近期,加密貨幣市場可謂熱度十足。數字資產交易網站Crypto.com的一項調查顯示,截至2021年1月,全球已有1.06億加密貨幣使用者。各類數字加密貨幣價格暴漲是推動使用者數增長的主要驅動力。然而,使用者數增加的同時,數字貨幣也引來了黑產的垂涎,過去一年挖礦木馬上升趨勢顯著。
在此背景下,騰訊安全近日釋出《2020挖礦木馬年度報告》(以下簡稱《報告》),以騰訊安全產品獲取的安全事件告警工單資料為基礎,從攻擊來源、入侵特點、漏洞利用偏好、持久化執行手段等維度,剖析過去一年挖礦木馬的攻擊形勢,並對其演化趨勢作了預判。《報告》指出,利益驅使下,挖礦團伙對新漏洞武器的採用速度正在加快,挖礦團伙跟殭屍網路相互勾結的情況也日趨多見。
新活躍挖礦木馬家族偏好攻擊Linux伺服器
根據《報告》,DTLMiner、H2Miner和GuardMiner是2020年度排名前三的挖礦木馬家族,此外z0Miner、SystemdMiner、WachtdogMiner、8220Miner等家族也名列前茅。
入侵方式包括利用漏洞攻擊、爆破攻擊、殭屍網路渠道攻擊等。攻擊者透過遠端程式碼執行漏洞(RCE)可以直接向後臺伺服器遠端注入作業系統命令或惡意程式碼,從而控制後臺系統。WebLogic CVE-2019-2725是2020年挖礦木馬最常利用的RCE漏洞。此外,利用各種未授權訪問漏洞,也是挖礦木馬的主要攻擊路徑之一。
《報告》顯示,許多挖礦木馬在傳播時會針對系統的弱密碼進行爆破攻擊。根據騰訊安全2020年雲上安全報告提供的資料,預設使用者名稱、埠名被爆破攻擊的次數多達數十億次。常被挖礦木馬爆破攻擊的服務型別包括SSH、Mssql、Redis等。
利用殭屍網路渠道分發也成為挖礦木馬越來越偏好的傳播手段之一,甚至挖礦木馬自身也在組建殭屍網路。具備殭屍網路特徵的挖礦木馬TOP3仍是DTLMiner、H2Miner、GuardMiner這些老牌殭屍網路,而2020年新活躍的挖礦木馬家族以攻擊Linux伺服器居多。
針對雲上的攻擊增長較快,挖礦團伙和殭屍網路相互勾結
《報告》顯示,挖礦木馬針對雲上的攻擊增長較快。未來,眾多網路元件的安全漏洞仍會源源不斷湧現,而在利益的驅使下,挖礦團伙對新漏洞武器的採用速度也會越來越快。當前,舊的挖礦殭屍網路依然活躍,新的殭屍網路不斷出現,挖礦團伙跟殭屍網路相互勾結的情況日趨多見。複雜的安全態勢對政企機構提出了巨大挑戰。
挖礦木馬不僅會導致伺服器效能嚴重下降,影響伺服器業務系統的正常執行,還有可能讓伺服器淪為駭客控制的肉雞電腦,對其他目標發起攻擊。攻擊者入侵成功,很多情況下已獲得伺服器的完全許可權,只要攻擊者願意,就可能盜取伺服器資料,使受害企業面臨資訊洩露風險。更嚴重的是,攻擊者還有可能在伺服器安裝後門、服務和計劃任務,實現對失陷主機的穩固長期控制。
加強密碼、授權驗證、更新元件,三大措施抵禦挖礦木馬
針對日益猖獗的挖礦木馬攻擊,《報告》建議政企機構從多方面採取措施,保障伺服器安全。首先,對Linux伺服器的SSH服務、Windows SQL Server等常用主機訪問入口設定高強度的登入密碼,以對抗弱口令爆破攻擊。其次,對於Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應用增加授權驗證,對訪問物件進行控制。如果伺服器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經常曝出高危漏洞的伺服器元件,應及時將其更新到最新版本,並實時關注元件官方網站和各大安全廠商發出的安全公告,根據提示修復相關漏洞。
同時,騰訊安全還針對當前安全形勢打造了全面完整的解決方案,可幫助政企機構構建多層次的縱深防禦體系,全面阻斷挖礦木馬的攻擊威脅。騰訊主機安全系統和雲防火牆(CFW)支援查殺絕大多數挖礦木馬程式及其利用的RCE漏洞、未授權訪問漏洞,同時還支援弱口令爆破攻擊檢測,能夠提供雲上終端的防毒防毒、防入侵、漏洞管理、基線管理等服務。騰訊雲安全運營中心能夠為客戶提供漏洞情報、威脅發現、事件處置、基線合規,及洩露監測、風險可視等能力。政企機構可以透過部署相應安全產品阻斷挖礦木馬攻擊,築牢安全底座。