受比特幣暴漲影響,各類數字虛擬幣市值均有大幅增長。而虛擬貨幣繁榮背後,黑色數字產業鏈卻早已將方向轉向「挖礦」領域,挖礦木馬仍是企業伺服器被攻陷後植入的主要木馬類型。
近日,騰訊安全威脅情報中心態勢感知系統提供的數據結果顯示,針對雲主機的挖礦木馬樣本量明顯上漲,挖礦團夥控制的IP、Domain廣度以及雲上挖礦威脅數量也有較大程度上漲,挖礦木馬整體呈現成倍增長趨勢,給企業用戶雲主機安全帶來嚴重威脅。
虛擬幣暴漲背後 新老挖礦家族合力加大攻擊力度
受利益驅使,挖礦木馬視更多企業用戶為攻擊目標。從騰訊安全威脅情報中心態勢感知系統提供的數據可以看出,老牌挖礦家族目前十分活躍,並且會針對雲主機的系統和應用部署特性開發新的攻擊代碼。較為典型的就是SystemdMiner、H2Miner兩個挖礦團夥組合利用PostgreSQL的未授權訪問漏洞以及PostgreSQL提權代碼執行漏洞攻擊雲伺服器。這意味著,存在漏洞的伺服器可能同時被多個挖礦木馬團夥掃描入侵,如果不同挖礦木馬火力全開同時挖礦,伺服器就有徹底癱瘓的風險。
與此同時,新的挖礦團夥同樣層出不窮。其中,挖礦家族z0Miner在2020年11月2日被發現利用Weblogic未授權命令執行漏洞進行攻擊,當次攻擊是在Weblogic官方發布安全公告(2020.10.21)之後的15天之內發起,這也從側面反映出挖礦木馬團夥對於新漏洞武器的快速響應。
以上挖礦行為歸根結底是由於部分主機未對系統進行合理的訪問策略控制,導致其存在較多的安全缺陷,不法黑客團夥趁機大規模入侵伺服器並植入挖礦木馬,再利用被控主機系統的計算資源挖礦數字加密貨幣獲利。
攻擊手段再升級殭屍網絡助長挖礦木馬蔓延之勢
在以往的認知當中,清除惡意軟體就意味著主機安全威脅的消失。但今天的殭屍網絡不同於此,它由主機之外的組件組成,對它來說,消除惡意軟體和修復被感染的機器並不會令其被完全清除。一個殭屍網絡可以有多個惡意軟體家族,且多個惡意軟體家族可以是不同殭屍網絡的成員。因此,當殭屍網絡也加入挖礦陣營,企業用戶面臨的安全風險也隨之加大。
同時,經過長期演變,挖礦木馬團夥的「挖礦」手段也越發成熟。騰訊主機安全系統就曾經檢測到Prometei殭屍網絡和TeamTNT挖礦木馬針對雲伺服器的攻擊,其中TeamTNT挖礦木馬已經完成了變種更新,而Prometei殭屍網絡變種則是針對Linux系統進行攻擊,通過SSH弱口令爆破登陸伺服器,之後安裝殭屍木馬uplugplay控制雲主機並根據C2指令啟動挖礦程序。新變種對數據回傳和橫向移動的模塊代碼進行升級優化,表明黑產團夥正在繼續改進木馬功能模塊,有危害擴大跡象。
挖礦木馬作為目前主機面臨的最普遍威脅之一,是檢驗企業安全防禦機制、環境和技術能力水平的關鍵。如何有效應對此類安全威脅,並在此過程中促進企業網絡安全能力提升,應成為企業安全管理人員與網絡安全廠商的共同目標。
安全對抗加劇 阻斷源頭是根本
挖礦木馬成倍增長,高危漏洞頻繁爆出,當前安全形勢不容輕視。隨著安全對抗不斷升級,網絡攻擊將進一步加劇,特別是企業的業務上雲會導致攻擊面增加,使得安全環境更加複雜。為此,騰訊安全專家提醒企業提高對網絡攻擊的重視程度,加大對挖礦木馬的防護力度,構建更為牢固的信息安全防線。
騰訊安全專家建議,對於Linux伺服器SSH、Windows SQL Server等主機訪問入口設置高強度的登錄密碼;對於Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應用增加授權驗證,對訪問對象進行控制;如果伺服器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經常曝出安全漏洞的伺服器組件,應密切關注相應組件官方網站和各大安全廠商發布的安全公告,根據提示及時修復相關漏洞,將相關組件升級到最新版本。
同時,騰訊安全還針對當前安全形勢打造了一系列解決方案。騰訊主機安全系統和雲防火牆(CFW)都支持查殺相關流行挖礦木馬程序及其利用的RCE漏洞、未授權訪問漏洞、弱口令爆破攻擊檢測,能夠提供雲上終端的防毒殺毒、防入侵、漏洞管理、基線管理等;騰訊雲安全運營中心能夠為客戶提供漏洞情報、威脅發現、事件處置、基線合規、及洩漏監測、風險可視等能力。企業可以通過部署相應安全產品阻斷挖礦木馬攻擊,提升安全防禦能力。