涌现韶光
针对平台
Outlaw
2018年11月
Linux
Tor2Mine
2018年12月
Windows
TeamTNT
2019年10月
Windows、Linux
H2Miner
2019年12月
Windows、Linux
Satan DDoS
2020年5月
Windows、Linux
Sysrv-hello
2020年12月
Windows、Linux
云铲
2021年2月
Linux
HolesWarm
2021年6月
Windows、Linux
2.挖矿木马的危害大量花费打算机资源:挖矿木马普遍花费大量系统资源,使系统及其做事、运用软件运行缓慢,乃至可能使正常做事崩溃,造成数据丢失;降落打算机设备性能和寿命:被植入挖矿木马的打算机寿命普遍较短,而且设备性能严重低落;摧残浪费蹂躏能源,增大碳排放量:挖矿木马挖矿会花费大量的电,造成巨大的能源花费,而现阶段电能的紧张来源是煤炭,加剧碳排放污染;留置后门,衍生僵尸网络:挖矿木马普遍具有添加SSH免密登录后门、安装RPC后门,吸收远程IRC做事器指令、安装Rootkit后门等;作为攻击跳板,攻击其他目标:挖矿木马可以掌握受害者做事器进行DDoS攻击,以此做事器为跳板,攻击其他打算机,或者开释打单软件索要赎金等。3.挖矿木马家族的特色挖矿币种:2021年大部分挖矿组织方向于挖取门罗币,紧张有以下几种缘故原由:首先是门罗币是无法追踪的强匿名性货币;其次门罗币的挖矿算法利用CPU的挖矿效率更高,一样平常僵尸网络节制的“肉鸡”普遍不具备高性能,也便是没有显卡(即短缺高性能显卡),所以为了获取更多的挖矿收益,挖取门罗币成为攻击者首选;末了,在比特币挖取惆怅活益增大的背景下,门罗币在虚拟货币市场价格保持稳定,相较于挖取比特币,挖取门罗币所带来的代价更高,其对应挖矿收益也更加稳定。竞争性:通过检测并结束具有竞争性的其它挖矿木马的进程,独占目标主机的打算资源。持久性:通过添加操持任务、创建做事、设置自启动、RootKit等手段实现长期驻留目标系统。暗藏性和对抗性:通过进程隐蔽、命令更换、进程互锁等办法,实现对抗排查和处置。针对性:针对各云做事供应商在云主机上运行的安全检测程序,通过在脚本文件中添加能够将其结束并卸载的恶意代码,以此规避各云主机的安全检测。除此之外,部分挖矿木马利用扫描工具对某一或多个云做事供应商的IP地址段进行探测,如云铲、H2Miner等。集成性:挖矿木马除了具备核心的挖矿功能模块,还集成有端口扫描、漏洞利用、后门等干系组件,实现横向传播、广泛传播、构建僵尸网络,如TeamTNT、Outlaw等。跨平台性:通过Web组件漏洞利用,结合恶意的PowerShell、Shell等脚本,以及Python、Go措辞编写的恶意程序,实现跨平台运行挖矿木马,如Sysrv-Hello、Satan DDoS等。4.范例挖矿木马家族的先容4.1 Outlaw
Outlaw僵尸网络首次被创造于2018年11月,当时其还只是一个通过漏洞入侵IoT设备和Linux做事器并植入恶意程序组建僵尸网络的组织,紧张从事DDoS攻击活动,在暗网中供应DDoS出租做事。在后续的发展过程中,受虚拟货币升值影响,也逐步开始在僵尸网络节点中植入挖矿木马,并利用僵尸网络对外进行渗透并扩展,得到更为弘大的打算资源,旨在挖矿过程中获取更多的虚拟货币。
4.1.1家族概览
挖矿木马家族
Outlaw
涌现韶光
2018年11月
针对平台
Linux
传播办法
漏洞利用、SSH暴力破解
利用的漏洞
Shellshock Flaw
Drupalgeddon2漏洞
挖矿币种
门罗币(XMR)
4.1.2范例案例
Outlaw凌晨突袭云主机2021年7月28日凌晨,Outlaw僵尸网络对大量云主机发起攻击并植入僵尸网络程序,被传染主机中存在大量SSH暴力破解记录,且被植入挖矿程序、写入SSH公钥 。
4.2 Tor2Mine
Tor2Mine挖矿组织从2018年开始涌现,以善于挖取加密货币和供应恶意软件而有名,该组织曾支配过其他恶意软件,包括信息盗取恶意软件AZORult、远程访问工具Remcos、DarkVNC后门木马和盗取剪贴板上的加密货币数据盗取更多钱。Tor2Mine名字的由来是由于在某些变种中利用了Tor网关与虚拟货币的C2做事器进行通信,因此叫做Tor2Mine。在2021年,Tor2Mine变得非常生动,利用 PowerShell脚本考试测验禁用安全软件、实行挖矿程序并实行Mimikatz远程脚本获取Windows凭据以得到管理权限。利用这些盗取的凭据,Tor2Mine可以主动传播,如果没有完备打消或者没有安全软件保护,它将连续侵害受传染网络上的其他系统。
4.2.1家族概览
挖矿木马家族
Tor2Mine
涌现韶光
2018年 12月
针对平台
Windows
传播办法
漏洞利用
利用的漏洞
未知
挖矿币种
门罗币(XMR)
4.2.2范例活动
研究职员创造Tor2Mine挖矿组织利用新变种开始传播2021年12月,研究职员创造Tor2Mine利用新变种开始传播,Tor2Mine利用 PowerShell脚本考试测验禁用安全软件、实行挖矿程序并获取Windows凭据。利用这些盗取的凭据,Tor2Mine 可以主动传播,如果没有完备打消或者没有安全软件保护,它将连续侵害受传染网络上的其他系统。
4.3 TeamTNT
TeamTNT是一个针对云主机和容器化环境进行攻击的网络威胁组织,该组织最早涌现于2019年10月,入侵目标系统后植入挖矿木马和僵尸网络程序,利用目标系统资源进行挖矿并组建僵尸网络。经由近几年景长,该组织掌握的僵尸网络规模弘大,所利用的攻击组件更新频繁;该组织引起网络安全防御方的持续关注和跟踪,对其攻击活动给予多次表露。
4.3.1 家族概览
挖矿木马家族
TeamTNT
涌现韶光
2019年10月
针对平台
Windows、Linux
传播办法
漏洞利用、凭据盗取
利用的漏洞
Docker Remote API未授权访问漏洞
挖矿币种
门罗币(XMR)
4.3.2 范例案例
TeamTNT对Kubernetes平台发起攻击,近50000个IP遭受攻击TeamTNT利用Kubernetes平台暴露的API接口,写入并实行恶意脚本,安装门罗币挖矿程序,支配网络扫描工具masscan和banner探测工具Zgrab,后续下载并安装IRC Bot。经研究职员监测创造,本次攻击活动韶光在2021年3月至5月间,涉及50000个目标IP地址,个中,中国和美国的IP地址命中率最高。
4.4 H2Miner
H2Miner挖矿木马最早涌现于2019年12月,爆发初期及此后一段韶光该挖矿木马都是针对Linux平台,直到2020年11月后,开始利用WebLogic漏洞针对Windows平台进行入侵并植入对应挖矿程序。此外,该挖矿木马频繁利用其他常见Web组件漏洞,入侵干系做事器并植入挖矿程序。例如,2021年12月,攻击者利用Log4j漏洞履行了H2Miner挖矿木马的投放。
4.4.1 家族概览
挖矿木马家族
H2Miner
涌现韶光
2019年12月
针对平台
Windows、Linux
传播办法
漏洞利用
利用的漏洞
SaltStack RCE(CVE-2020-11651)
ThinkPHP5 RCE
Apache Solr’s DataImportHandler (CVE-2019-0193)
Redis未授权RCE
Confluence 未授权RCE(CVE-2019-3396)
WebLogic RCE 漏洞(CVE-2020-14882/14883)
Log4j漏洞(CVE-2021-44228)
挖矿币种
门罗币(XMR)
4.4.2 范例案例
2021年春节期间H2Miner挖矿团伙利用多个漏洞武器攻击云上主机2021年春节期间,H2Miner挖矿团伙趁春节假期安全运维相对薄弱,利用多个漏洞武器攻击我国云上主机,并利用失落陷主机履行挖矿,大量花费受害主机CPU资源,严重影响了干系主机正常做事运行。
4.5 Satan DDoS
Satan DDoS是一个具备DDoS和投放挖矿程序的僵尸网络,恶意软件的作者将他们的恶意软件称之为“Satan DDoS”,为了差异于Satan打单软件,Unit42研究职员将其称为“Lucifer”。该僵尸网络最早涌现韶光是在2020年5月29日,初期利用CVE-2019-9081漏洞入侵具备Laravel Framework 5.7.x版本组件的做事器,植入挖矿程序和僵尸网络程序,实现僵尸网络的组建,形成弘大的挖矿和对外DDoS攻击的能力。在后期,该僵尸网络该利用多个漏洞和暴力破解传播挖矿程序和扩展僵尸网络。
4.5.1 家族概览
挖矿木马家族
Satan DDoS,别号Lucifer
涌现韶光
2020年5月29日
针对平台
Windows、Linux
传播办法
漏洞利用和暴力破解
利用的漏洞
CVE-2014-6287
CVE-2018-1000861
CVE-2017-10271
ThinkPHP RCE漏洞(CVE-2018-20062) CVE-2018-7600
CVE-2017-9791
CVE-2019-9081
PHPStudy Backdoor RCE
CVE-2017-0144
CVE-2017-0145和 CVE-2017-8464
挖矿币种
门罗币(XMR)
4.5.2 范例活动
爆发初期利用CVE-2019-9081漏洞传播2020年5月29日,Unit 42研究职员从大量CVE-2019-9081漏洞利用事宜中,创造一个具备挖矿功能和DDoS攻击的恶意样本,研究职员监测到这次恶意样本传播活动于2020年6月10日停滞。
针对云主机的攻击活动2021年6月,Satan DDoS僵尸网络利用Shiro1.2.4反序列化漏洞对云主机发起的攻击活动,新增了针对Linux做事器的攻击能力,意图传播自身,扩展僵尸网络,提升DDoS攻击和大规模挖矿能力。
4.6 Sysrv-hello
Sysrv-hello挖矿木马最早被创造于2020年12月3日,初始样本传染大量做事器,经变种传播,一贯持续至今。该挖矿木马具备多种功能,如端口扫描功能,Linux网关探测功能,WebLogic、Tomcat、MySQL等运用的RCE漏洞利用功能,植入挖矿木马功能。
4.6.1 家族概览
挖矿木马家族
Sysrv-hello
涌现韶光
2020年12月3日
针对平台
Windows、Linux
传播办法
漏洞利用
利用的漏洞
Mongo Express RCE (CVE-2019-10758)
XXL-JOB Unauth RCE
XML-RPC (CVE-2017-11610)
Saltstack RCE( CVE-2020-16846)
ThinkPHP RCE
Drupal Ajax RCE(CVE-2018-7600)
挖矿币种
门罗币(XMR)
4.6.2 范例案例
Sysrv-hello新增传播能力,通过传染网页传播挖矿程序Sysrv-hello新变种于2021年4月20日开始传播,经剖析确认,新变种能够在目标系统上检讨是否存在干系网页文件或网站目录,以此剖断系统是否供应Web做事。若目标系统供应Web做事,则将挖矿木马移动至对应路径中,并修正个中的网页文件,实现用户访问该网页时下载并实行该挖矿木马,进一步扩展挖矿木马传播范围。
4.7 云铲
2021年2月,安天CERT在网络安全监测中创造一起针对Linux系统挖矿木马事宜。经剖析研判,该挖矿木马自身中硬编码了一段某云平台网段IP地址,并对该网段IP地址进行22端口弹出和暴力破解,基于其攻击特性,安天CERT将该挖矿木马命名为“云铲”。
4.7.1家族概览
挖矿木马家族
云铲
涌现韶光
2021年
针对平台
Linux
传播办法
暴力破解
利用的漏洞
无
挖矿币种
门罗币(XMR)
4.8 HolesWarm
HolesWarm是一个跨平台的蠕虫病毒,最早爆发于2021年6月,在一个月韶光内利用了20多种漏洞对目标系统进行漏洞利用并植入挖矿木马。该蠕虫病毒利用的漏洞覆盖的组件和运用较多,这些组件和运用在海内利用频繁。如用友,致远等OA办公软件和Tomcat、WebLogic、Shiro、Structs 2等组件。
4.8.1 家族概览
挖矿木马家族
HolesWarm
涌现韶光
2021年6月
针对平台
Windows、Linux
传播办法
漏洞利用
利用的漏洞
Hadoop Yarn 未授权命令实行漏洞
用友GRP-U8 注入-命令实行漏洞
Struts 2 RCE命令实行漏洞
XXL-JOB未授权添加任务命令实行漏洞
挖矿币种
门罗币(XMR)
4.8.2 范例案例
挖矿木马中的漏洞利用之王2021年6月上旬以来,在近一个月韶光内,一个蠕虫病毒迅速传播扩散并植入挖矿木马。在此期间利用漏洞多达20余种,漏洞利用的对应软件包括用友、致远等OA办公软件,及其它Tomcat、WebLogic、Structs 2、Spring等组件,以至于被业界称之为“漏洞利用之王”,该挖矿木马同时也被命名为“HolesWarm”。
