下载 | 2021年恶意挖矿威胁趋势分析报告
The following article is from 国家互联网应急中心CNCERT Author CNCERT
摘要
恶意挖矿是一种网络中常见的威胁类别,这种威胁具有良好的隐蔽性和非破坏性的特点,目的是感染并长久驻留在用户设备上,通过侵占设备计算资源挖掘加密货币,当攻击者侵占的设备越多,其获利就越多,因此有不少的黑客团体通过非法入侵从而实现牟利操作。
根据CNCERT和安恒信息威胁情报中心的监测数据,联合发布《2021年恶意挖矿威胁趋势分析报告》,该报告首先将介绍挖矿活动的相关介绍,对2021年第四季度我国主机挖矿态势进行简要分析,接着从流行恶意挖矿威胁、挖矿木马传播方式以及恶意挖矿趋势等方面向社会公众发布2021年恶意挖矿威胁趋势分析情况。
一、挖矿活动介绍
1.挖矿、恶意挖矿与加密货币
什么是加密货币?
什么是挖矿?
挖矿就像是求解一道数学题,最先破获数学答案就可以获得对应的数字货币奖励,“挖”指的是利用计算资源求解并验证数字猜想的过程,“矿”指的是某种数字货币,而协助破解数字答案的设备就称为“矿机”,运算能力越强的设备产出虚拟货币的时间就越短,而整个过程极其耗费计算资源和电力资源。而“矿池”简单来说就是挖矿的集合地,可以将全球的算力资源集合到一起进行挖矿,这样可以大大提高挖到“矿”的概率。
什么是恶意挖矿?
恶意挖矿是指在未经用户同意或知情的情况下使用设备(计算机、智能手机、平板电脑甚至服务器)挖掘加密货币,并以隐蔽、不易察觉的方式使用其设备的计算资源的行为,这个劫持系统运算资源挖掘加密货币的过程被称为“加密劫持”,也就是俗称的“恶意挖矿”。通常情况下,恶意挖矿与设备感染挖矿木马有关。
2.感染挖矿木马的迹象
3.恶意挖矿是如何工作的?
恶意挖矿通常分为基于浏览器的驱动式网页挖矿和二进制文件的恶意挖矿。
驱动式网页挖矿与恶意广告攻击类似,攻击者将一段 JavaScript 代码嵌入到目标网页中。当用户访问该页面时将执行JS脚本,进行加密货币挖掘,缺点是用户退出页面时将结束挖矿。
而二进制文件的恶意挖矿与网页挖矿不同,一旦计算机感染恶意挖矿程序,受害设备将开始全天候的虚拟货币挖矿,同时将恶意进程隐藏在后台,并启用多种持久手段在目标设备上驻留,直到威胁被清除为止。另外,这种恶意程序所针对的设备通常是具备高性能和强大计算资源的服务器资源,因为其可以更快地挖掘产出虚拟货币。
4.为什么会感染挖矿木马软件?
挖矿木马软件与其他恶意家族一样,可以借助多种传播方式进行感染,例如钓鱼邮件附件、植入网页挖矿的网站,或与来历不明的第三方应用进行捆绑下载传播,如激活工具、游戏外挂程序、盗版软件、浏览器拓展等程序将威胁下发到目标环境。
5.恶意挖矿的危害
● 系统运行速度变慢
● 增加处理器使用率
● 设备过热
● 增加电力消耗
二、2021年第四季度我国主机挖矿态势分析
1.2021年第四季度活跃挖矿主机分析
如下图所示,在监测发现的1072万个活跃挖矿主机IP中,78.26%为境内IP。
图:挖矿主机IP境内外分布
如下图所示,在境内的挖矿主机IP中,归属于广东、江苏、浙江等省份的挖矿主机IP较多,分别占12.57%、11.72%、7.6%。
图:境内挖矿主机IP按省份分布
此外,电信、联通等运营商的挖矿主机IP较多。电信运营商的境内挖矿主机IP有546万个,占本季度挖矿主机IP数量的65.04%,联通有189万个,占22.11%。
图:境内挖矿主机IP所属运营商分布
21.56%的境外挖矿主机IP中,来自伊朗、俄罗斯、印度等国家的IP较多,分别占25.26%、12.96%、7.22%。
表:活跃挖矿主机IP Top20
IP* | 地理位置 | 与矿池连接次数 |
106.**.**.19 | 上海 | 2300781183 |
120.**.**.167 | 广东 | 1618222028 |
117.**.**.207 | 河南 | 994100508 |
120.**.**.229 | 广东 | 944055649 |
193.**.**.173 | 广东 | 836239278 |
122.**.**.116 | 河南 | 506139247 |
182.**.**.158 | 四川 | 500180722 |
47.**.**.17 | 广东 | 436102159 |
139.**.**.147 | 四川 | 398089749 |
193. **.**.254 | 俄罗斯 | 394709478 |
111.**.**.51 | 广东 | 384548560 |
58.**.**.106 | 湖北 | 378751989 |
182.**.**1.11 | 广东 | 373948017 |
120.**.**.57 | 广东 | 370649924 |
8.**.**.43 | 中国 | 345367736 |
120.**.**.58 | 广东 | 338583049 |
47.**.**.18 | 广东 | 323556945 |
58.**.**.98 | 北京 | 316176652 |
49.**.**.135 | 北京 | 309107681 |
113.**.**.157 | 湖北 | 303368231 |
585万个矿池服务IP中,26.10%为境内IP。
图:矿池IP境内外分布
境内矿池以广东、北京、江苏的服务IP较多,分别占17.40%、17.33%、9.93%。
图:境内矿池IP按省份分布
此外,电信、联通等运营商的境内矿池IP较多。其中IP地址运营商为电信的境内矿池IP约有74万个,占2021年第四季度所有矿池服务IP的48.67%,其次为联通和阿里云,约有26万个和17万个,分别占17.07%、11.25%。
图:境内矿池IP所属运营商分布
在71%的境外矿池服务IP中,美国的矿池IP数量最多,共监测发现约130万个IP,占本季度所有活跃矿池IP数量的31.26%、其次为法国和日本,IP数量是194817个、193995个,分别占本季度矿池IP总数的4.69%、4.67%。
IP | 地理位置 | 通联次数 | 历史解析域名 |
138.68.44.84 | 美国 | 1568961 | host.voiceusit.com |
ait.pilutce.com | |||
157.245.77.105 | 美国 | 1562371 | host.voiceusit.com |
repomaa.3cx.fi | |||
ait.pilutce.com | |||
96.126.117.129 | 美国 | 1560309 | ait.pilutce.com |
host.voiceusit.com | |||
194.195.223.249 | 德国 | 1183541 | sim.miniast.com |
cake.pilutce.com | |||
o.auntions.com | |||
bit.pilutce.com | |||
tie.presuant.com | |||
iot.tenchier.com | |||
iron.tenchier.com | |||
coco.miniast.com | |||
139.177.196.162 | 美国 | 1180841 | bit.pilutce.com |
iron.tenchier.com | |||
coco.miniast.com | |||
tie.presuant.com | |||
aliyuncs.com | |||
cake.pilutce.com | |||
o.auntions.com | |||
iot.tenchier.com | |||
sim.miniast.com | |||
139.59.109.18 | 新加坡 | 1116214 | iron.tenchier.com |
bit.pilutce.com | |||
sim.miniast.com | |||
tie.presuant.com | |||
iot.tenchier.com | |||
coco.miniast.com | |||
cake.pilutce.com | |||
o.auntions.com | |||
139.59.182.191 | 英国 | 923187 | rim.miniast.com |
chrisbuckle.com | |||
wgc.witmone.com | |||
159.89.161.1 | 印度 | 922308 | wgc.witmone.com |
rim.miniast.com | |||
159.203.63.223 | 加拿大 | 724273 | hot.tenchier.com |
tech.tositive.com | |||
109.74.196.239 | 英国 | 713608 | hot.tenchier.com |
tech.tositive.com | |||
134.209.40.198 | 美国 | 707798 | hot.tenchier.com |
tech.tositive.com | |||
199.247.27.41 | 荷兰- | 464821 | randomx.xmrig.com |
donate.ssl.xmrig.com | |||
donate.v2.xmrig.com | |||
178.128.242.134 | 荷兰- | 452515 | randomx.xmrig.com |
donate.v2.xmrig.com | |||
donate.ssl.xmrig.com | |||
randomx-benchmark.xmrig.com | |||
203.107.32.162 | 中国 | 409164 | dcr.vvpool.com |
wbtc.vvpool.com | |||
backup-zec.f2pool.com | |||
bch.vvpool.com | |||
gf.f2pool.com | |||
raven.f2pool.com | |||
vip-cmcc.f2pool.com | |||
btc.f2pool.com | |||
stratum.fkpool.cn | |||
clo.vvpool.com | |||
eth-backup.f2pool.com | |||
dcr.f2pool.com | |||
vip-chengdu.f2pool.com | |||
eth.f2pool.com | |||
stratum.f2pool.com | |||
sc.f2pool.com | |||
backup-eth.f2pool.com | |||
btc.sr.f2pool.com | |||
sha256d.f2pool.com | |||
xmr.f2pool.com | |||
mona.f2pool.com | |||
btm.f2pool.com | |||
btcchenzhuang-nm.f2pool.com | |||
bcx.vvpool.com | |||
btn.vvpool.com | |||
btcksy-qh.f2pool.com | |||
50.116.34.212 | 美国 | 332654 | wgc.witmone.com |
rim.miniast.com | |||
106.54.138.202 | 中国 | 280037 | other.xmrpool.ru |
47.241.198.198 | 美国 | 256814 | mine.c3pool.com |
geo.c3pool.com | |||
rvn-asia.c3pool.com | |||
47.241.208.216 | 美国 | 247972 | sg.c3pool.com |
geo.c3pool.com | |||
rvn-asia.c3pool.com | |||
asia.c3pool.com | |||
mine.c3pool.com | |||
39.107.236.106 | 中国 | 230999 | cn-bch.ss.btc.com |
cn-beta.ss.btc.com | |||
cn-bcc.ss.btc.com | |||
cn-bsv.ss.btc.com | |||
cn.ss.btc.com | |||
39.102.48.53 | 中国 | 227140 | cn-bch.ss.btc.com |
cn.ss.btc.com | |||
cn-bcc.ss.btc.com | |||
cn-bsv.ss.btc.com |
三、流行挖矿威胁浅析
下面介绍一些常见的黑产挖矿团伙和流行挖矿木马家族。
1.挖矿团伙
TeamTNT组织
TeamTNT组织使用的部分导入工具包括:Masscan和端口扫描程序,以搜索新的感染目标;用于直接从内存中执行bot的libprocesshider;适用于多种Web操作系统的开源工具Lazagne,可用于从众多应用程序中收集存储的凭据。
2021年5月,研究人员发现TeamTNT黑客组织以Kubernetes集群为目标,攻击了近50000个IP,且大部分IP来自中国和美国。
自2021年7月25日以来,TeamTNT组织运行了一项针对多个操作系统和应用程序的新活动“Chimaera”,该组织使用新的开源工具从受感染的机器上窃取用户名和密码。活动中使用多个shell批处理脚本、新的开源工具、加密货币矿工、TeamTNT IRC bot等,在全球范围内引起了数千起感染。
TeamTNT主要使用扫描器来寻找攻击目标,在锁定攻击目标后,选取payload投递,入侵成功后部署挖矿和横向攻击工具,整体流程见下图:
H2Miner组织
H2Miner组织掌握的漏洞主要是RCE漏洞,包括:
8220挖矿团伙
该团伙利用的漏洞包括:
匿影挖矿团伙
该组织首先利用永恒之蓝漏洞入侵目标服务器,然后分别创建任务计划执行不同操作。任务计划程序会通过执行Powershell脚本,从公共图床下载加密载荷。然后分别执行挖矿、窃密和勒索操作。最后通过漏洞扫描程序以同样的方式感染其余内网用户。
2.挖矿木马家族
Crackonosh
Crackonosh通过流行游戏软件的非法破解副本传播,安装后,恶意转件会搜索并禁用流行的防病毒程序,卸载所有安全软件并禁用 Windows 更新。Crackonos在后台运行的加密货币挖掘程序会在受害者不知情的情况下减慢他们的计算机速度,受害者的计算机会由于过度使用而磨损组件,同时受害者的电费也会增加。
Lemon Duck
LemonDuck 最初是由针对“驱动人生”发起的供应链攻击演变而来的,攻击者利用“驱动人生”作为跳板,使蠕虫尽可能广泛地传播。Lemon Duck在短时间内快速迭代更新,一直在积极更新新的漏洞利用和混淆技巧,它还通过其无文件矿工来逃避检测,现在已成为技术最高明的挖矿软件之一。
自2020年8月起,Lemon Duck的感染传播速度疯狂增长,这可能得以与它使用了几乎所有可用媒介进行传播,例如热门主题钓鱼电子邮件、漏洞利用、无文件powershell模块和暴力破解等。
Lemon Duck感染目标除了Windows平台之外,还包括运行嵌入式 Windows 7 系统的 IoT 设备、智能电视,智能扫描仪,工业 AGV 等,该组织还在近期新增了针对 Linux 设备的攻击模块。受到感染的机器中绝大部分来自于政府与企业。值得注意的是“小黄鸭(LemonDuck)”发动的攻击中会上传十分详尽的系统环境信息,这意味着为其筛选“特定目标”进行下一步定向攻击做好了准备。
Sysrv-hello
Sysrv-hello僵尸网络使用的是带有矿工和蠕虫(传播器)模块的多组件体系结构,后来升级为使用单个二进制文件,能够将挖矿恶意软件自动传播到其他设备。Sysrv-hello的传播器组件能够主动扫描互联网,寻找更易受攻击的系统,利用其可远程执行恶意代码的漏洞,将受害设备添加到Monero采矿机器人大军中。
sysrvhello是一种综合性僵尸网络,具有以下几个特点:
GuardMiner
● Elasticsearch RCE漏洞 CVE-2015-1427、CVE-2014-3120
四、挖矿木马的常见感染传播方式
1.钓鱼邮件传播
2.通过非法网页进行传播
3.软件捆绑下载传播
4.通过僵尸网络进行分发
5.通过漏洞传播
在众多类型的漏洞当中,最受挖矿木马欢迎的是Web应用漏洞,因为其适用性广,利用代码编写简单,可快速配备到各种攻击组件当中,例如最常见的Weblogic反序列化漏洞和redis未授权访问漏洞。另外,一些技术能力较强的僵尸网络则会在其攻击模块中集成多个漏洞探测模块,例如永恒之蓝、weblogic、MySQL、ThinkPHP、redis、Confluence等漏洞。
以下表格是2021年常被挖矿木马利用的漏洞列表。
漏洞类型 | 漏洞编号 | 相关的恶意挖矿攻击家族 |
EternalBlue(永恒之蓝)系列漏洞 | CVE-2017-0143CVE-2017-0144CVE-2017-0145CVE-2017-0146CVE-2017-0148、ms17-010 | MsraMiner,WannaMiner,CoinMiner、bulehero |
Weblogicweb服务漏洞 | MinerGuard | |
WebLogicFusion中间件远程代码执行漏洞 | CVE-2019-2725 | bulehero |
WebLogicXMLDecoder反序列化漏洞 | CVE-2017-10271 | RunMiner、MinerGuard、ibus |
WeblogicRCE漏洞 | CVE-2020-14882 | LemonDuck、 |
z0Miner、kworkerds | ||
Weblogic任意文件上传漏洞 | CVE-2018-2894 | ibus |
ConfluenceRCE漏洞 | CVE-2021-26084 | kerberods、z0Miner、iducker、h2miner、kwroksminer、8220Miner、mirai、BillGates |
Confluence 未授权RCE漏洞 | CVE-2019-3396 | H2Miner |
ThinkPHPweb服务漏洞 | bulehero、MinerGuard、ibus | |
ThinkPHP5 漏洞 | CNVD-2018-24942 | buleHero |
ThinkPHP5.XRCE漏洞 | H2Miner、GuardMiner | |
PHPUnitRCE漏洞 | CVE-2017-9841 | H2Miner |
ElasticSearchRCE漏洞 | CVE-2015-1427 | MinerGuard |
ElasticSearch未授权访问漏洞 | CVE-2014-3120 | MinerGuard、CryptoSink |
HadoopYarn未授权访问漏洞 | systemdMiner、8220Miner、MinerGuard | |
Docker未授权访问漏洞等多个web服务漏洞 | 8220Miner、TeamTNT | |
SpringRCE漏洞 | CVE-2018-1273 | MinerGuard |
java反序列化漏洞 | ibus | |
JenkinsRCE漏洞 | CVE-2019-1003000 | ImposterMiner |
redis未授权访问漏洞 | ibus、MinerGuard、H2Miner | |
SSH免密登录漏洞 | SysupdataMiner | |
SupervisordRCE漏洞 | CVE-2017-11610 | H2Miner |
Drupal框架漏洞 | CVE-2018-7600 | MinerGuard |
Struts2RCE漏洞 | CVE-2017-5638 | BuleHero |
Redis4.x/5.x 主从同步命令执行漏洞 | CNVD-2019-21763 | H2Miner |
Windows打印机远程代码执行漏洞PrintNightmare | CVE-2021-34527 | 紫狐 |
文件管理器插件中的文件上传漏洞 | CVE-2020-25213 | H2miner |
AtlassianJira未授权模板注入漏洞 | CVE-2019-11581 | WatchBog |
Exim邮件服务器RCE漏洞 | CVE-2019-10149 | WatchBog |
ApacheSolrDeserializationRCE漏洞 | CVE-2019-0192 | WatchBog |
Windows内核漏洞BlueKeep | CVE-2019-0708 | WatchBog |
SaltStackRCE漏洞 | CVE-2020-11651、CVE-2020-11652 | H2Miner |
6.利用软件供应链感染传播
7.通过浏览器插件传播
谷歌浏览器Chrome具备丰富的插件功能,有来自世界各地开发者提供的丰富的扩展程序或应用,极大地方便了用户的使用,但由于浏览器插件的安全性一直没有引起重视,导致滥用浏览器插件进行恶意活动的安全事件仍在不断发生。
8.容器镜像污染
由于攻击者可以制造多个恶意镜像扩大污染源,导致实际上的感染和影响范围比预想的还要广泛,例如专门针对云容器的TNTteam黑产挖矿团伙就经常使用这种方法作为其感染手段。这种容器镜像污染的攻击方式所造成的下载传播量通常能达数十万,甚至数百万以上,给云原生环境造成严重的污染。
9.利用移动存储介质传播
五、恶意挖矿趋势解析
1.虚拟货币价格激增,通过各种手段提高挖掘效率
这个挖矿木马通过特定型号的寄存器(MSR)驱动程序来禁用硬件预取器。硬件预取器是一种新的技术,处理器会根据内核过去的访问行为来预取数据,处理器(CPU)通过使用硬件预取器,将指令从主内存存储到二级缓存中。然而,在多核处理器上,使用硬件预取会造成功能受损,并导致系统性能整体下降。XMRig需要依赖机器的处理能力来挖掘Monero币,禁用MSR能够有效阻止系统性能下降,从而提升挖矿效率。
文中描述的这种挖矿方式虽然不会对设备造成损害,但不排除攻击者未来可能会为了提升挖矿效率而做出一些加速设备损耗的操作,例如解除硬件性能限制,超频使用等。
2.黑吃黑,黑产组织争夺挖矿资源
1.配置IP筛选器,阻止竞争对手向指定矿池IP地址发起TCP连接;
2.删除竞争对手的挖矿进程,并将该进程和其使用的IP添加到黑名单,禁止其进程运行或发起网络连接;
3.修复访问权限漏洞,防止系统感染其他恶意软件;
4.删除竞争对手添加的驻留手段,例如注册表、启动服务、计划任务等。
其中,比较广为人知的是Pacha和Rocke黑产组织的云上资源争夺事件,这两个组织所使用的技术、战术、方法都极其相似,这种同行之间相互竞争的现象有助于提高操作员的技能水平。Pacha组织还特别关注识别和删除Rocke的挖矿活动,以试图清除对方,这两个组织都是通过进行大规模扫描来寻找开放或未打补丁的Linux服务器和云端服务,然后使用多功能恶意软件感染目标设备。Pacha还具有一个IP黑名单列表,该名单中的IP是Rocke组织过去在挖矿活动中所使用的网域。当Pacha感染受害系统后,将自动移除Rocke挖矿程序,而且受感染系统无法再连接黑名单中的网域。虽然Rocke组织也使用从受感染的服务器上清除竞争对手的手法,但与Pacha组织相比,规模相对较小。
这种黑吃黑争夺设备资源的情况在物联网上也经常发生,因为设备资源数量是有限的,也经常会发生多个挖矿家族感染同一台设备的情况,这种时候只有技术高明的一方才能存活下来,因为你不清除对方,就会被对方清除,这种同行竞争的情况也逐渐成为了一种趋势。
3.利用工业控制系统进行挖矿
在2017年起,研究人员就发现针对工业控制系统的挖矿攻击有所上升,这类攻击会对工业企业的计算机造成大量负载,由此对企业ICS组件的运行产生负面影响并威胁其稳定性,从而构成更大的威胁。而在2018年的另一个工业系统进行恶意挖矿的事件中,犯罪分子还在欧洲自来水公司控制系统中进行加密劫持挖矿,该活动降低了自来水公司管理公共设施的能力。攻击者还使用了检测和禁用标记自身的安全防御工具操作,这相当于被其他类型的网络威胁开启了大门,导致原本就感染挖矿程序的系统更加脆弱。
六、防范建议
最常见的方法是在常用的浏览器中阻止 JavaScript脚本运行。虽然该功能可以有效阻止路过式网页挖矿攻击,但同样也会阻止用户使用浏览器插件功能,另外一种方法是安装专门用于防范浏览器挖矿的拓展程序,例如“No Coin”和“MinerBlock”,两者都有适用于 Chrome、Firefox 和 Opera 的扩展程序。
另一种防范本地系统感染恶意挖矿的方法与常规恶意软件基本相同:
1.提高个人安全意识,从正常的应用市场和渠道下载安装应用程序,不轻易安装来历不明的第三方软件,或随意点击和访问一些具有诱导性质的不良网页;
2.安装终端安全防护并定时进行全盘查杀;
七、总结
随着数字化技术的不断发展,网络威胁对于大众的影响越来越与现实紧密相连,虽然恶意挖矿活动所造成的破坏性远低于勒索软件等恶意软件,但是其造成的广泛影响和感染数量远超于其他恶意软件,是一种不容小觑的网络威胁。
国家计算机网络应急技术处理协调中心(英文简称CNCERT/CC),成立于2001年8月,为非政府非盈利的网络安全技术中心,是中国计算机网络应急处理体系中的牵头单位。作为国家级应急中心,CNCERT/CC的主要职责是:按照“积极预防、及时发现、快速响应、力保恢复”的方针,开展互联网网络安全事件的预防、发现、预警和协调处置等工作,运行和管理国家信息安全漏洞共享平台(CNVD),维护公共互联网安全,保障关键信息基础设施的安全运行。
联系方式:
电子邮件:cncert@cert.org.cn
电话:+8610 82990999,82991000(EN)
传真:+8610 82990399
关于安恒信息
安恒信息成立于2007年,于2019年登陆科创板,是2020年信息技术产业最具成长上市公司。作为行业领导者,已形成覆盖网络信息安全全生命周期的产品体系,是国家级核心安保单位,参与了近乎全部国家重大活动网络安保,实现零失误。
网址:www.dbappsecurity.com.cn
客户服务热线:400 6059 110
文章来源:国家互联网应急中心CNCERT
推进国密改造,安恒信息助力密评“大考”
2022-05-07
农信系统网络安全竞赛正式开始
2022-05-06
「十五安全+」携手明度智云,赋能医药制造向高端化迈进
2022-05-05
点击下方“阅读原文”进入官网下载完整报告