1、 2018 年 Windows 服务器挖矿木马总结报告 2019 年 1 月 11 日 摘要摘要 2018 年,挖矿木马已经成为 Windows 服务器遭遇的最严重的安全威胁之一。这一年, 在挖矿木马攻击趋势由爆发式增长逐渐转为平稳发展的同时,挖矿木马攻击技术提升明显, 恶意挖矿产业也趋于成熟, 恶意挖矿家族通过相互之间的合作使受害计算机和网络设备的价 值被更大程度压榨,合作带来的技术升级也给安全从业者带来更������大挑战。2019 年,挖矿木 马攻击将继续保持平稳,但黑产家族间的合作将更加普遍, “闷声发大财”可能是新一年挖 矿木马的主要目标。 关键词:关键词:挖矿木马、挖矿木马、Windows 服
2、务器、恶意攻击服务器、恶意攻击 目录 前言 . 1 第一章 2018 年攻击趋势概览 . 2 第二章 2018 年挖矿木马详解 . 5 一、挖矿木马攻击目标分布 . 5 二、挖矿木马使用漏洞一览 . 5 三、挖矿木马使用的攻击技术 . 6 (一)横向移动 . 6 (二)Living off the land . 7 (三)Fileless . 8 (四)代码混淆技术 . 9 四、挖矿木马收益分析及未来获利方式预测 . 10 第三章 2018 年挖矿木马家族典型 . ������14 一、WannaMine(GhostMiner、PowerGhost) . 14 二、Mykings(隐匿者) . 16 三、
3、“8220”组织 . 18 四、bulehero . 20 五、MassMiner . 22 六、ArcGISMiner . 24 第四章 总结 . 25 参考文章 . 26 1 前言前言 挖矿木马是一类通过入侵计算机系统并植入挖矿机赚取加密数字货币获利的木马, 被植 �������入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常使用等情况。 挖矿木马最早在 2012 年出现,并在 2017 年开始大量传播。 2018 年, 挖矿木马已经成为服务器遭遇的最严重的安全威胁之一。 360 互联网安全中心 对挖矿木马进行了深入研究分析和长期攻防对抗,在这一年,360 安全卫士平均每日拦截针
4、 对 Windows 服务器的挖矿木马攻击超过十万次,时刻守卫 Windows 服务器安全。本文将依 据我们掌握的数据, 总结2018年Wind���ows服务器遭遇的挖矿木马威胁, 并对2019年Windows 服务器下挖矿木马发展趋势进行分析评估(注:下文提到的“挖矿木马”均指针对 Windows 服务����器的挖矿木马) 。 2 第一章第一章 2018 年攻击趋势概览年攻击趋势概览 2018 年,Windows 服务器遭到的挖矿木马攻击呈现先扬后抑再扬的趋势。2018 年上半 年,针对 Windows 服务器的挖矿木马呈现稳步上升趋势,并在 2018 年 7 月左右达到顶峰。 之后挖矿木马攻击强度减
5、弱, 部分挖矿木马家族更新停滞, 直到 2018 年 12 月, WannaMine、 Mykings 等大型挖矿僵尸网络再次发起大规模攻击,针对 Windows 服务器的挖矿木马攻击 才再次出现上升趋势。2018 年针对 Windows 服务器的挖矿木马攻击趋势如图 1 所示。 图 1 2018 年针对 Windows 服�����务器的挖矿木马攻击趋势 在 2018 年初,挖矿木马攻击的上升趋势是 2017 年末挖矿木马爆发的延续。2017 年 12 月,“8220”组织使用当时还是 0day 状态的 Weblogic 反序列化漏洞(CVE�����-2017-10271)入侵 服务器并植入挖矿木马1,引起一
6、波不小的轰动。之后,更多黑产从业者将目光投向服务器 挖矿领域。据 360 互联网安全中心统计,2018 年上半年针对 Windows 服务器的挖矿木马家 族呈逐月上升趋势,最高时每月有 20 余个成规模的挖矿木马家族。 3 图 2 2018 年针对 Win��������dows 服务器的挖矿木马家族数量变化 不过到了 2018 年下半年, 挖矿攻击趋势有所下降, 挖矿木马家族数量也仅仅保持稳定, 不再呈现类似于上半年的增长趋势。出现这种情况的原因之一,在于 2018 年下半年披露的 Web 应用远程代码执行漏洞相比较上半年要少得多,挖矿木马缺少新的攻击入口;另外由 于虚拟货币的波动,������� 下半年针对服务器的挖矿
7、木马家族格局基������本定型, 没有新的大家族产生。 从图 2 可以看出 2018 年下半年成规模挖矿木马家族数量一直保持�������� 30 个左右的, 并未出现太 大增长。 直到 2018 年年底,各大挖矿木马家族才再次活跃,挖矿木马攻击在沉寂将近半年之后 再次呈现上升趋势。其中,“Mykings”家族、“8220”组织与“WannaMine”家族无疑是攻击趋 势上升的“主力”。 2018年, 这三个家族攻击计算机数量占据所有家族攻击计算机总量的87%, 到了 12 月,这个数值上升到了可怕的 92%。图 4 展示了 2018 年这三个家族攻击计算机数 量与其他家族攻击计算机数量总和的比较。 关于这几个活跃挖矿
8、家族的细节将在第三章提及。 4 图 3 2018 年“Mykings”、“8220”组织与“WannaMine”三个家族攻击计算机数量与其他家族对比 因此,2018 年成为针对 Windows 服务器挖矿木马最为鼎盛的一年,进入进入2019年年,如,如 果加密数字货币继续保持目前下滑状态,果加密数字�����货币继续保持目前下滑状态,挖矿木马可能挖矿木马可能也将随之降温也将随之降温,攻击者也会在更多,攻击者也会在更多 盈盈获利获利方式中寻求平衡。方式中寻求平衡。 5 第二章第二章 2018 年挖矿木马详解年挖矿木马详解 一、一、挖矿木马攻击目标分布挖矿木马攻击目标分布 针对 Windows 服务器的挖矿
9、木马除少部分利用 Windows 自身漏洞外,更多的是利������用搭 建在 Windows 平台上的 Web 应用或数据库的漏洞入侵服务������器。图 5 展示了 2018 年针对 Windows 服务器的挖矿木马攻击目标分布。其中,MsSQL 是挖矿木马的最大攻击目标, Weblogic、JBoss、Drupal、Tomcat 等 Web 应用也是挖矿木马重灾区。 图 4 2018 年针对 Windows 服务器挖矿木马攻击目标分布 二、二、挖矿木马使用漏洞一览挖矿木马使用漏洞一览 正所谓“工欲善其事,必先利其器”利用成功率高、操作简便、适用于大规模攻击的 漏洞往往受到攻击者青睐。 表1展示了2018年挖矿
10、木马入侵Windows服务器所使用的漏洞。 攻击者手里往往持有一个能够针对多个平台的漏洞武器库和一个保存有存在漏洞计算机�����的 IP 地址的列表,具有僵尸网络性质的挖矿木马会将这个漏洞武器库集成到挖矿木马中,使 挖矿木马实现“自力更生”,不具有僵尸网络性质的挖矿木马则会定期对列表中的 IP 地址发 起攻击。一些频繁更新的挖矿木马更是在漏洞 POC 公开后的极短时间内将其运用在实际攻 击中。 攻击平台攻击平台 漏洞编号漏洞编号 POCPOC 公开公开与首次出现利用时与首次出现利用时 间差间差 WeblogicWeblogic CVE-2017-3248 6 个月 CVE-2017-10271 0 天
11、(0day) CVE-2018-2628 10 天-20 天 CVE-2018-2894 5 个月 6 JBossJBoss CVE-2010-0738 未知 CVE-2017-12149 20 天-30 天 Struts2Struts2 CVE-2017-5638 1 个月 �����CVE-2017-9805 未知 CVE-2018-11776 4 个月 DrupalDrupal CVE-2018-7600 2 个月 CVE-2018-7602 2 个月 ThinkPHPThinkPHP -( ThinkPHPv5 GetShell) 10 天-15 天 PHPMyAdminPHPMyAdmin -
12、(弱口令爆破) - PHPStudyPHPStudy -(弱口令爆破) - Spring Data CommonsSpring Data Commons CVE-2018-1273 未知 TomcatTomcat -(弱口令爆破) - CVE-2017-12615 未知 MsSQLMsSQL -(弱口令爆破) - MySQLMySQL -(弱口令爆破) - Windows ServerWindows Server -(弱��������口令爆破) - CVE-2017-0143 2000XM�����R(矿池已 禁止查询该钱包) Mykings 41xDYg86Zug9dwbJ3ysuyWMF7R6Un2Ko84TNf
13、iCW7xghhbKZ V6jh8Q7hJoncnLayLVDwpzbPQPi62bvPqe6jJouHAsGNkg2 11MXR 47Tscy1QuJn1fxHiBRjWFtgHmvqkW71YZCQL33LeunfH4rsG EHx5UGTPdfXNJtMMATMz8bmaykGVuDFGWP3KyufBSdzxBb2 6000XMR(矿池已 禁止查询该钱包) 表 3 各挖矿家族钱����包地址的获利情况 不过某些规模较大的挖矿家族依然在寻求其他的获利方式以最大化利用其 控制的僵尸机器的价值。比如 2018 年 6 月,WannaMine 家族在一次更新中增加 了 DDoS 模块。该 DDoS 模
14、块代码风格、攻击手法与 WannaMine 家族之前的情况大 不相同, DDoS模块的载荷下载地址在2018年6月之前曾经被其他家族所使用 5。 不难推测,WannaMine 可能与其他黑产家族进行合作,摇身一变成为“军火商” 为其他黑产家族定制化恶意程序。 图 12 WannaMine 的 DDoS 模块中所连接的载荷下载地址 曾被其他家族使用 无独有偶,另一大挖矿家族 ������Mykings 也在 2018 年实现了身份的转换。2018 年 11 月,Mykings 与“暗云”木马家族合作,向受控计算机中植入“暗云”木 马,功能包括但不限于挖矿、锁上海品茶、暗刷和 DDoS 6。图 14 展示了 My
15、kings 僵 尸网络与“暗云”木马合作后的攻击流程。 13 图 13 Mykings 僵尸网络与“暗云”木马合作后的攻击流程 可以预测,2019 年将涌现更多这类的合作。挖矿木马家族除了往僵尸机中植入挖矿木 马获利外, 还会向其他黑产家族提供成熟的漏洞攻击武器与战术, 或者将已控制的僵尸机出 售给其他黑产家族。而类似“暗云”木马家族这类对黑产获利方式、获利渠道较为熟悉的家 族则购买挖矿木马家族�������出售的僵尸机, 或者与挖矿木马家族共同开发定制木马, 谋求挖矿以 外的利益最大化。 14 第三章第三章 2018 年挖矿木马家族年挖矿木马家族典型典型 一、一、Wan����naMine(GhostMiner7
16、、PowerGhost8) 图 14 WannaMine 家族典型的攻击流程 WannaMine 是 2018 年最活跃的挖矿木马家族之一, 该家族主要针对搭建 Weblogic 的服 务器,也攻击 PHPMyadmin、Drupal 等 Web 应用。当 WannaMine 入侵服务器之后,使用“永 恒之蓝”漏洞攻击武器或 Mimikatz 进行横向渗透,将挖矿木马植入位于同一局域网的其他 计算机中。WannaMine 是“无文件”攻击技术的集大成者,在其绝大多数版本中都通过 PowerShell 应用程序将挖矿木马加载到内存中执行,未有文件“落地” 。 W�������annaMine 更新频繁,不仅定
1����7、期更换载荷下载 URL,且一旦有新的 Web 应用漏洞 POC 公 15 开,WannaMine 就会在������第一时间将 POC 武器化。图 16 展示了 2018 年 WannaMine 家族的攻击 趋 势 ,年 初 的上 涨来 源于 WannaMine 家 族 第一 次 使用 Weblogic 反 序 列化 漏 洞 (CVE-2017-10271)对服务器进行攻击 9,而 2018 年底的突然上涨是 WannaMine 在更新停 滞数月之后再次活跃所造成的。不难推测,WannaMine 攻击者手中保存有存在漏洞的机器列 表,以实现在短时间内控制大量机器的目的。 图 15 WannaMine 家族
18、 2018 年攻击趋势 16 二、二、Mykings10(隐匿者(隐匿者11) 图 16 Mykings 家族典型的攻击流程 Mykings 家族最早可以追溯到 2014 年,在 2017 年被多家安全厂商披露,至今仍然处在 活跃状态中。 Mykings 家族拥有一套成熟的弱口令扫描与爆破体系, 能够爆破 MsSQL、 Telnet、 RDP、CCTV 等系统组件或设备,其爆破模块除了复用 Mirai 僵尸网络和 Masscan 扫描器的部 分代码外, 还集成了内容丰富�������的弱口令字典以及针对 MsSQL 的多种命令执行方式。 在获利方 式上,Mykings 家族不仅仅局限于通过挖矿获利,也通过与
19、其他黑产家族合作完成锁上海品茶、 DDoS 等工作。 2018 年,Mykings 家族攻击趋势较为稳定。2018 年上半年 Mykings 家族呈平稳上升趋 势, 年中时曾经对 MsSQL 发起一次大规模的爆破攻击, 在这次攻击中 Mykings 家族使用新的 载荷下载地址,并尝������试使用 “白利用”技术对抗杀毒软件,也是在这一波攻击之后,Mykings 17 家族控制的僵尸机数量大幅上涨 12。与 WannaMine 家族相似,Mykings 家族在 2018 年下半 年稍显沉寂,直到 2018 年 11 月与“暗云”家族合作后才有所改观。 图 17 Mykings 家族 2018 年攻击趋势 1
20、8 三、三、 “82208220”组织”组织 1313 图 18 “8220”组织典型的攻击流程 2017 年 11 月,一攻击组织使用当时还是 0day 状态的 Weblogic 反序列化漏洞 (CVE-2017-10271)入侵服务器植入挖矿木������马,这是第一次被公开披露的使用 0day 漏洞入 侵服务器植入挖矿木马的案例,而这个攻击组织就是“822�������0”组织。 “8220”组织传播的挖矿木马攻击流程十分简单,即通过 Web 应用漏洞入侵 Windows 服务器之后通过 PowerShell 下载挖矿木马执行,再通过计划任务在计算机中持续驻留。不 同于 WannaMine 家族和 Mykings
21、 家族, “8220”组织传播的挖矿木马并不具有蠕虫传播的功 能,但是该组织活跃时依然能够成功入侵大量 Windows 服务器。可以断定, “8220”组织手 中必然保存着一个存在漏洞的服务器 IP 地址的列表,使该组织能够定期对大量服务器实施 打击。 “8220” 组织在 201������8 年年初较为活跃, 主要原因在于 2018 年年初披露的 Web 应用漏洞 POC 数量相比较���������其他时候要多得多。 之后随着披露的 Web 应用漏洞 POC 数量的减少,“8220” 组织也相对沉寂,不过到了 2018 年 12 月末, “8220“组织使用包括 Github、bitbucket 在 内的代码托管平台
22、存储载荷,开启新一波服务器入侵攻势。 19 图 19 “8220”组织 2018 年攻击趋势 20 四、四、bulehero14 图 20 bulehero 家族典型的攻击流程 bulehero 家族最早出现于 2018 年初, 该家族最初并非使用 bulehero.in 这个域名作为 载荷下载 URL,而是直接使用 IP 地址 173.208.202.234。诞生初期的 bulehero 家族规模并 不大, 直到 2018 年 7 月, 该�������家族所构建的僵尸网络才逐渐成型。 2018 年 12 月, ThinkPHP v5 被曝存在远程代码执行漏洞,bule������hero 是第一个使用该漏洞入侵服务
23、器的家族,而这次入 侵也使 bulehero 家族控制的僵尸机器数量暴涨 15。 21 图 21 bulehero 家族 2018 年攻击趋势 22 五、五、MassMiner16 图 22 MassMiner 家族典型的攻击流程 MassMiner 家族以其使用 M��������asscan 扫描器得名。该家族主要活跃于 2018 年上半年,通 过 Web 应用漏洞和 MsSQL 弱口令������爆破入侵 Windows 服务器, 并将受害机器转化为傀儡机对互 联网中的计算机进行扫描和入侵,构建僵尸网络。 进入 2018 年下半年,MassMiner 几乎消失。有趣的是,MassMiner 所使用的门罗币钱包 地址
24、共收入将近 1000 个门罗币,这明显与 MassMiner 家族构建的僵尸网络规模不符。可见 MassMiner 家族必然还存在一个尚未被披露的分支, 这个分支为该家族带来绝大多数的收益。 23 图 23 MassMiner 家族 2018 年攻击趋势 24 六、六、ArcGISMiner 图 24 ArcGISMiner 家族典型的攻击流程 这是一个尚未有专门报告披露的挖矿木马家族,也是挖矿木马中的“异类” ArcGISMi��������ner 只在几个时间段攻击服务器,每次攻击持续不会超过 2 个小时,并且两次攻击 间隔最少为 6 天。ArcGISMiner 主要针对提供位置服务的 Arc������GIS、ex
25、Live 等 Web 应用,入 侵服务器后通过反射 dll 注入执行挖矿。 攻击时间攻击时间 载荷下载地址载荷下载地址 2018 年 5 月 17 日 hxxp:/121.41.33.131:8000 2018 年 6 月 6 日 hxxp:/121.41.33������.131:8000 2018 年 8 月 23 日 hxxp:/121.41.33.131:8000 2018 年 8 月 28 日 hxxp:/120.27.244.75:53 2018 年 10 月 19 日 �����hxxp:/121.41.33.131:8000 2018 年 11 月 1 日 hxxp:/ 表 4 ArcGISMine
26、r 攻击时间点与载荷下载地址 25 第四章第四章 总结总结 2018 年是挖矿木马由兴起到稳定发展的一年,这一年中有许多新家族涌现,也有许多 家族在竞争中消亡,整体攻击趋势转向平稳。毫无������疑问的是,在这一年挖矿木马变得更加成 熟,幕后操纵者也不再是“野路子”黑客,而是商业化程度极高的黑产组织。黑产家族间的 相互合作、各取所需,使受害计算机和网络设备的价值被更大程度压榨,合作带来的技术升 级也给安全从业者带来更大挑战。不难预测,未来挖矿木马攻击将保持平稳,但黑产家族间 的合作将更加普遍, “闷声发大财”可能是新一年挖矿木马的主要目标。 26 参考文章参考文章 1 2 3 4 E5%B8%81/cny 5 6 7 https:/blog.minerva- 8 9 10 ding-botnets/ 11 12 13 14 15 16 web-servers
sgpjbg002
工作日 8:30 - 17:30
会员动态:
报告分类
新质生产力
ChatGPT
新能源汽车
大模型
Sora
机器人
微短剧
芯片
薪酬
白皮书
低空经济
数据要素
创新药
人工智能
AI产业
信息科技
互联网
消费经济
汽车交通
电商零售
传媒娱乐
医药健康
投资金融
能源环境
地产建筑
传统产业
英文报告
其它
扫码登录
手机快捷登录
账号登录
