《2019年度挖礦木馬報(bào)告》：攻擊隨幣值上升，社交網(wǎng)絡(luò)也可能隱藏“危機(jī)”

　　隨著數(shù)字貨幣價(jià)值不斷攀升，盜取用戶計(jì)算機(jī)處理器的計(jì)算能力進(jìn)行挖礦成為一門一本萬利的暴利營生。自 2017 年爆發(fā)之后，近年來挖礦木馬在全球范圍持續(xù)活躍，每年都有大量主機(jī)和服務(wù)器被感染，已成為網(wǎng)絡(luò)世界最主要的威脅之一。近日，騰訊安全發(fā)布《 2019 年度挖礦木馬報(bào)告》，對(duì)挖礦木馬種類、感染趨勢、技術(shù)特點(diǎn)等進(jìn)行全面分析，并有針對(duì)性地提出相關(guān)防御和處置建議。

　　日攻擊樣本最高10萬，漏洞、弱口令攻擊為主要方式

　　根據(jù)騰訊安全威脅情報(bào)中心統(tǒng)計(jì)數(shù)據(jù)， 2019 年挖礦木馬攻擊整體呈增長趨勢。上半年，伴隨著數(shù)字貨幣價(jià)格回升，挖礦木馬攻擊量持續(xù)上升， 4 月頂峰時(shí)日攻擊樣本曾一度超 10 萬個(gè)。 5 月之后，攻擊趨勢有所減緩，下降到 6 萬個(gè)/日，并在全年平穩(wěn)波動(dòng)。

　　從地區(qū)分布來看， 2019 年挖礦木馬在全國各地均有不同程度的感染，其中以廣東、浙江、江蘇、北京等東部沿海地區(qū)及網(wǎng)絡(luò)資源較為豐富的城市較為嚴(yán)重，這一分布與互聯(lián)網(wǎng)使用人口密度分布基本吻合。從行業(yè)分布來看，黑產(chǎn)更傾向于攻擊互聯(lián)網(wǎng)、制造業(yè)、科研和技術(shù)服務(wù)以及房地產(chǎn)等行業(yè)。

　　從入侵方式來看，利用普遍存在的漏洞、弱口令攻擊，或者控制大量機(jī)器的僵尸網(wǎng)絡(luò)進(jìn)行大規(guī)模傳播依然是挖礦木馬最主要的入侵方式。其中以利用“永恒之藍(lán)”漏洞最為普遍， 2019 年最活躍的三個(gè)挖礦木馬家族WannaMiner、MyKings、DTLMiner均是利用“永恒之藍(lán)”漏洞進(jìn)行蠕蟲式傳播，單個(gè)家族感染用戶均超 2 萬戶。

　　由于部分IT管理人員缺乏安全意識(shí)，在使用MsSQL、IPC$、SSH、VNC等服務(wù)的過程中使用簡單的弱口令，也給黑產(chǎn)帶來可乘之機(jī)。SplashData公布的 2019 排名前五位的最差密碼分別是“123456”、“123456789”、“qwerty”、“password”和“1234567”，這些密碼也是黑客在爆破攻擊時(shí)的首選。挖礦木馬通過內(nèi)置的包含大量簡單密碼的字典進(jìn)行自動(dòng)匹配，很容易破解此類弱口令并入侵系統(tǒng)。

　　“花樣”翻新，供應(yīng)鏈感染、“無文件”挖礦涌現(xiàn)

　　隨著安全對(duì)抗持續(xù)升級(jí)， 2019 年黑產(chǎn)“挖礦”技術(shù)不斷革新，跨平臺(tái)挖礦、“無文件挖礦等新“花樣”不斷涌現(xiàn)。

　　供應(yīng)鏈感染成為 2019 年挖礦木馬傳播的一大特點(diǎn)。由于軟件本身擁有巨大用戶量，通過軟件升級(jí)進(jìn)行木馬分發(fā)可在短時(shí)間內(nèi)獲得大量計(jì)算機(jī)資源，供應(yīng)鏈感染因此深受“挖礦“黑產(chǎn)青睞。如 2019 年較為活躍的DTLMiner就是通過在后臺(tái)配置文件中插入木馬下載鏈接，讓軟件在升級(jí)時(shí)下載木馬文件，進(jìn)行木馬分發(fā)。

　　為了進(jìn)一步提高挖礦效率， 2019 年挖礦木馬經(jīng)歷了由控制普通電腦到以控制企業(yè)主機(jī)為主、從只控制Windows挖礦到混合感染多個(gè)平臺(tái)的轉(zhuǎn)變。去年，騰訊安全發(fā)現(xiàn)了”Agwl““蘿莉幫”、WannaMine、Satan等多個(gè)針對(duì)linux系統(tǒng)的挖礦木馬;3 月，Satan病毒出現(xiàn)最新變種，可針對(duì)Windows系統(tǒng)和Linux系統(tǒng)進(jìn)行無差別攻擊，在中招電腦中植入勒索病毒勒索比特幣、同時(shí)植入挖礦木馬挖礦門羅幣;同時(shí)，黑產(chǎn)還會(huì)將挖礦木馬與勒索軟件、遠(yuǎn)控后門、剪貼板大盜、DDOS等木馬打包進(jìn)行混合攻擊。

　　Satan病毒跨平臺(tái)攻擊

　　社交網(wǎng)絡(luò)也逐步淪為黑產(chǎn)傳播挖礦木馬的工具。如去年 12 月發(fā)現(xiàn)的挖礦木馬LaofuMiner的傳播，就是攻擊者將遠(yuǎn)控木馬程序偽裝成“火爆新聞”“色情內(nèi)容”“隱私資料”“詐騙技巧”等文件名，通過社交網(wǎng)絡(luò)進(jìn)行傳播，受害者一旦查看文件就立刻被安裝遠(yuǎn)控木馬，并通過遠(yuǎn)控木馬控制電腦下載挖礦木馬，中毒電腦就此淪為礦工。

　　為了讓攻擊更為隱蔽，挖礦黑產(chǎn)也在不斷革新技術(shù)，“無文件”挖礦首次出現(xiàn)。 2019 年 4 月 3 日騰訊安全威脅情報(bào)中心測到“永恒之藍(lán)”下載器木馬更新，此次更新改變了原有的挖礦木馬執(zhí)行方式，通過在Powershell中嵌入PE文件加載的形式，達(dá)到執(zhí)行“無文件”形式挖礦攻擊。新的挖礦木馬執(zhí)行方式?jīng)]有文件落地，直接在Powershell.exe進(jìn)程中運(yùn)行，這種注入“白進(jìn)程”執(zhí)行的方式使挖礦木馬難以被檢測，所涉及的惡意代碼也更難清除。此外，KingMiner在啟動(dòng)挖礦木馬時(shí)還采用DLL側(cè)加載(DLL Side-Loading)技術(shù)，以逃避殺軟檢測。

　　企業(yè)是“挖礦”主要目標(biāo)，強(qiáng)化安全管理勢在必行

　　騰訊安全專家指出，出于攻擊效率等因素，目前企業(yè)主機(jī)和服務(wù)器仍是挖礦木馬攻擊的主要對(duì)象，且挖礦木馬和勒索病毒的傳播通道具有一致性，若有挖礦木馬入侵事件發(fā)生，勒索病毒也一定可以入侵，為避免損失，企業(yè)必須強(qiáng)化安全管理，防患于未然。

　　對(duì)于企業(yè)，騰訊安全專家建議，應(yīng)部署內(nèi)網(wǎng)系統(tǒng)補(bǔ)丁修復(fù)方案，及時(shí)修補(bǔ)系統(tǒng)漏洞;服務(wù)器應(yīng)使用安全的密碼策略 ，使用高強(qiáng)度密碼;管理內(nèi)網(wǎng)用戶使用權(quán)限，生產(chǎn)系統(tǒng)配置標(biāo)準(zhǔn)用戶權(quán)限登錄，減少中毒的可能性;做好重要信息系統(tǒng)的備份工作，最大限度保護(hù)系統(tǒng)安全和數(shù)據(jù)安全。同時(shí)，騰訊安全高級(jí)威脅檢測系統(tǒng)、騰訊安全態(tài)勢感知平臺(tái)和騰訊安全網(wǎng)絡(luò)空間風(fēng)險(xiǎn)雷達(dá)等企業(yè)級(jí)安全產(chǎn)品可幫助網(wǎng)管做好企業(yè)內(nèi)網(wǎng)和企業(yè)網(wǎng)站的安全防范，及時(shí)發(fā)現(xiàn)和防御黑客惡意入侵。

　　騰訊安全高級(jí)威脅檢測系統(tǒng)sqlserver爆破告警

　　對(duì)于個(gè)人用戶，專家提醒，不要下載來歷不明的軟件，謹(jǐn)慎使用破解工具、游戲輔助工具等;及時(shí)安裝系統(tǒng)補(bǔ)丁，特別是微軟發(fā)布的高危漏洞補(bǔ)丁;下載安裝安全軟件，一旦發(fā)現(xiàn)電腦運(yùn)行速度明顯變慢，任務(wù)管理器CPU負(fù)載明顯增加，應(yīng)進(jìn)行全盤的病毒查殺，以排除挖礦木馬感染風(fēng)險(xiǎn)。