礦木馬會將這個漏洞武器庫集成到挖礦木馬中，使 挖礦木馬實現“自力更生”，不具有僵尸網絡性質的挖礦木馬則會定期對列表中的 IP 地址發 起攻擊。一些頻繁更新的挖礦木馬更是在漏洞 POC 公開后的極短時間內將其運用在實際攻 擊中。 攻擊平臺攻擊平臺 漏洞編號漏洞編號 POCPOC 公開公開與首次出現利用時與首次出現利用時 間差間差 WeblogicWeblogic CVE-2017-3248 6 個月 CVE-2017-10271 0 天

11、（0day） CVE-2018-2628 10 天-20 天 CVE-2018-2894 5 個月 6 JBossJBoss CVE-2010-0738 未知 CVE-2017-12149 20 天-30 天 Struts2Struts2 CVE-2017-5638 1 個月 CVE-2017-9805 未知 CVE-2018-11776 4 個月 DrupalDrupal CVE-2018-7600 2 個月 CVE-2018-7602 2 個月 ThinkPHPThinkPHP -( ThinkPHPv5 GetShell) 10 天-15 天 PHPMyAdminPHPMyAdmin -

12、(弱口令爆破) - PHPStudyPHPStudy -(弱口令爆破) - Spring Data CommonsSpring Data Commons CVE-2018-1273 未知 TomcatTomcat -(弱口令爆破) - CVE-2017-12615 未知 MsSQLMsSQL -(弱口令爆破) - MySQLMySQL -(弱口令爆破) - Windows ServerWindows Server -(弱口令爆破) - CVE-2017-0143 2000XMR（礦池已 禁止查詢該錢包） Mykings 41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNf

13、iCW7xghhbKZ V6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2 11MXR 47Tscy1QuJn1fxHiBRjWFtgHmvqkW71YZCQL33LeunfH4rsG EHx5UGTPdfXNJtMMATMz8bmaykGVuDFGWP3KyufBSdzxBb2 6000XMR（礦池已 禁止查詢該錢包） 表 3 各挖礦家族錢包地址的獲利情況 不過某些規模較大的挖礦家族依然在尋求其他的獲利方式以最大化利用其 控制的僵尸機器的價值。比如 2018 年 6 月，WannaMine 家族在一次更新中增加 了 DDoS 模塊。該 DDoS 模

14、塊代碼風格、攻擊手法與 WannaMine 家族之前的情況大 不相同， DDoS模塊的載荷下載地址在2018年6月之前曾經被其他家族所使用 5。 不難推測，WannaMine 可能與其他黑產家族進行合作，搖身一變成為“軍火商” 為其他黑產家族定制化惡意程序。 圖 12 WannaMine 的 DDoS 模塊中所連接的載荷下載地址 曾被其他家族使用 無獨有偶，另一大挖礦家族 Mykings 也在 2018 年實現了身份的轉換。2018 年 11 月，Mykings 與“暗云”木馬家族合作，向受控計算機中植入“暗云”木 馬，功能包括但不限于挖礦、鎖首頁、暗刷和 DDoS 6。圖 14 展示了 My

15、kings 僵 尸網絡與“暗云”木馬合作后的攻擊流程。 13 圖 13 Mykings 僵尸網絡與“暗云”木馬合作后的攻擊流程 可以預測，2019 年將涌現更多這類的合作。挖礦木馬家族除了往僵尸機中植入挖礦木 馬獲利外， 還會向其他黑產家族提供成熟的漏洞攻擊武器與戰術， 或者將已控制的僵尸機出 售給其他黑產家族。而類似“暗云”木馬家族這類對黑產獲利方式、獲利渠道較為熟悉的家 族則購買挖礦木馬家族出售的僵尸機， 或者與挖礦木馬家族共同開發定制木馬， 謀求挖礦以 外的利益最大化。 14 第三章第三章 2018 年挖礦木馬家族年挖礦木馬家族典型典型 一、一、WannaMine（GhostMiner7

16、、PowerGhost8） 圖 14 WannaMine 家族典型的攻擊流程 WannaMine 是 2018 年最活躍的挖礦木馬家族之一， 該家族主要針對搭建 Weblogic 的服 務器，也攻擊 PHPMyadmin、Drupal 等 Web 應用。當 WannaMine 入侵服務器之后，使用“永 恒之藍”漏洞攻擊武器或 Mimikatz 進行橫向滲透，將挖礦木馬植入位于同一局域網的其他 計算機中。WannaMine 是“無文件”攻擊技術的集大成者，在其絕大多數版本中都通過 PowerShell 應用程序將挖礦木馬加載到內存中執行，未有文件“落地” 。 WannaMine 更新頻繁，不僅定

17、期更換載荷下載 URL，且一旦有新的 Web 應用漏洞 POC 公 15 開，WannaMine 就會在第一時間將 POC 武器化。圖 16 展示了 2018 年 WannaMine 家族的攻擊 趨 勢 ，年 初 的上 漲來 源于 WannaMine 家 族 第一 次 使用 Weblogic 反 序 列化 漏 洞 （CVE-2017-10271）對服務器進行攻擊 9，而 2018 年底的突然上漲是 WannaMine 在更新停 滯數月之后再次活躍所造成的。不難推測，WannaMine 攻擊者手中保存有存在漏洞的機器列 表，以實現在短時間內控制大量機器的目的。 圖 15 WannaMine 家族

18、 2018 年攻擊趨勢 16 二、二、Mykings10（隱匿者（隱匿者11） 圖 16 Mykings 家族典型的攻擊流程 Mykings 家族最早可以追溯到 2014 年，在 2017 年被多家安全廠商披露，至今仍然處在 活躍狀態中。 Mykings 家族擁有一套成熟的弱口令掃描與爆破體系， 能夠爆破 MsSQL、 Telnet、 RDP、CCTV 等系統組件或設備，其爆破模塊除了復用 Mirai 僵尸網絡和 Masscan 掃描器的部 分代碼外， 還集成了內容豐富的弱口令字典以及針對 MsSQL 的多種命令執行方式。 在獲利方 式上，Mykings 家族不僅僅局限于通過挖礦獲利，也通過與

19、其他黑產家族合作完成鎖首頁、 DDoS 等工作。 2018 年，Mykings 家族攻擊趨勢較為穩定。2018 年上半年 Mykings 家族呈平穩上升趨 勢， 年中時曾經對 MsSQL 發起一次大規模的爆破攻擊， 在這次攻擊中 Mykings 家族使用新的 載荷下載地址，并嘗試使用 “白利用”技術對抗殺毒軟件，也是在這一波攻擊之后，Mykings 17 家族控制的僵尸機數量大幅上漲 12。與 WannaMine 家族相似，Mykings 家族在 2018 年下半 年稍顯沉寂，直到 2018 年 11 月與“暗云”家族合作后才有所改觀。 圖 17 Mykings 家族 2018 年攻擊趨勢 1

20、8 三、三、 “82208220”組織”組織 1313 圖 18 “8220”組織典型的攻擊流程 2017 年 11 月，一攻擊組織使用當時還是 0day 狀態的 Weblogic 反序列化漏洞 （CVE-2017-10271）入侵服務器植入挖礦木馬，這是第一次被公開披露的使用 0day 漏洞入 侵服務器植入挖礦木馬的案例，而這個攻擊組織就是“8220”組織。 “8220”組織傳播的挖礦木馬攻擊流程十分簡單，即通過 Web 應用漏洞入侵 Windows 服務器之后通過 PowerShell 下載挖礦木馬執行，再通過計劃任務在計算機中持續駐留。不 同于 WannaMine 家族和 Mykings

21、 家族， “8220”組織傳播的挖礦木馬并不具有蠕蟲傳播的功 能，但是該組織活躍時依然能夠成功入侵大量 Windows 服務器?？梢詳喽?， “8220”組織手 中必然保存著一個存在漏洞的服務器 IP 地址的列表，使該組織能夠定期對大量服務器實施 打擊。 “8220” 組織在 2018 年年初較為活躍， 主要原因在于 2018 年年初披露的 Web 應用漏洞 POC 數量相比較其他時候要多得多。 之后隨著披露的 Web 應用漏洞 POC 數量的減少，“8220” 組織也相對沉寂，不過到了 2018 年 12 月末， “8220“組織使用包括 Github、bitbucket 在 內的代碼托管平臺

22、存儲載荷，開啟新一波服務器入侵攻勢。 19 圖 19 “8220”組織 2018 年攻擊趨勢 20 四、四、bulehero14 圖 20 bulehero 家族典型的攻擊流程 bulehero 家族最早出現于 2018 年初， 該家族最初并非使用 bulehero.in 這個域名作為 載荷下載 URL，而是直接使用 IP 地址 173.208.202.234。誕生初期的 bulehero 家族規模并 不大， 直到 2018 年 7 月， 該家族所構建的僵尸網絡才逐漸成型。 2018 年 12 月， ThinkPHP v5 被曝存在遠程代碼執行漏洞，bulehero 是第一個使用該漏洞入侵服務

23、器的家族，而這次入 侵也使 bulehero 家族控制的僵尸機器數量暴漲 15。 21 圖 21 bulehero 家族 2018 年攻擊趨勢 22 五、五、MassMiner16 圖 22 MassMiner 家族典型的攻擊流程 MassMiner 家族以其使用 Masscan 掃描器得名。該家族主要活躍于 2018 年上半年，通 過 Web 應用漏洞和 MsSQL 弱口令爆破入侵 Windows 服務器， 并將受害機器轉化為傀儡機對互 聯網中的計算機進行掃描和入侵，構建僵尸網絡。 進入 2018 年下半年，MassMiner 幾乎消失。有趣的是，MassMiner 所使用的門羅幣錢包 地址

24、共收入將近 1000 個門羅幣，這明顯與 MassMiner 家族構建的僵尸網絡規模不符?？梢?MassMiner 家族必然還存在一個尚未被披露的分支， 這個分支為該家族帶來絕大多數的收益。 23 圖 23 MassMiner 家族 2018 年攻擊趨勢 24 六、六、ArcGISMiner 圖 24 ArcGISMiner 家族典型的攻擊流程 這是一個尚未有專門報告披露的挖礦木馬家族，也是挖礦木馬中的“異類” ArcGISMiner 只在幾個時間段攻擊服務器，每次攻擊持續不會超過 2 個小時，并且兩次攻擊 間隔最少為 6 天。ArcGISMiner 主要針對提供位置服務的 ArcGIS、ex

25、Live 等 Web 應用，入 侵服務器后通過反射 dll 注入執行挖礦。 攻擊時間攻擊時間 載荷下載地址載荷下載地址 2018 年 5 月 17 日 hxxp:/121.41.33.131:8000 2018 年 6 月 6 日 hxxp:/121.41.33.131:8000 2018 年 8 月 23 日 hxxp:/121.41.33.131:8000 2018 年 8 月 28 日 hxxp:/120.27.244.75:53 2018 年 10 月 19 日 hxxp:/121.41.33.131:8000 2018 年 11 月 1 日 hxxp:/ 表 4 ArcGISMine

26、r 攻擊時間點與載荷下載地址 25 第四章第四章 總結總結 2018 年是挖礦木馬由興起到穩定發展的一年，這一年中有許多新家族涌現，也有許多 家族在競爭中消亡，整體攻擊趨勢轉向平穩。毫無疑問的是，在這一年挖礦木馬變得更加成 熟，幕后操縱者也不再是“野路子”黑客，而是商業化程度極高的黑產組織。黑產家族間的 相互合作、各取所需，使受害計算機和網絡設備的價值被更大程度壓榨，合作帶來的技術升 級也給安全從業者帶來更大挑戰。不難預測，未來挖礦木馬攻擊將保持平穩，但黑產家族間 的合作將更加普遍， “悶聲發大財”可能是新一年挖礦木馬的主要目標。 26 參考文章參考文章 1 2 3 4 E5%B8%81/cny 5 6 7 https:/blog.minerva- 8 9 10 ding-botnets/ 11 12 13 14 15 16 web-servers