摘要

2018年,挖矿木马已经成为Windows服务器遭遇的最严重的安全威胁之一。这一年,在挖矿木马攻击趋势由爆发式增长逐渐转为平稳发展的同时,挖矿木马攻击技术提升明显,恶意挖矿产业也趋于成熟,恶意挖矿家族通过相互之间的合作使受害计算机和网络设备的价值被更大程度压榨,合作带来的技术升级也给安全从业者带来更大挑战。2019年,挖矿木马攻击将继续保持平稳,但黑产家族间的合作将更加普遍,“闷声发大财”可能是新一年挖矿木马的主要目标。

关键词:挖矿木马、Windows服务器、恶意攻击

前言

挖矿木马是一类通过入侵计算机系统并植入挖矿机赚取加密数字货币获利的木马,被植入挖矿木马的计算机会出现CPU使用率飙升、系统卡顿、部分服务无法正常使用等情况。挖矿木马最早在2012年出现,并在2017年开始大量传播。

2018年,挖矿木马已经成为服务器遭遇的最严重的安全威胁之一。360互联网安全中心对挖矿木马进行了深入研究分析和长期攻防对抗,在这一年,360安全卫士平均每日拦截针对Windows服务器的挖矿木马攻击超过十万次,时刻守卫Windows服务器安全。本文将依据我们掌握的数据,总结2018年Windows服务器遭遇的挖矿木马威胁,并对2019年Windows服务器下挖矿木马发展趋势进行分析评估(注:下文提到的“挖矿木马”均指针对Windows服务器的挖矿木马)。

第一章 2018年攻击趋势概览

2018年,Windows服务器遭到的挖矿木马攻击呈现先扬后抑再扬的趋势。2018年上半年,针对Windows服务器的挖矿木马呈现稳步上升趋势,并在2018年7月左右达到顶峰。之后挖矿木马攻击强度减弱,部分挖矿木马家族更新停滞,直到2018年12月,WannaMine、Mykings等大型挖矿僵尸网络再次发起大规模攻击,针对Windows服务器的挖矿木马攻击才再次出现上升趋势。2018年针对Windows服务器的挖矿木马攻击趋势如图1所示。

图1 2018年针对Windows服务器的挖矿木马攻击趋势

在2018年初,挖矿木马攻击的上升趋势是2017年末挖矿木马爆发的延续。2017年12月,“8220”组织使用当时还是0day状态的Weblogic反序列化漏洞(CVE-2017-10271)入侵服务器并植入挖矿木马[1] ,引起一波不小的轰动。之后,更多黑产从业者将目光投向服务器挖矿领域。据360互联网安全中心统计,2018年上半年针对Windows服务器的挖矿木马家族呈逐月上升趋势,最高时每月有20余个成规模的挖矿木马家族。

图2 2018年针对Windows服务器的挖矿木马家族数量变化

不过到了2018年下半年,挖矿攻击趋势有所下降,挖矿木马家族数量也仅仅保持稳定,不再呈现类似于上半年的增长趋势。出现这种情况的原因之一,在于2018年下半年披露的Web应用远程代码执行漏洞相比较上半年要少得多,挖矿木马缺少新的攻击入口;另外由于虚拟货币的波动,下半年针对服务器的挖矿木马家族格局基本定型,没有新的大家族产生。从图2可以看出2018年下半年成规模挖矿木马家族数量一直保持30个左右的,并未出现太大增长。

直到2018年年底,各大挖矿木马家族才再次活跃,挖矿木马攻击在沉寂将近半年之后再次呈现上升趋势。其中,“Mykings”家族、“8220”组织与“WannaMine”家族无疑是攻击趋势上升的“主力”。2018年,这三个家族攻击计算机数量占据所有家族攻击计算机总量的87%,到了12月,这个数值上升到了可怕的92%。图4展示了2018年这三个家族攻击计算机数量与其他家族攻击计算机数量总和的比较。关于这几个活跃挖矿家族的细节将在第三章提及。

图3 2018年“Mykings”、“8220”组织与“WannaMine”三个家族攻击计算机数量与其他家族对比

因此,2018年成为针对Windows服务器挖矿木马最为鼎盛的一年,进入2019年,如果加密数字货币继续保持目前下滑状态,挖矿木马可能也将随之降温,攻击者也会在更多盈获利方式中寻求平衡。

第二章 2018年挖矿木马详解

一、挖矿木马攻击目标分布

针对Windows服务器的挖矿木马除少部分利用Windows自身漏洞外,更多的是利用搭建在Windows平台上的Web应用或数据库的漏洞入侵服务器。图5展示了2018年针对Windows服务器的挖矿木马攻击目标分布。其中,MsSQL是挖矿木马的最大攻击目标,Weblogic、JBoss、Drupal、Tomcat等Web应用也是挖矿木马重灾区。

图4 2018年针对Windows服务器挖矿木马攻击目标分布

二、挖矿木马使用漏洞一览

正所谓“工欲善其事,必先利其器”——利用成功率高、操作简便、适用于大规模攻击的漏洞往往受到攻击者青睐。表1展示了2018年挖矿木马入侵Windows服务器所使用的漏洞。攻击者手里往往持有一个能够针对多个平台的漏洞武器库和一个保存有存在漏洞计算机的IP地址的列表,具有僵尸网络性质的挖矿木马会将这个漏洞武器库集成到挖矿木马中,使挖矿木马实现“自力更生”,不具有僵尸网络性质的挖矿木马则会定期对列表中的IP地址发起攻击。一些频繁更新的挖矿木马更是在漏洞POC公开后的极短时间内将其运用在实际攻击中。

攻击平台

漏洞编号

POC公开与首次出现利用时间差

Weblogic

CVE-2017-3248

6个月

CVE-2017-10271

0 天(0day)

CVE-2018-2628

10天-20天

CVE-2018-2894

5个月

JBoss

CVE-2010-0738

未知

CVE-2017-12149

20天-30天

Struts2

CVE-2017-5638

<1个月

声明:本文来自360安全卫士,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。

相关资讯

评论(0)