[原創]雲上挖礦大資料:駭客最鍾愛門羅幣
2018年,區塊鏈專案在這一年上演著冰與火之歌,年初火爆的比特幣在一年時間內跌去八成。除了巨大的市場波動之外,區塊鏈領域本身的安全問題也逐漸凸顯,與之相關的社會化問題不斷顯現。
“勒索”、“盜竊”、“非法挖礦”是區塊鏈專案數字加密貨幣的三大安全威脅,其中雲主機使用者面臨的首要安全問題是非法挖礦。非法挖礦一般分為基於檔案的挖礦和基於瀏覽器的挖礦。由於雲主機使用者一般不使用瀏覽器訪問網頁,故基於瀏覽器的挖礦在公有云上並非較大的威脅。
反之,雲上基於木馬檔案的入侵挖礦事件層出不窮,駭客透過使用者雲主機上的通用安全問題入侵併進行挖礦來直接獲取利益,使得使用者 CPU 等資源被耗盡,正常業務受到影響。這些被駭客利用的通用問題往往是由於使用者缺乏安全意識而導致的。
騰訊安全雲鼎實驗室透過對雲上挖礦木馬的網路、檔案、程式關聯分析,在日常的安全對抗中,發現了大量駭客嘗試入侵挖礦的行為。對此類行為的特徵進行統計分析,將樣本、惡意行為加入相關安全產品的規則庫和演算法模型,並進行有效地遏制和打擊。本文對雲上入侵挖礦行為共性進行了統計分析,幫助使用者對挖礦行為進行防禦,從而更好地保障騰訊雲使用者安全。
一、幣種分析(挖礦目標分析)
對於雲上挖礦,首要的話題是駭客入侵挖礦的目標,即挖礦幣種。經過分析,雲上駭客入侵挖礦的行為均採用礦池挖礦的形式,其主要特徵是對礦池地址進行有規律地訪問。雲鼎實驗室透過對礦池地址進行統計和歸類,發現雲上入侵挖礦幣種主要是門羅幣(XMR)、氪石幣(XCN)和以利幣(ETN)。
究其原因,早期的幣種如比特幣、萊特幣等,其演算法設計中挖礦行為的本質是進行重複的計算工作,而 CPU 不擅長並行運算,每次最多執行十幾個任務,挖礦效率極低,駭客難以利用。相對而言, 顯示卡GPU 是數以千計的流處理器,一些頂級顯示卡挖礦效率是 CPU 的上百倍,所以傳統的挖礦方式一般採用顯示卡 GPU 挖礦。而門羅幣和以利幣等第二代虛擬貨幣採用了 CryptoNight 演算法,此種演算法特別針對 CPU 架構進行最佳化,運算過程中需要大量的暫存器,不再依賴於GPU挖礦,且也沒有對應的ASIC,於是駭客在入侵雲主機之後更多會選擇消耗機器 CPU 資源挖礦來直接獲得利益,所以門羅幣等幣種可在以CPU 為主的雲平臺上流行。
在過去的一年中,即使門羅幣價格一路下行,也擋不住駭客的熱情,進一步對挖礦行為趨勢的統計發現,公有云上門羅幣挖礦的行為數量不僅沒有下降,反而還在下半年持續攀升。
門羅幣是匿名貨幣,其地址、交易金額、交易時間、傳送方和接收方等資訊完全隱匿,難以查詢與追蹤。因為駭客植入挖礦程式是違法行為,使用門羅幣,就算發現主機被植入挖礦木馬,也無法透過挖礦的地址、交易等資訊查詢到駭客的行蹤。
雲鼎實驗室透過對數字貨幣的價格走勢和挖礦熱度進行關聯,嘗試對幣種價格與挖礦熱度進行分析,發現挖礦的熱度與幣種價格成正比關係(部分高價值幣,比如門羅幣,由於其本身持續存在的價值,不受此規律影響)。
對以利幣的價格走勢觀察發現,其從1月中旬開始就呈下降趨勢:
對以利幣對應礦池的訪問資料觀察發現,其訪問量也呈下降趨勢,下半年已經基本無人問津,如下圖:
所以整體觀察可以發現,駭客入侵挖礦選擇的幣種與幣種價值有關,對小幣種的選擇在一定程度上取決於其價格,挖礦熱度與幣種價格成正比;高價值的幣種由於其持續存在的價值,不受此規律影響。
由於雲主機的計算資源以CPU為主,駭客透過漏洞入侵使用者機器選擇的幣種具有統一的特性,這些幣種的演算法主要以 CryptoNight 為主,可以直接使用 CPU 挖礦,不依賴於 GPU 就產生較大的效益。
二、礦池分析
對駭客的挖礦方式進一步分析發現,雲上駭客入侵挖礦主要採用礦池挖礦的方式。
隨著數字貨幣的火熱,越來越多的人力和裝置投入到各種幣種的挖礦,導致各種幣種的全網運算水準呈指數級別上漲,單個裝置或者少量算力都難以獲得區塊獎勵;而礦池挖礦是一種將不同少量算力聯合運作的方式,以此提升獲得區塊獎勵的機率,再根據貢獻的算力佔比來分配獎勵。相比單獨挖礦,加入礦池可以獲得更穩定的收益,因此眾多的礦工均採用礦池挖礦,駭客亦如此。以下為雲上駭客入侵挖礦使用主要礦池列表:
透過對礦池地址進行歸類統計發現,駭客入侵後挖礦使用最多的礦池為minexmr.com。如下圖,該礦池算力在全網門羅幣礦池中排名第三。
門羅幣目前全網算力(Hashrate)約為460MH/s,xmr.nanopool.org 就達到99.79MH/s,提供了門羅幣20%以上的算力;pool.minexmr.com 達到62.78MH/s提供了門羅幣13.6%的算力; xmr.pool.minergate.com 的算力也達到26.50MH/s;這些均是雲上駭客入侵挖礦使用的主要礦池,意味著雲上存在漏洞而被入侵挖礦的機器就是其中的礦工,是這些算力的貢獻者。
而國內自建礦池也不甘示弱,皮皮蝦、一路賺錢、和魚池 (ppxxmr.com,yiluzhuanqian.com,f2pool.com) 受歡迎的程度分別排名第三、第四、第九。
雲鼎實驗室對挖礦常使用埠統計發現,5555、7777、3333等罕見埠常被用作礦池連線的埠,其中45700、45560則為 minergate.com 指定過的礦池埠。
駭客使用的特定礦池地址和埠就是其進行入侵挖礦惡意行為的特徵之一,正常的伺服器並不會對這些礦池地址和罕見埠進行連線訪問。透過對礦池地址和埠進行統計,使用者可以採用流量抓包等方式針對性地檢查自己的雲主機是否中招,甚至可以在不影響業務的前提下直接遮蔽對應礦池的訪問,也可在一定程度上起到防護的作用。
三、漏洞利用入侵與溯源分析
雲鼎實驗室對駭客入侵挖礦行為的攻擊方式進行統計分析,發現雲上入侵挖礦的行為中,駭客在選擇攻擊目標和入侵方式上也存在一定的共性。下圖為雲鼎實驗室對 xmr.pool.minergate.com 影響機器數量在一定時間內進行的分佈統計。
下圖為 cpuminer-multi.exe 礦機的新增情況,cpuminer-multi.exe 啟動時一般會請求上述的礦池地址。
對比以上兩張圖,可以發現在2018年4月15日和6月18日,cpuminer-multi.exe 礦機均出現了突增,對應時間點的 xmr.pool.minergate.com 礦池連線數量也出現了增加,而這些時間點基於雲鼎實驗室日常的事件和響應統計,均出現過大批次的通用安全問題的利用情況。
透過對歷史捕獲挖礦案例的分析發現,雲上挖礦通常是一種批次入侵方式,這種批次入侵的特性,使得駭客只能利用通用安全問題,比如系統漏洞、服務漏洞,最常見的是永恆之藍、Redis未授權訪問問題等。
雲上入侵挖礦行為的感染和挖礦方式主要分為兩種型別,其中一種型別是在病毒木馬主體中直接實現相關的掃描、利用、感染和挖礦功能,如下圖對某木馬逆向可見錢包地址和礦池地址直接硬編碼在程式中:
而另一種方式則是利用獨立的挖礦程式,這些挖礦程式一般是來自開源程式,比如 xmrig 專案 (https://github.com/xmrig/xmrig),這類挖礦一般會在入侵後先植入 bash 或者 VBScript 指令碼等,再透過指令碼實現對挖礦程式的下載或者其他掃描利用程式的下載,同時透過引數指定礦池和錢包地址,以下就是其中一個 VBScript 指令碼內容和啟動的挖礦程式:
其中主流方式是直接啟動挖礦程式進行挖礦。透過分析礦機常用的程式,也可以得到印證:
影響最大的 minerd 出自 https://github.com/pooler/cpuminer;Windows上的 cpuminer-multi.exe 礦機源於 https://github.com/tpruvot/cpuminer-multi;而 kworkers、kappre、xmrig.exe 等均編譯自 https://github.com/xmrig/xmrig。整合開源礦機挖礦只需要一條命令,使得黑產行業越來越多的使用此種形式來進行挖礦。
進一步嘗試統計駭客身份,針對部分資料進行程式的命令引數分析統計,提取其中挖礦錢包地址使用者名稱發現,雲上挖礦行為聚集狀態,大量被黑的雲主機礦機掌握在少量的駭客團伙/個人手中(其中郵箱是 minergate.com 的使用者名稱)。
總結駭客的入侵挖礦行為發現,存在通用安全漏洞(如永恆之藍)的雲主機成為駭客主要的入侵目標,駭客通常採用批次掃描通用安全問題併入侵植入挖礦程式的方式進行惡意挖礦。一些傳統企業、政府機構等行業的機器被入侵挖礦現象尤為顯著,主要原因是這些行業的雲主機由於維護人員缺乏安全意識,容易存在漏洞,甚至長期不登入雲主機,更是變向給駭客提供了長期礦機,這些存在安全問題的雲主機也是雲上挖礦等惡意行為肆意繁衍的溫床。所以提升安全意識,避免在雲主機中引入漏洞,發現漏洞後及時修復是防止被駭客入侵挖礦的唯一方法。
四、安全建議
基於以上雲鼎實驗室對雲上入侵挖礦主要特徵的總結,可以發現駭客入侵挖礦的主要目標是存在通用安全漏洞的機器,所以預防入侵挖礦的主要手段就是發現和修復漏洞:
1) 可以根據業務情況使用騰訊雲安全組或者伺服器自帶防火牆關閉非業務需要的埠,對於一些部署的服務,如無必要避免開放在外網上,即使因為業務需要開放,也應該限制訪問來源。
2) 關注作業系統和元件重大更新,如 WannaCry 傳播使用的永恆之藍漏洞對應的 MS17-010,及時更新補丁或者升級元件。
3) 為預防密碼暴力破解導致的入侵,建議更換預設的遠端登入埠,設定複雜的登入密碼,或者是放棄使用口令登入,轉而使用金鑰登入。
4) 自檢伺服器上部署的業務,有條件的話可以進行滲透測試,及早發現並修復業務漏洞,避免成為入侵點。
5) 使用騰訊云云鏡等安全產品,檢測發現伺服器上的安全漏洞並且及時修復。
另外,針對已經被入侵挖礦的情況,建議及時清理挖礦程式和惡意檔案,同時排查入侵點並修復,從根本上解決問題。
五、附錄
1、部分幣種和礦池列表
以下為雲上駭客入侵後挖礦的主要幣種和礦池列表:
2、部分挖礦程式樣本
a) 94fc39140ffafbd360a4cabc64b62077
b) f068b7be8685c91bddbb186f6fad7962
c) 367dc6e9c65bb0b1c0eb1a4798c5e55b
d) f594a17d37c70b0d18f33a3882e891a0
e) db87bd6bc3554e4d868b7176925dcff5
f) 5b0b4ccea8b6636966610edc346fe064
g) 8c9ab86572742d2323cee72ca2c0a3f2
h) 367dc6e9c65bb0b1c0eb1a4798c5e55b
i) 0d25d679b9845847b0c180715a52d766
3、部分錢包地址
a) 4A7sJwfkFrWB88V8NiJ2Fi3RwsWkR48PQ5hG2qXq6hu2U7e8fcVLJ81WtTzHGdNChsejcygkvUGpbiiUXAWXprWYHnBEvqC
b) 43RhXdrqL26QFnZyWyC53pcyaxKDQZent24CXGRLZ6196h6DkpzT43ZA2C1SpZGLDddAfr6hEhwqXg7F8dQpchFuDBz6Y6T
c) 47bvN8Z4UVq6kLjMFo4AF5UkwFbdzdhvoKNj1EN6iTYA2BvSDAsbGoXNMNeSfZajhz6xqQHHhPqbrRacnvELqrgyQYBqnXc
d) 42h3ELK47SGe4jiit28qVvTRAwpnT1R3DZ7BEnQm3Jxe9wykcvLVoFd5GqpqepwGRrCbkyKJG4kg1hssUztaVACVJGhpGAK
e) 4AGF7tHM5ZpR7FRndiPMk6MxR1nSA8HnAVd5pTxspDEcCRPknAnFAMAYpw8NmtbGFAeiakw6rxNpabQ2MyBKstBY8sTXaHr
本文作者:zhenyiguo、jaryzhou、youzuzhang @騰訊安全雲鼎實驗室
騰訊安全雲鼎實驗室關注雲主機與雲內流量的安全研究和安全運營。利用機器學習與大資料技術實時監控並分析各類風險資訊,幫助客戶抵禦高階可持續攻擊;聯合騰訊所有安全實驗室進行安全漏洞的研究,確保雲端計算平臺整體的安全性。相關能力透過騰訊雲開放出來,為使用者提供駭客入侵檢測和漏洞風險預警等服務,幫助企業解決伺服器安全問題。
相關文章
- [原創]雲上挖礦大資料:黑客最鍾愛門羅幣2019-02-18大資料黑客
- 挖礦病毒處理流程(門羅幣)2024-09-20
- 門羅挖礦JS2018-05-14JS
- 黑客利用病毒挖門羅幣 已獲利60餘萬2018-06-06黑客
- 黑客利用病毒挖門羅幣 已獲利 60 餘萬2018-06-07黑客
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理2018-05-17比特幣GPU
- 超3萬臺印度路由器遭挖礦軟體劫持:利用瀏覽器產出門羅幣2018-10-09路由器瀏覽器
- 比特幣如何挖礦(挖礦原理)-工作量證明2017-11-06比特幣
- 大資料暴露中國富豪的最愛2014-10-03大資料
- 企業CEO們最鍾愛的裝置和應用程式–資料資訊圖2012-11-18
- 鍾義信:人工智慧與大資料的創新研究2016-10-08人工智慧大資料
- [原創] 大資料測試2014-12-22大資料
- 駭客威脅英偉達解除挖礦鎖,否則洩露原始碼等機密資料2022-03-04原始碼
- 雲伺服器可以挖礦嗎 幣種成本收益尤為重要2019-04-18伺服器
- 比特幣挖礦難度再次難度下調—16.05%!比特幣挖礦正當時2020-11-05比特幣
- 谷歌聯合創始人強調加密貨幣挖礦的影響2018-05-02谷歌加密
- 比特幣挖礦與原始碼解析2021-12-20比特幣原始碼
- IPFS挖礦開發解決方案及IPFS礦機挖礦原理及最優規劃2019-12-23
- 小心Android加密貨幣雲挖礦服務!詐騙App已氾濫2021-07-12Android加密APP
- 比特幣挖礦龍頭企業位元大陸可能將出售加密貨幣部門2018-08-15比特幣加密
- NFT鏈上盲盒代幣質押挖礦系統開發模式2023-09-25模式
- DAPP代幣鏈上質押挖礦模式軟體開發案例2023-04-17APP模式
- [原創]淺談大資料測試2016-01-03大資料
- 雲算力挖礦app開發詳情丨雲算力挖礦系統開發(詳細及邏輯)丨雲算力挖礦原始碼2023-03-13APP原始碼
- 雲算力挖礦開發詳情版丨雲算力挖礦系統開發(開發邏輯)丨雲算力挖礦原始碼成品2023-03-14原始碼
- GMO Internet暫定八月推出加密貨幣雲挖礦服務2018-02-14加密
- 雲算力LP挖礦系統開發/雲算力挖礦模式開發技術模型2023-04-20模式模型
- DApp智慧合約鏈上盲盒代幣挖礦系統開發2023-09-19APP
- (現貨合約量化機器人)什麼是比特幣挖礦_比特幣挖礦機是什麼原理?2023-04-26機器人比特幣
- 有點意思:K8s被駭客劫持用來挖礦2018-12-07K8S
- 駭客是如何利用你的瀏覽器進行挖礦的?2018-05-31瀏覽器
- [原創]事件分析 | Linux watchdogs 感染性隱藏挖礦病毒入侵還原錄2020-09-03事件Linux
- 比特幣挖礦機——宅男掙錢神器2015-02-02比特幣
- 雲算力挖礦/系統開發技術/LP雲算力挖礦模式開發詳情2023-04-20模式
- 區塊鏈鼻祖比特幣之9:挖礦、礦池與比特幣的產生2018-04-27區塊鏈比特幣
- 雲挖礦質押理財存幣生息系統DAPP開發技術2023-04-10APP
- DAPP字母幣(雙幣)質押LP挖礦系統開發2023-05-19APP
- 人人都說的比特幣挖礦,到底是在挖什麼?2017-10-31比特幣