比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?

騰訊安全發表於2021-01-15

受比特幣暴漲影響,各類數字虛擬幣市值均有大幅增長。而虛擬貨幣繁榮背後,黑色數字產業鏈卻早已將方向轉向“挖礦”領域,挖礦木馬仍是企業伺服器被攻陷後植入的主要木馬型別。


近日,騰訊安全威脅情報中心態勢感知系統提供的資料結果顯示,針對雲主機的挖礦木馬樣本量明顯上漲,挖礦團伙控制的IP、Domain廣度以及雲上挖礦威脅數量也有較大程度上漲,挖礦木馬整體呈現成倍增長趨勢,給企業使用者雲主機安全帶來嚴重威脅。


虛擬幣暴漲背後 新老挖礦家族合力加大攻擊力度

受利益驅使,挖礦木馬視更多企業使用者為攻擊目標。從騰訊安全威脅情報中心態勢感知系統提供的資料可以看出,老牌挖礦家族目前十分活躍,並且會針對雲主機的系統和應用部署特性開發新的攻擊程式碼。較為典型的就是SystemdMiner、H2Miner兩個挖礦團伙組合利用PostgreSQL的未授權訪問漏洞以及PostgreSQL提權程式碼執行漏洞攻擊雲伺服器。這意味著,存在漏洞的伺服器可能同時被多個挖礦木馬團伙掃描入侵,如果不同挖礦木馬火力全開同時挖礦,伺服器就有徹底癱瘓的風險。


與此同時,新的挖礦團伙同樣層出不窮。其中,挖礦家族z0Miner在2020年11月2日被發現利用Weblogic未授權命令執行漏洞進行攻擊,當次攻擊是在Weblogic官方釋出安全公告(2020.10.21)之後的15天之內發起,這也從側面反映出挖礦木馬團伙對於新漏洞武器的快速響應。


以上挖礦行為歸根結底是由於部分主機未對系統進行合理的訪問策略控制,導致其存在較多的安全缺陷,不法駭客團伙趁機大規模入侵伺服器並植入挖礦木馬,再利用被控主機系統的計算資源挖礦數字加密貨幣獲利。


攻擊手段再升級 殭屍網路助長挖礦木馬蔓延之勢

在以往的認知當中,清除惡意軟體就意味著主機安全威脅的消失。但今天的殭屍網路不同於此,它由主機之外的元件組成,對它來說,消除惡意軟體和修復被感染的機器並不會令其被完全清除。一個殭屍網路可以有多個惡意軟體家族,且多個惡意軟體家族可以是不同殭屍網路的成員。因此,當殭屍網路也加入挖礦陣營,企業使用者面臨的安全風險也隨之加大。


同時,經過長期演變,挖礦木馬團伙的“挖礦”手段也越發成熟。騰訊主機安全系統就曾經檢測到Prometei殭屍網路和TeamTNT挖礦木馬針對雲伺服器的攻擊,其中TeamTNT挖礦木馬已經完成了變種更新,而Prometei殭屍網路變種則是針對Linux系統進行攻擊,透過SSH弱口令爆破登陸伺服器,之後安裝殭屍木馬uplugplay控制雲主機並根據C2指令啟動挖礦程式。新變種對資料回傳和橫向移動的模組程式碼進行升級最佳化,表明黑產團伙正在繼續改進木馬功能模組,有危害擴大跡象。


挖礦木馬作為目前主機面臨的最普遍威脅之一,是檢驗企業安全防禦機制、環境和技術能力水平的關鍵。如何有效應對此類安全威脅,並在此過程中促進企業網路安全能力提升,應成為企業安全管理人員與網路安全廠商的共同目標。


安全對抗加劇 阻斷源頭是根本

挖礦木馬成倍增長,高危漏洞頻繁爆出,當前安全形勢不容輕視。隨著安全對抗不斷升級,網路攻擊將進一步加劇,特別是企業的業務上雲會導致攻擊面增加,使得安全環境更加複雜。為此,騰訊安全專家提醒企業提高對網路攻擊的重視程度,加大對挖礦木馬的防護力度,構建更為牢固的資訊保安防線。


騰訊安全專家建議,對於Linux伺服器SSH、Windows SQL Server等主機訪問入口設定高強度的登入密碼;對於Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應用增加授權驗證,對訪問物件進行控制;如果伺服器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經常曝出安全漏洞的伺服器元件,應密切關注相應元件官方網站和各大安全廠商釋出的安全公告,根據提示及時修復相關漏洞,將相關元件升級到最新版本。


同時,騰訊安全還針對當前安全形勢打造了一系列解決方案。騰訊主機安全系統和雲防火牆(CFW)都支援查殺相關流行挖礦木馬程式及其利用的RCE漏洞、未授權訪問漏洞、弱口令爆破攻擊檢測,能夠提供雲上終端的防毒防毒、防入侵、漏洞管理、基線管理等;騰訊雲安全運營中心能夠為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。企業可以透過部署相應安全產品阻斷挖礦木馬攻擊,提升安全防禦能力。

相關文章