騰訊安全發(fā)布《2020挖礦木馬年度報(bào)告》：針對(duì)云上的攻擊增長(zhǎng)較快

　　近期，加密貨幣市場(chǎng)可謂熱度十足。數(shù)字資產(chǎn)交易網(wǎng)站Crypto.com的一項(xiàng)調(diào)查顯示，截至2021年1月，全球已有1.06億加密貨幣用戶。各類(lèi)數(shù)字加密貨幣價(jià)格暴漲是推動(dòng)用戶數(shù)增長(zhǎng)的主要驅(qū)動(dòng)力。然而，用戶數(shù)增加的同時(shí)，數(shù)字貨幣也引來(lái)了黑產(chǎn)的垂涎，過(guò)去一年挖礦木馬上升趨勢(shì)顯著。

　　在此背景下，騰訊安全近日發(fā)布《2020挖礦木馬年度報(bào)告》(以下簡(jiǎn)稱《報(bào)告》)，以騰訊安全產(chǎn)品獲取的安全事件告警工單數(shù)據(jù)為基礎(chǔ)，從攻擊來(lái)源、入侵特點(diǎn)、漏洞利用偏好、持久化運(yùn)行手段等維度，剖析過(guò)去一年挖礦木馬的攻擊形勢(shì)，并對(duì)其演化趨勢(shì)作了預(yù)判�！秷�(bào)告》指出，利益驅(qū)使下，挖礦團(tuán)伙對(duì)新漏洞武器的采用速度正在加快，挖礦團(tuán)伙跟僵尸網(wǎng)絡(luò)相互勾結(jié)的情況也日趨多見(jiàn)。

　　新活躍挖礦木馬家族偏好攻擊Linux服務(wù)器

　　根據(jù)《報(bào)告》，DTLMiner、H2Miner和GuardMiner是2020年度排名前三的挖礦木馬家族，此外z0Miner、SystemdMiner、WachtdogMiner、8220Miner等家族也名列前茅。

　　入侵方式包括利用漏洞攻擊、爆破攻擊、僵尸網(wǎng)絡(luò)渠道攻擊等。攻擊者通過(guò)遠(yuǎn)程代碼執(zhí)行漏洞(RCE)可以直接向后臺(tái)服務(wù)器遠(yuǎn)程注入操作系統(tǒng)命令或惡意代碼，從而控制后臺(tái)系統(tǒng)。WebLogic CVE-2019-2725是2020年挖礦木馬最常利用的RCE漏洞。此外，利用各種未授權(quán)訪問(wèn)漏洞，也是挖礦木馬的主要攻擊路徑之一。

　　《報(bào)告》顯示，許多挖礦木馬在傳播時(shí)會(huì)針對(duì)系統(tǒng)的弱密碼進(jìn)行爆破攻擊。根據(jù)騰訊安全2020年云上安全報(bào)告提供的數(shù)據(jù)，默認(rèn)用戶名、端口名被爆破攻擊的次數(shù)多達(dá)數(shù)十億次。常被挖礦木馬爆破攻擊的服務(wù)類(lèi)型包括SSH、Mssql、Redis等。

　　利用僵尸網(wǎng)絡(luò)渠道分發(fā)也成為挖礦木馬越來(lái)越偏好的傳播手段之一，甚至挖礦木馬自身也在組建僵尸網(wǎng)絡(luò)。具備僵尸網(wǎng)絡(luò)特征的挖礦木馬TOP3仍是DTLMiner、H2Miner、GuardMiner這些老牌僵尸網(wǎng)絡(luò)，而2020年新活躍的挖礦木馬家族以攻擊Linux服務(wù)器居多。

　　針對(duì)云上的攻擊增長(zhǎng)較快，挖礦團(tuán)伙和僵尸網(wǎng)絡(luò)相互勾結(jié)

　　《報(bào)告》顯示，挖礦木馬針對(duì)云上的攻擊增長(zhǎng)較快。未來(lái)，眾多網(wǎng)絡(luò)組件的安全漏洞仍會(huì)源源不斷涌現(xiàn)，而在利益的驅(qū)使下，挖礦團(tuán)伙對(duì)新漏洞武器的采用速度也會(huì)越來(lái)越快。當(dāng)前，舊的挖礦僵尸網(wǎng)絡(luò)依然活躍，新的僵尸網(wǎng)絡(luò)不斷出現(xiàn)，挖礦團(tuán)伙跟僵尸網(wǎng)絡(luò)相互勾結(jié)的情況日趨多見(jiàn)。復(fù)雜的安全態(tài)勢(shì)對(duì)政企機(jī)構(gòu)提出了巨大挑戰(zhàn)。

　　挖礦木馬不僅會(huì)導(dǎo)致服務(wù)器性能?chē)?yán)重下降，影響服務(wù)器業(yè)務(wù)系統(tǒng)的正常運(yùn)行，還有可能讓服務(wù)器淪為黑客控制的肉雞電腦，對(duì)其他目標(biāo)發(fā)起攻擊。攻擊者入侵成功，很多情況下已獲得服務(wù)器的完全權(quán)限，只要攻擊者愿意，就可能盜取服務(wù)器數(shù)據(jù)，使受害企業(yè)面臨信息泄露風(fēng)險(xiǎn)。更嚴(yán)重的是，攻擊者還有可能在服務(wù)器安裝后門(mén)、服務(wù)和計(jì)劃任務(wù)，實(shí)現(xiàn)對(duì)失陷主機(jī)的穩(wěn)固長(zhǎng)期控制。

　　加強(qiáng)密碼、授權(quán)驗(yàn)證、更新組件，三大措施抵御挖礦木馬

　　針對(duì)日益猖獗的挖礦木馬攻擊，《報(bào)告》建議政企機(jī)構(gòu)從多方面采取措施，保障服務(wù)器安全。首先，對(duì)Linux服務(wù)器的SSH服務(wù)、Windows SQL Server等常用主機(jī)訪問(wèn)入口設(shè)置高強(qiáng)度的登錄密碼，以對(duì)抗弱口令爆破攻擊。其次，對(duì)于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應(yīng)用增加授權(quán)驗(yàn)證，對(duì)訪問(wèn)對(duì)象進(jìn)行控制。如果服務(wù)器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經(jīng)常曝出高危漏洞的服務(wù)器組件，應(yīng)及時(shí)將其更新到最新版本，并實(shí)時(shí)關(guān)注組件官方網(wǎng)站和各大安全廠商發(fā)出的安全公告，根據(jù)提示修復(fù)相關(guān)漏洞。

　　同時(shí)，騰訊安全還針對(duì)當(dāng)前安全形勢(shì)打造了全面完整的解決方案，可幫助政企機(jī)構(gòu)構(gòu)建多層次的縱深防御體系，全面阻斷挖礦木馬的攻擊威脅。騰訊主機(jī)安全系統(tǒng)和云防火墻(CFW)支持查殺絕大多數(shù)挖礦木馬程序及其利用的RCE漏洞、未授權(quán)訪問(wèn)漏洞，同時(shí)還支持弱口令爆破攻擊檢測(cè)，能夠提供云上終端的防毒殺毒、防入侵、漏洞管理、基線管理等服務(wù)。騰訊云安全運(yùn)營(yíng)中心能夠?yàn)榭蛻籼峁┞┒辞閳?bào)、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)，及泄露監(jiān)測(cè)、風(fēng)險(xiǎn)可視等能力。政企機(jī)構(gòu)可以通過(guò)部署相應(yīng)安全產(chǎn)品阻斷挖礦木馬攻擊，筑牢安全底座。