再見黑產“礦老闆”!360EDR多維防控挖礦木馬威脅
近十年來,加密貨幣的興起和數字貨幣價值的不斷增長,讓“挖礦”和“炒幣”的熱潮持續走高。然而,盲目無序的發展挖礦活動,也為利用木馬瘋狂斂財的網路黑產提供了犯罪沃土,直接擾亂了我國正常的金融秩序。
過去十幾年360政企安全集團持續針對各類木馬進行長期追蹤,尤其是在針對挖礦木馬的檢測攔截、溯源反制上積累了大量實戰經驗。其中,360政企安全集團高階威脅研究分析中心從2018年便開始了針對典型挖礦木馬——JavaXminer家族的持續追蹤。該家族多使用Web服務類漏洞對OA系統、Web伺服器等進行攻擊,更新迅速且頻繁。同時,該家族具備Windows、Linux雙平臺的攻擊能力,導致其攻擊量在2020年至2021年有大幅度增加。
圖 1 JavaXminer攻擊趨勢
圖 2 關聯Web應用攻擊整體趨勢
入侵便“排異”的JavaXminer家族
JavaXminer的入侵往往會利用新近曝出的Web服務端1Day或是nDay漏洞,成本降低的同時,又可以較為輕易的獲取未及時修補漏洞的伺服器訪問許可權。比如Atlassian Confluence在今年8月底釋出的CVE-2021-26084 RCE漏洞,GitHub上9月1日便出現了相應利用POC,緊接著在9月3日就出現了利用該漏洞對Confluence發起的攻擊。
圖 3 CVE-2021-26084 公開POC
圖 4 JavaXminer對Confluence初次攻擊
圖 5 JavaXminer對Confluence攻擊
隨著OA系統漏洞的曝光,相應的攻擊指令碼也積極地被該挖礦家族利用。
圖 6 JavaXminer對通*OA初次攻擊
暴露於公網且存在漏洞的伺服器很容易被各種木馬給盯上,對於挖礦木馬來說,在這種機器上常常會碰見自己的“同行”。為了最大程度地佔據系統資源挖取貨幣,對“競品”的清理工作在所難免,——在這一點上JavaXminer也不例外。
而被JavaXminer清理的競品木馬都是比較知名的家族,比如Kinsing、watchbog、Mykings、Sysrv-hello、SysUpdate、IMG001等。(注:IMG001之前未被公開報告,該家族出現時間較早,曾使用隨身碟蠕蟲、內網橫向滲透進行傳播。)
圖 8 清除競品
圖 9 清除競品
JavaXminer家族的“常駐”策略
在入侵成功後的Linux機器上,JavaXminer會透過crontab建立計劃任務,每5分鐘訪問一次hxxps://pastebin[.]com/raw/xxxxxxxx,獲取內容執行。
圖 10 Linux計劃任務
然而這些pastebin貼上板文字大多為無實質操作的語句,貼上板名通常與相關指令碼url名和攻擊手段、目標有關,其中對貼上板的訪問可直觀地觀察到入侵機器是否活躍和增長。並且建立者ID重複情況較多,可一定程度上作為該家族木馬的關聯。目前時間較早的貼上板大部分已被刪除,較近時間段(比如10月份)的URL則大多正常。
儘管絕大部分貼上板未寫入惡意命令,但其下發指令的能力是確實存在的。
圖 11 pastebin內容
在Windows系統的機器上,JavaXminer同樣會進行持久化,訪問相應pastebin資料執行——即使大部分均為無效指令。建立持久化任務的方式則是採用WMI Subscription事件或是schtasks命令。
圖 12 Windows持久化
擅長多點開挖的“礦老闆”
JavaXminer挖礦時使用配置檔案config.json指定XMRig執行時的各項引數,礦工程式落地檔名也不盡相同。下載時的URL特徵之一是路徑中常帶有/docs/字串,並且託管檔案的伺服器通常為Apache Tomcat。
圖 13 Linux端執行挖礦程式
圖 14 Windows端執行挖礦程式
Config.json配置檔案中,指定礦池為pool.supportxmr.com:80,而pass統一為“x”。
圖 15 Config.json Pools配置
Config.json配置中的錢包地址並不只有一個,透過從錢包地址中取出幾個還在活躍的錢包地址,在supportxmr中可以檢視其算力和挖取的門羅幣資料,以此判斷JavaXminer的挖礦能力。
圖 16 JavaXminer部分錢包挖礦資料
從上圖中可以看出這部分錢包地址依然擁有算力,獲取的門羅幣也不少。而且這些錢包地址只是其中一部分,由此可以推測受到JavaXminer入侵併成功開挖的機器也不在少數。
在利益驅動下,以挖礦為目的的惡意入侵活動愈發猖獗,作為相關產品的使用使用者來說,主動進行產品更新和補丁修補顯的尤為重要,以免自身資產淪為挖礦的工具。360政企安全集團長期從事反挖礦、反欺詐、反黑灰產等領域研究,依託360安全大腦在安全大資料、人工智慧分析、攻擊溯源等方面的領先安全能力,推出360新一代終端檢測響應系統(以下簡稱“360EDR”)。
基於十餘年來積累的SaaS版EDR實踐服務經驗,360 EDR透過持續追蹤終端活動行為、檢測安全風險、深度調查威脅風險、提供補救響應手段等方式,補充了傳統終端安全產品防禦高階威脅能力的不足,能在對抗高階威脅中壓縮攻擊者的攻擊時間,減少高階威脅最終達到目的可能性,獲得更快速、高效的防禦效果。
圖 17 360EDR告警資訊展示
建議廣大政企使用者可透過安裝部署360EDR,及時發現和處置各類挖礦攻擊。
圖 18 360EDR安全事件展示
想了解更多關於挖礦木馬的防治方法,還可訪問360政企安全官網或撥打電話400-0309-360諮詢。
相關文章
- 用疫情防控思路解決挖礦木馬風險
- 警惕國產挖礦木馬CPLMiner利用WMI駐留挖礦
- 挖礦木馬猖獗,360安全衛士破解“黑礦工”之困
- 快速定位挖礦木馬 !
- 《2020挖礦木馬年度報告》:挖礦團伙勾結殭屍網路日趨多見
- 挖礦木馬清除日記
- “挖礦木馬”橫行,企業如何避免當“礦工”?
- 2021年典型挖礦木馬盤點
- 雲地協同,高效治理“挖礦”威脅
- 2018年度回顧:挖礦木馬為什麼會成為病毒木馬黑產的中堅力量
- 2021年挖礦木馬趨勢報告
- Linux挖礦木馬的技術演進探討Linux
- 記一次與挖礦木馬的較量
- 漢化遠控木馬下發挖礦程式,利用肉雞資源撈金
- DockerHub再現百萬下載量黑產映象,小心你的容器被挖礦Docker
- 威脅快報|Nexus Repository Manager 3新漏洞已被用於挖礦木馬傳播,建議使用者儘快修復
- 伺服器被挖礦木馬攻擊該怎麼處理伺服器
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- Linux挖礦木馬WorkMiner集中爆發,利用SSH暴力破解傳播Linux
- Muhstik殭屍網路木馬來襲,挖礦、攻擊兩不誤
- 工信部:非法“挖礦”嚴重威脅網際網路網路安全
- 騰訊安全:新型挖礦木馬“快Go礦工”猛攻企業裝置 IT行業成重災區Go行業
- WannaMine挖礦木馬再活躍,14萬臺linux系統受攻擊,廣東省為重災區Linux
- 參與POC挖礦,來四維礦業就夠了
- 威脅快報|Bulehero挖礦蠕蟲升級,PhpStudy後門漏洞加入武器庫PHP
- 多部委加強整治,騰訊安全幫助企業抵禦“挖礦”木馬
- 遊戲私服捆綁傳播挖礦木馬,已感染超5000臺電腦遊戲
- 挖礦病毒
- “永恆之藍下載器”木馬篡改hosts指向隨機域名 多個漏洞攻擊內網挖礦隨機內網
- 遠控木馬“寄生”防火牆流竄,360安全大腦溯源復現威脅影像防火牆
- Stratum挖礦協議&XMR挖礦流量分析協議
- 嚴打“挖礦”,對“挖礦”活動零容忍
- EPK怎麼挖礦?EPK挖礦教程詳情
- 區塊鏈挖礦APP開發數字資產挖礦系統開發區塊鏈APP
- 安卓現盜號木馬威脅網銀盜刷安卓
- IPPswap丨DAPP質押挖礦/算力挖礦/LP挖礦系統開發詳情APP
- 支援雙系統挖礦,警惕新型挖礦病毒入侵