《2019年度挖矿木马报告》:攻击随币值上升,社交网络也可能隐藏“危机”

2020-02-19 16:30:54
腾讯安全发布《2019年度挖矿木马报告》,对挖矿木马种类、感染趋势、技术特点等进行全面分析,并有针对性地提出相关防御和处置建议。

随着数字货币价值不断攀升盗取用户计算机处理器的计算能力进行挖矿成为一门一本万利的暴利营生2017年爆发之后近年来在挖矿木马全球范围持续活跃每年都有大量主机和服务器被感染已成为网络世界最主要的威胁之一近日腾讯安全发布2019年度挖矿木马报告》,对挖矿木马种类感染趋势技术特点等进行全面分析并有针对性地提出相关防御和处置建议   

日攻击样本最高10漏洞弱口令攻击为主要方式

根据腾讯安全威胁情报中心统计数据2019年挖矿木马攻击整体呈增长趋势上半年伴随着数字货币价格回升挖矿木马攻击量持续上升4月顶峰时日攻击样本曾一度超10万个5月之后攻击趋势有所减缓下降到6万个/并在全年平稳波动

从地区分布来看2019年挖矿木马在全国各地均有不同程度的感染其中以广东浙江江苏北京等东部沿海地区及网络资源较为丰富的城市较为严重这一分布与互联网使用人口密度分布基本吻合从行业分布来看黑产更倾向于攻击互联网制造业科研和技术服务以及房地产等行业

从入侵方式来看利用普遍存在的漏洞弱口令攻击或者控制大量机器的僵尸网络进行大规模传播依然是挖矿木马最主要的入侵方式其中以利用永恒之蓝漏洞最为普遍2019年最活跃的三个挖矿木马家族WannaMinerMyKingsDTLMiner均是利用永恒之蓝漏洞进行蠕虫式传播单个家族感染用户均超2万户


由于部分IT管理人员缺乏安全意识在使用MsSQLIPC$SSHVNC等服务的过程中使用简单的弱口令也给黑产带来可乘之机SplashData公布的2019排名前五位的最差密码分别是“123456”“123456789”qwertypassword“1234567”这些密码也是黑客在爆破攻击时的首选挖矿木马通过内置的包含大量简单密码的字典进行自动匹配很容易破解此类弱口令并入侵系统      

“花样”翻新,供应链感染、“无文件”挖矿涌现

随着安全对抗持续升级2019年黑产挖矿技术不断革新跨平台挖矿、“无文件挖矿等新花样不断涌现

供应链感染成为2019年挖矿木马传播的一大特点由于软件本身拥有巨大用户量通过软件升级进行木马分发可在短时间内获得大量计算机资源供应链感染因此深受挖矿黑产青睐2019年较为活跃的DTLMiner就是通过在后台配置文件中插入木马下载链接让软件在升级时下载木马文件进行木马分发

为了进一步提高挖矿效率2019年挖矿木马经历了由控制普通电脑到以控制企业主机为主从只控制Windows挖矿到混合感染多个平台的转变去年腾讯安全发现了”Agwl““萝莉帮WannaMineSatan等多个针对linux系统的挖矿木马 3Satan病毒出现最新变种可针对Windows系统和Linux系统进行无差别攻击在中招电脑中植入勒索病毒勒索比特币同时植入挖矿木马挖矿门罗币同时黑产还会将挖矿木马与勒索软件远控后门剪贴板大盗DDOS等木马打包进行混合攻击

Satan病毒跨平台攻击

社交网络也逐步沦为黑产传播挖矿木马的工具如去年12月发现的挖矿木马LaofuMiner的传播就是攻击者将远控木马程序伪装成火爆新闻”“色情内容”“隐私资料”“诈骗技巧等文件名通过社交网络进行传播受害者一旦查看文件就立刻被安装远控木马并通过远控木马控制电脑下载挖矿木马中毒电脑就此沦为矿工

为了让攻击更为隐蔽挖矿黑产也在不断革新技术无文件挖矿首次出现201943日腾讯安全威胁情报中心测到永恒之蓝下载器木马更新此次更新改变了原有的挖矿木马执行方式通过在Powershell中嵌入PE文件加载的形式达到执行无文件形式挖矿攻击新的挖矿木马执行方式没有文件落地直接在Powershell.exe进程中运行这种注入白进程执行的方式使挖矿木马难以被检测所涉及的恶意代码也更难清除此外KingMiner在启动挖矿木马时还采用DLL侧加载(DLL Side-Loading)技术以逃避杀软检测

企业是挖矿主要目标强化安全管理势在必行

腾讯安全专家指出出于攻击效率等因素目前企业主机和服务器仍是挖矿木马攻击的主要对象且挖矿木马和勒索病毒的传播通道具有一致性若有挖矿木马入侵事件发生勒索病毒也一定可以入侵为避免损失企业必须强化安全管理防患于未然

对于企业腾讯安全专家建议应部署内网系统补丁修复方案及时修补系统漏洞服务器应使用安全的密码策略 使用高强度密码管理内网用户使用权限生产系统配置标准用户权限登录减少中毒的可能性做好重要信息系统的备份工作最大限度保护系统安全和数据安全同时腾讯安全高级威胁检测系统腾讯安全态势感知平台和腾讯安全网络空间风险雷达等企业级安全产品可帮助网管做好企业内网和企业网站的安全防范及时发现和防御黑客恶意入侵

腾讯安全高级威胁检测系统sqlserver爆破告警

对于个人用户专家提醒不要下载来历不明的软件谨慎使用破解工具游戏辅助工具等及时安装系统补丁特别是微软发布的高危漏洞补丁下载安装安全软件一旦发现电脑运行速度明显变慢任务管理器CPU负载明显增加应进行全盘的病毒查杀以排除挖矿木马感染风险

最新资讯