十張圖看懂Windows平臺挖礦木馬攻擊趨勢
前言
如今,“挖礦木馬”成為安全行業的一個熱點話題。這種興起於2012年的安全威脅,從2017年下半年開始進入普通網民的視野。圖1展示了2018年上半年遭到挖礦木馬攻擊的計算機數量變化趨勢(以月為計算單位),挖礦木馬在2018年上半年依舊保持迅猛的發展速度,我們將通過360網際網路安全中心的監控資料,展示挖礦木馬在2018年下半年的攻擊趨勢。(注:本次提到的挖礦木馬攻擊,不包括網頁挖礦攻擊)
圖1 2018年上半年每月遭到挖礦木馬攻擊的計算機數量變化趨勢
Windows平臺挖礦木馬呈緩慢下降趨勢
圖2展示了2018年下半年以來每日遭到挖礦木馬攻擊的計算機數量。可以看出,到8月中旬達到最高峰之後,攻擊開始呈現緩慢下降趨勢,10月後資料基本穩定。
圖2 2018年下半年每日遭到挖礦木馬攻擊的計算機數量
造成挖礦木馬攻擊數量下降的直接原因是多個大型挖礦殭屍網路在8月至10月之間更新緩慢甚至停止更新。以Mykings挖礦殭屍網路為例,Mykings入侵時所使用的Download URL在8月、9月兩個月未進行更新,這也導致在這兩個月中Mykings的網路擴建基本停滯。
圖3 Mykings殭屍網路2018年下半年所使用的Download URL列表
關注安全動態的,不只有安全行業人員,更有攻擊者!
而造成挖礦木馬攻擊數量下降另一個原因可能是2018年下半年公開的影響Web應用的漏洞POC相比較上半年和去年要少得多。表1展示了2018年以來較常被挖礦木馬家族利用的Web應用漏洞,這些漏洞適用性廣、漏洞利用程式碼編寫簡單,因此倍受挖礦木馬家族喜愛。但這些漏洞的POC(漏洞概念驗證)幾乎都是2018年5月之前公開的,5月之後就極少有類似的POC被公開,也就很難被挖礦木馬家族所使用。沒有新的漏洞利用加入將導致挖礦木馬家族更新速度減緩,而老漏洞被修補也會使得挖礦殭屍網路“入不敷出”。
| 漏洞編號 | 影響平臺 | POC公開時間 |
|---|---|---|
| CVE-2017-3248 | Weblogic | 2017年6月 |
| CVE-2017-10271 | Weblogic | 2017年12月 |
| CVE-2018-2628 | Weblogic | 2018年4月 |
| CVE-2018-2894 | Weblogic | 2018年7月 |
| CVE-2017-12149 | JBoss | 2017年12月 |
| CVE-2017-5638 | Struts | 2017年3月 |
| CVE-2018-7600 | Drupal | 2018年4月 |
| CVE-2018-7602 | Drupal | 2018年4月 |
| CVE-2018-1273 | Spring Data Commons | 2018年4月 |
表1 2018年被挖礦木馬所利用的Web應用漏洞
Web應用漏洞POC的公開對挖礦木馬的影響可以由圖4清晰地展現。圖4展示了WannaMine挖礦家族2018年4月到2018年5月每星期攻擊的計算機數量變化趨勢。由圖中可見WannaMine家族攻擊計算機數量在4月中旬後開始飆升,而Weblogic反序列化漏洞CVE-2018-2628的POC也正是在這個時候被公開。果不其然,國外安全廠商MorphusLabs發現了WannaMine家族在CVE-2018-2628的相關POC公開的數小時之後開始利用該漏洞進行攻擊( slabs.com/weblogic-exploited-in-the-wild-again-8b2047d1a9c4" rel="nofollow,noindex" target="_blank"> https://morphuslabs.com/weblogic-exploited-in-the-wild-again-8b2047d1a9c4 ),這也和圖中所示的攻擊趨勢吻合。可見,每當有新的適用於挖礦木馬家族入侵的Web應用漏洞POC被公開,必然會帶來一波巨大的挖礦木馬攻勢。
圖4 WannaMine挖礦家族2018年4月-5月攻擊趨勢
有趣的是,加密貨幣的價格與挖礦木馬的攻擊趨勢並無明顯關聯。以絕大多數挖礦木馬選擇的幣種門羅幣為例。如圖5所示,門羅幣兌美元價格在2017年底達到頂峰,從2018年開始快速跌落。但這並沒有阻止挖礦木馬的爆發,在這段時間挖礦木馬反而發展迅猛。而8月之後,門羅幣價格有些許回暖,挖礦木馬攻擊趨勢反而緩慢下降。可見,加密貨幣價格不是決定挖礦木馬發展趨勢的主要原因。
圖5 門羅幣價格2017年11月-2018年11月變化趨勢
挖礦木馬在攻擊形式上與其他木馬並未有太大區別,多是通過漏洞利用、弱口令爆破、非法應用傳播等其他木馬也使用的手段完成攻擊。挖礦木馬與其他木馬的區別在於獲利方式,加密貨幣的出現為木馬提供一種簡單粗暴的獲利方式,即使加密貨幣價格下跌,其收益依然不低於DDoS服務、加密勒索等其他獲利方式。此外,挖礦木馬的獲利方式相比較其他獲利方式在風險成本上也更可控——攻擊不會造成太大動靜、法律風險也相對較低。因此攻擊者更看重的可能是挖礦木馬的這些優點,而非加密貨幣的價格。
針對Windows伺服器的挖礦木馬仍佔據大多數,針對PC的挖礦木馬也不容小視
Windows伺服器一直是挖礦木馬的重災區,圖6展示了針對Windows伺服器的挖礦木馬與針對PC的挖礦木馬在數量上的對比,針對Windows伺服器的挖礦木馬佔比超過了80%。攻擊者將目光集中於Windows伺服器的主要原因是伺服器無論在效能上或者是在使用者接觸頻率上對於攻擊者而言都是極度友好的——伺服器的效能大部分要遠高於個人電腦,並且伺服器大多是“疏於看管”的,挖礦木馬可以長期潛伏。
圖6 針對Windows伺服器的挖礦木馬與針對PC的挖礦木馬數量對比
不過這並不代表針對PC的挖礦木馬可以被忽視。針對PC的挖礦木馬家族OnesystemCareMiner、HiddenShell/">PowerShellMiner、飛熊礦業等家族仍然在活躍中。圖7展示了針對PC的挖礦木馬的主要傳播渠道分佈,其中網頁掛馬和破解軟體是這類挖礦木馬最為常見的傳播渠道。
圖7 針對PC的挖礦木馬主要傳播渠道分佈
殭屍網路家族控制大部分資源,挖礦家族之間競爭激烈
在針對Windows伺服器的挖礦木馬家族中,具有殭屍網路性質的家族控制較多的裝置,而不具備殭屍網路性質的家族只能在每次新的漏洞POC公開之後的一段時間發起一次或幾次攻擊,一旦攻擊成功就植入挖礦木馬,並不嘗試對受害計算機進行持續控制,因此這類家族控制的資源較少。此外,不具有殭屍網路性質的挖礦木馬家族數量要遠大於具有殭屍網路性質的挖礦木馬,因此每個家族能夠瓜分到的資源更是少的可憐。
圖8 挖礦木馬家族性質以及佔用資源分佈
如圖8所示,具有殭屍網路性質的挖礦木馬家族佔據了85%的資源,這是不具有殭屍網路性質的挖礦木馬家族的將近6倍之多,而這些資源只掌握在WannaMine、Mykings等幾個家族手中。而另一邊則呈現出了另一種場景——15%左右的資源被數十個家族瓜分,這也加劇了家族之間的競爭。
在這種惡劣的競爭環境下,挖礦木馬家族就需要一些特殊的技能讓自己生存下來。“8220”組織就是具備這類技能的家族,除了在攻擊程式碼中增加對抗其他挖礦家族的模組之外,“8220”組織還會時刻記錄被入侵的機器資訊以便在挖礦程式被安全軟體或者被其他挖礦家族清除之後能夠第一時間再次入侵機器植入挖礦木馬。我們觀察到了一組有趣的資料,如圖9所示,在“8220”家族在5月初更新載荷下載URL前後(圖中紅框所標出的條目),其入侵成功的計算機數量幾乎不變,可見“8220”家族雖然不具有殭屍網路性質,但其仍然能將受害機器控制在手中。
圖9 “8220”挖礦木馬家族5月初更新前後入侵計算機數量對比
隨著漏洞利用的“小白化”,將會有更多攻擊者加入這場資源爭奪戰中,不過資源只留給有準備的人,大多攻擊者會漸漸消失在這個舞臺上。
橫向滲透是Mimikatz和“永恆之藍”的天下
對於具有橫向滲透功能的挖礦木馬家族,Mimikatz和“永恆之藍”漏洞幾乎是所有這類家族所使用的武器。這些家族中將近70%的家族帶有“永恆之藍”傳播模組,30%的家族帶有Mimikatz橫向滲透模組,如圖10所示。
圖10 使用Mimikatz和“永恆之藍”漏洞進行橫向滲透的家族比例
當然,這兩款橫向滲透利器不僅僅在挖礦木馬家族中受歡迎,在其他攻擊領域也被廣泛使用,主要原因還是在於其功能強大並且操作簡單,無論是對於新手還是對於專業黑產人員都是極其友好的。
彩蛋:“Satan”也來賺外快
360網際網路安全中心監測顯示,“Satan”勒索病毒的國內傳播者在多次折戟勒索戰場之後,也加入了挖礦爭奪戰中。從圖11可以看出,“Satan”家族在10月28日出現了一次小爆發,在這次爆發中,“Satan”不僅投遞勒索病毒,也投遞多個挖礦木馬,IOC/">IOC見表2。根據我們的長期跟蹤情況看,勒索病毒帶挖礦絕非偶然,這兩類攻擊的投遞者本身就有著千絲萬縷的聯絡,如果一臺機器感染了挖礦木馬,那這臺機器也有非常高風險感染勒索病毒。
