2018年Windows服务器挖矿木马总结报告.pdf

2018 年 Windows 服务器挖矿木马总结报告 2019 年 1 月 11 日 摘要 2018 年，挖矿木马已经成为 Windows 服务器遭遇的最严重的安全威胁之一。 这一年，在 挖矿木马攻击趋势由爆发式增长逐渐转为平稳发展的同时，挖矿木马攻击技术提升明显，恶意挖矿产业也趋于成熟，恶意挖矿家族通过相互之间的合作 使受害计算机和网络设备的价值被更大程度压榨，合作带来的技术升级也给安全从业者带来更大挑战。 2019 年， 挖矿木马攻击将 继续 保持平稳，但黑产家族间的合作将更加普遍，“闷声发大财”可能是新一年挖矿木马的主要目标。 关键词： 挖矿木马、 Windows 服务器、恶意攻击 目录 前言 . 1 第一章 2018 年攻击趋势概览 . 2 第二章 2018 年挖矿木马详 解 . 5 一、挖矿木马攻击目标分布 . 5 二、挖矿木马使用漏洞一览 . 5 三、挖矿木马使用的攻击技术 . 6 （一）横向移动 . 6 （二） Living off the land . 7 （三） Fileless . 8 （四）代码混淆技术 . 9 四、挖矿木马收益分析及未来获利方式预测 . 10 第三章 2018 年挖矿木马家族典型 . 14 一、 WannaMine（ GhostMiner、 PowerGhost） . 14 二、 Mykings（隐匿者） . 16 三、 “8220 ”组织 . 18 四、 bulehero . 20 五、 MassMiner . 22 六、 ArcGISMiner . 24 第四章 总结 . 25 参考文章 . 26 1 前言 挖矿木马是一类通过入侵计算机系统并植入挖矿机赚取加密数字货币获利的木马，被植入挖矿木马的计算机会出现 CPU 使用率飙升、系统卡顿、部分服务无法正常使用等情况。挖矿木马最早在 2012 年出现，并在 2017 年开始大量传播。 2018 年，挖矿木马已经成为服务器遭遇的最严重的安全威胁之一。 360 互联网安全中心对挖矿木马进行了深入研究分析和长期攻防对抗， 在这一年， 360 安全卫士平均每日拦截针对 Windows 服务器的挖矿木马攻击超过十万次，时刻守卫 Windows 服务器安全。 本文将依据我们掌握的数据，总结 2018年 Windows服务器遭遇的挖矿木马威胁，并对 2019年 Windows服务器下挖矿木马发展趋势进行分析评估（注：下文提到的 “挖矿木马 ”均指针对 Windows服务器的挖矿木马）。 2 第一章 2018 年攻击趋势概览 2018 年， Windows 服务器遭到的挖矿木马攻击呈现先扬后抑再扬的趋势。 2018 年上半年，针对 Windows 服务器的挖矿木马呈现稳步上升趋势 ，并在 2018 年 7 月左右达到顶峰。之后挖矿木马攻击 强度 减弱，部分挖矿木马家族更新停滞，直到 2018 年 12 月， WannaMine、Mykings 等大型挖矿僵尸网络再次发起大规模攻击，针对 Windows 服务器的挖矿木马攻击才再次出现上升趋势。 2018 年针对 Windows 服务器的挖矿木马攻击趋势如图 1 所示。 图 1 2018 年针对 Windows 服务器的挖矿木马攻击趋势 在 2018 年 初 ， 挖矿木马攻击的上升趋势是 2017 年末挖矿木马爆发的延续。 2017 年 12月， “8220”组织使用当时还是 0day 状态的 Weblogic 反序列化漏洞 （ CVE-2017-10271） 入侵服务器 并 植入挖矿木马 1， 引起一波不小的轰动 。之后，更多黑产从业者将目光投向服务器挖矿领域。 据 360 互联网安全中心统计， 2018 年上半年针对 Windows 服务器的挖矿木马家族 呈逐月上升趋势，最高时每月有 20 余个成规模的挖矿木马家族。 3 图 2 2018 年针对 Windows 服务器的挖矿木马家族数量变化 不过到了 2018 年下半年，挖矿攻击趋势有所下降，挖矿木马家族数量也 仅仅保持稳定，不再呈现类似于上半年的增长趋势。出现这种情况的 原因之一 ， 在于 2018 年下半年披露的Web 应用 远程代码执行漏洞相比较上半年要少得多， 挖矿木马缺少新的攻击入口； 另外由于虚拟货币的 波动 ，下半年 针对服务器的挖矿木马家族格局基本定型， 没有新的大家族产生 。从图 2 可以看出 2018 年下半年成规模挖矿木马家族数量一直保持 30 个左右的，并未出现太大增长。 直到 2018 年年底，各大挖矿木马家族才再次活跃，挖矿木马攻击在沉寂将近半年之后再次呈现上升趋势。其中 ， “Mykings”家族、 “8220”组织与 “WannaMine”家族无疑是 攻击趋势上升的 “主力 ”。 2018年， 这 三个家族攻击计算机数量占据所有家族攻击计算机总量的 87%，到了 12 月，这个数值上升到了可怕的 92%。图 4 展示了 2018 年这三个家族攻击计算机数量与其他家族攻击计算机数量总 和的比较。关于这几个活跃挖矿家族的细节将在第 三 章提及。 4 图 3 2018 年 “Mykings”、 “8220”组织与 “WannaMine”三个家族攻击计算机数量与其他家族对比 因此 ， 2018 年 成为 针对 Windows 服务器挖矿木马最 为 鼎盛的一年， 进入 2019 年 ，如果加密数字货币继续保持目前下滑状态， 挖矿木马可能 也将随之降温 ，攻击者也会在更多盈 获利 方式中寻求平衡。 5 第二章 2018 年挖矿木马详解 一、 挖矿木马攻击目标分布 针对 Windows 服务器的挖矿木马 除少部分利用 Windows 自身漏洞外 ，更多的是 利用 搭建在 Windows 平台上的 Web 应用 或数据库的 漏洞 入侵 服务器。图 5 展示了 2018 年针对Windows 服务器的挖矿木马攻击 目标分布 。其中， MsSQL 是挖矿木马的最大 攻击目标，Weblogic、 JBoss、 Drupal、 Tomcat 等 Web 应用也是挖矿木马重灾区。 图 4 2018年针对 Windows 服务器挖矿木马攻击目标分布 二、 挖矿木马使用漏洞一览 正所谓 “工欲善其事，必先利其器 ”利用成功率高、 操作简便、适用于大规模攻击的漏洞往往受到攻击者青睐 。表 1展示了 2018年挖矿木马入侵 Windows服务器所使用的漏洞。攻击者手里往往持有一个能够针对多个平台的漏洞武器库 和一个 保存有存在漏洞计算机的IP 地址的列表 ， 具有僵尸网络性质的挖矿木马会将 这个漏洞武器库集成到挖矿木马中， 使挖矿木马 实现 “自力更生 ”， 不具有僵尸网络性质的挖矿木马则会定期对列表中的 IP 地址发起攻击 。 一些频繁更新的挖矿木马更是在漏洞 POC 公开后的极短时间内将其运用在实际攻击中。 攻击平台 漏洞编号 POC 公开 与首次出现利用时 间差 Weblogic CVE-2017-3248 6 个月 CVE-2017-10271 0 天（ 0day） CVE-2018-2628 10 天 -20 天 CVE-2018-2894 5 个月 6 JBoss CVE-2010-0738 未知 CVE-2017-12149 20 天 -30 天 Struts2 CVE-2017-5638 1 个月 CVE-2017-9805 未知 CVE-2018-11776 4 个月 Drupal CVE-2018-7600 2 个月 CVE-2018-7602 2 个月 ThinkPHP -( ThinkPHPv5 GetShell) 10 天 -15 天 PHPMyAdmin -(弱口令爆破 ) - PHPStudy -(弱口令爆破 ) - Spring Data Commons CVE-2018-1273 未知 Tomcat -(弱口令爆破 ) - CVE-2017-12615 未知 MsSQL -(弱口令爆破 ) - MySQL -(弱口令爆破 ) - Windows Server -(弱口令爆破 ) - CVE-2017-0143 1 个月 表 1 2018年挖矿木马入侵 Windows 服务器所使用的漏洞 三、 挖矿木马使用的攻击技术 （一） 横向移动 横向移动 指的是 ：木马 在入侵计算机之后 ， 以该计算机作为傀儡机 ， 攻击局域网中的其他机器并控制这些机器。具有僵尸网络性质的挖矿木马家族 常 会利用 Windows 系统 自身漏洞 攻击局域网中的其他机器，并在其他机器中植入挖矿木马。在横向移动攻击武器的选择上，“永恒之蓝 ”漏洞攻击武器是 大部分挖矿木马家族的首选，而横向渗透神器 Mimikatz 也被WannaMine 等挖矿木马家族所使用 。 在这些家族的横向渗透中， Mimikatz 只是作为 “永恒之蓝 ”漏洞攻 击武器的备选方案，可见攻击者更追求稳定性和使用上的简便，而不愿 将 上手难度高的 Mimikatz 放在首位。 7 图 5 使用“永恒之蓝”漏洞攻击武器与使用 Mimikatz 的挖矿木马家族数量对比 （ 二） Living off the land Living off the land 直译是 “靠山吃山，靠水吃水 ”，在恶意攻击中指的是借助系统中已存在的应用程序或工具完成攻击。上文提到针对 Windows 服务器的挖矿木马大多数通过 Web应用或系统的缺陷入侵计算机，而这些缺陷大多数只允许在远程计算机上执行任意命令而非任意代码，因此攻击者需要借助系统中已存在的应用程序或工具下载载荷， 实现挖矿木马的植入。表 2 展示了被挖矿木马借力的合法应用程序。 应用程序名称 被挖矿木马滥用的功能 cmd.exe 执行载荷 PowerShell.exe 下载载荷，执行载荷 Regsvr32.exe 执行载荷 Certutil.exe 下载载荷，解码载荷 bitsadmin.exe 下载载荷，执行载荷，持续驻留 wscript.exe 下载载荷，执行载荷 cscript.exe 下载载荷，执行载荷 mshta.exe 执行载荷 wmic.exe 执行载荷 表 2 被挖矿木马借力的合法应用程序 图 7 则 展示了针对 Windows 平台挖矿木马家族对这些合法应用程序的使用情况 。Powershell 这个功能强大的工具是攻击者最 青睐 的，而诸如 Regsvr32.exe、 mshta.exe 这类能够执行存放在攻击者服务器的恶意代码的应用程序也被大量挖矿木马所使用。