来源:腾讯安全联合实验室知乎
作者:腾讯安全云顶实验室
作者:甄一国,jaryzhou,youzuzhang @腾讯安全云顶实验室
2018年,区块链项目在这一年上演了一场火与冰。年初火爆的比特币,一年内跌了80%。除了巨大的市场波动,区块链场本身的安全问题也逐渐凸显,相关的社会化问题也在不断涌现。
“勒索”、“盗窃”和“非法挖矿”是区块链项目中数字加密货币的三大安全威胁,其中云主机用户面临的首要安全问题是非法挖矿。
非法挖掘一般分为基于文件的挖掘和基于浏览器的挖掘。因为云主机用户一般不使用浏览器访问网页,所以基于浏览器的挖掘在公有云中威胁不大。
相反,云端基于木马文件的入侵和挖掘事件层出不穷。黑客通过入侵和挖掘用户云主机上的常见安全问题直接获取利益,使得用户的CPU等资源耗尽,影响其正常业务。这些被黑客利用的常见问题,往往是用户缺乏安全意识造成的。
腾讯云鼎实验室通过分析云上挖矿木马的网络、文件、进程,在日常安全对抗中发现大量黑客试图入侵挖矿。对这类行为的特征进行统计分析,将样本和恶意行为加入到相关安全产品的规则库和算法模型中,进行有效的遏制和打击。本文对云上入侵挖掘行为的共性进行统计分析,帮助用户防御挖掘行为,从而更好地保障腾讯云用户的安全。
一、货币分析(开采目标分析)
对于云上挖矿,第一个话题就是黑客挖矿的对象,也就是挖矿币。经过分析,黑客在云端挖矿的行为采用的是矿池挖矿的形式,其主要特点是定期访问矿池的地址。通过对挖掘池地址的统计和分类,丁实验室发现云上入侵挖掘的货币主要有门罗币(XMR)、氪石币()和伊莱币()等。
原因是早期货币,如比特币、莱特币,其算法设计中的挖掘行为本质上是重复计算,而CPU不擅长并行运算,每次最多能执行十几个任务,因此挖掘效率极低,黑客很难利用。相对来说,图形GPU是千流处理器,一些顶级显卡的挖掘效率是CPU的几百倍,所以传统的挖掘方式一般都是用图形GPU来挖掘。门罗币、伊利币等二代虚拟货币采用CryptoNight算法,专门针对CPU架构进行优化。在运算过程中需要大量的寄存器,不再依赖GPU进行挖掘,也没有相应的ASIC。所以黑客入侵云主机后会选择直接消耗机器CPU资源进行挖掘,所以门罗币等货币可以在基于CPU的云平台上流行。
一年来,即使门罗币价格一路下跌,也挡不住黑客们的热情。对挖矿活动趋势的进一步统计显示,公有云上门罗币的挖矿活动数量不但没有减少,反而在下半年持续攀升。
门罗是一种匿名货币,其地址、交易金额、交易时间、汇款人和收款人都是完全隐藏的,难以查询和追查。因为黑客植入挖矿程序是违法的,即使发现主机利用门罗币植入挖矿木马,也无法通过挖矿地址、交易等信息找到黑客的行踪。
丁实验室通过将数字货币的价格走势与挖矿热度相关联,尝试分析货币价格与挖矿热度,发现挖矿热度与货币价格成正比(部分高价值硬币,如门罗币,因其具有持久价值,不受此规律影响)。
观察伊利币的价格走势,发现其自1月中旬以来一直呈下跌趋势:
根据对伊利币对应矿池的访问数据的观察,访问量也呈现出一个do
所以总体观察,黑客选择挖矿的货币与币值有关,选择小币在一定程度上取决于其价格,挖矿热度与币价成正比;价值高的货币因其价值持久,不受此法影响。
由于云主机的计算资源主要是CPU,通过漏洞入侵用户机器的黑客选择的货币具有统一的特征。CryptoNight是这些货币的主要算法,可以直接使用CPU进行挖掘,不依赖GPU产生巨大的收益。
二、矿井水池分析
进一步分析黑客的挖掘方式,黑客在云端的挖掘主要采用挖掘池挖掘方式。
随着数字货币的火热,越来越多的人力和设备投入到各种货币的挖矿中,导致各种货币的全网计算水平呈指数级增长,单个设备或少量计算能力难以获得区块奖励;矿池挖矿是将不同的少量计算能力组合起来,提高获得区块奖励的概率,然后按照贡献的计算能力比例分配奖励的方式。相对于单独挖矿,加入矿池可以获得更稳定的收入,所以很多矿工用矿池挖矿,黑客也是如此。使用以下主要挖掘池列表在云上进行黑客挖掘:
通过对矿池地址的分类和统计,发现minexmr.com是黑客攻击后使用最多的矿池。如下图,这个矿池的计算能力在全网门罗币矿中排名第三。
目前门罗币的Hashrate约为460MH/s,Nanopool | Monero为99.79MH/s,提供了门罗币20%以上的计算能力。Pool.minexmr.com达到62.78MH/s,提供门罗币13.6%的计算能力;Xmr.pool.minergate.com的计算能力也达到26.50 MH/s;这些都是黑客在云端使用的主要矿池,也就是说云端存在漏洞,被入侵的矿机就在矿机之中,矿机是这些计算能力的贡献者。
而国内自建矿池也不甘示弱。皮皮虾、一路赚钱、鱼池(ppxxmr.com、yiluzhuanjian.com、F2池-比特币矿池、莱特币、以太坊矿池、全球最大的综合性数字货币矿池)人气分别排名第三、第四、第九。
根据丁实验室对挖矿常用端口的统计,发现5555、7777、3333等稀有端口经常被用作连接矿池的端口,其中45700、45560是指定的端口。
黑客使用的特定矿池地址和端口是其入侵挖矿恶意行为的特征之一,正常服务器不会连接和访问这些矿池地址和稀有端口。通过统计挖掘池的地址和端口,用户可以检查他们的云主机是否被流量包捕获等。甚至在不影响业务的情况下直接屏蔽相应矿池的访问,也能起到一定程度的保护作用。
三。漏洞利用、入侵和可追踪性分析
丁实验室对黑客和挖矿活动的攻击方式进行了统计分析,发现云上的黑客和挖矿活动在攻击目标的选择和入侵方式上存在一定的共性。
下图是某段时间内http://xmr.pool.minergate.com云顶实验室受影响机器数量的分布统计。
下图显示了cpuminer-multi.exe矿机的新情况。cpuminer-multi.exe启动时,通常会请求上述矿池地址。
对比以上两个数字可以发现,2018年4月15日和6月18日,cpuminer-multi.exe矿机突然增多,xmr.pool.minergate.com矿池在相应时间点的连接数也有所增加。基于云顶实验室的日常事件和响应统计,这些时间点都显示了大量一般性安全问题的使用。
通过对历史捕获挖掘案例的分析发现,云上的挖掘通常是一种批量入侵,使得黑客只利用常见的安全问题,如系统漏洞、服务漏洞,最常见的有永恒之蓝、Redis未授权访问。
云入侵挖掘行为的感染和挖掘方式主要有两种,一种是直接在病毒木马主体中实现相关的扫描、利用、感染和挖掘功能。下图显示木马的反向可见钱包地址和矿池地址直接硬编码在程序中:
另一种方法是使用独立的挖掘程序。这些挖掘程序一般来自开源程序,比如xmrig Project(https://github . com/xmrig/xmrig)。这种挖矿程序在入侵后会被植入bash或VBScript脚本,然后通过脚本下载挖矿程序或其他扫描利用程序,通过参数指定矿池和钱包地址。下面是一个VBScript脚本内容,挖掘过程开始了:
其中,主流的方式是直接启动挖掘程序进行挖掘。通过分析矿机的常见流程,还可以证实:
最有影响力的minerd来自https://github.com/pooler/cpuminer;
Windows上的Cpuminer-multi.exe矿机起源于https://github.com/tpruvot/cpuminer-multi;
《工人》、《卡普雷》和《xmrig.exe》都来自https://github.com/xmrig/xmrig.
开源矿机只需要一个命令就可以挖矿,使得黑色产业越来越多的使用这种形式来挖矿。
尝试进一步统计黑客的身份,分析统计一些数据的命令参数,提取挖矿钱包的地址和用户名。发现云中的挖矿行为是聚合的,大量被黑的云主机掌握在少数黑客团伙/个人手中(邮箱是智能多币挖矿池1-Click Guiminer的用户名)。
对黑客入侵和挖掘行为的总结显示,存在一般安全漏洞的云主机(如永恒之蓝)成为黑客的主要入侵目标。黑客通常利用批量扫描一般安全问题和入侵嵌入式挖掘程序进行恶意挖掘。一些传统企业、政府机关等行业的机器被入侵挖矿。主要原因是这些行业的云主机由于维护人员缺乏安全意识,容易出现漏洞,甚至长期不登录云主机,给黑客提供了长期挖矿的机器。这些存在安全问题的云主机也是云上挖矿等恶意行为的温床。所以,提高安全意识,避免云主机引入漏洞,及时修复漏洞,才是防止黑客入侵挖矿的不二法门。
四。安全建议
基于云鼎实验室对云上入侵挖掘主要特征的总结,可以发现黑客挖掘的主要目标是存在一般安全漏洞的机器,因此防范入侵挖掘的主要手段是发现和修复漏洞:
1)可以根据业务情况,使用腾讯云安全组或者服务器自带的防火墙关闭业务不需要的端口。对于一些已部署的服务,如果不需要避免在外网上开放,即使业务要求开放,也要限制访问来源。
2)关注操作系统和组件的重大更新,如WannaCry使用的永恒之蓝漏洞对应的MS17-010,及时更新补丁或升级组件。
3)为防止密码暴力破解导致的入侵,建议更改默认的远程登录端口,设置复杂的登录密码,或者放弃密码登录,改用密钥登录。
4)自检部署在服务器上的业务。如果条件允许,可以进行渗透测试,尽早发现和修复业务漏洞,避免成为入侵点。
5)使用腾讯云镜像等安全产品检测发现服务器上的安全漏洞并及时修复。
另外,针对挖矿已经被入侵的情况,建议及时清理挖矿过程和恶意文件,同时排查入侵点并修复,从根本上解决问题。
动词(verb的缩写)附录
1.一些货币和矿物库的列表
以下是黑客上云后挖矿的主要货币和矿池列表:
2.采矿程序的一些例子
a)94fc 39140 FFA FBD 360 a4 cabc 64 b 62077
b)f 068 b 7 be 8685 c 91 BDD bb 186 f 6 fad 7962
c)367 DC 6 e 9 c 65 bb 0 B1 c 0 e B1 a 4798 C5 e 55b
d)f 594 a 17d 37 c 70 b 0d 18 f 33 a 3882 e 891 a 0
e)db 87 BD 6 BC 3554 e4d 868 b 7176925 dcff 5
f)5b 0 B4 ccea 8b 663696610 EDC 346 Fe 064
g)8 c9ab 86572742d 2323 CEE 72 ca 2c 0 a 3 f 2
h)367 DC 6 e 9 c 65 bb 0 B1 c 0 e B1 a 4798 C5 e 55b
I)0 d25d 679 b 9845847 b0c 180715 a52d 766
3.一些钱包补充
a)4a 7 sjwfkfrwb 88 V8 nij 2 fi 3 rw wkr 48 pq 5hg 2 qxq 6 Hu 2 u 7 e 8 fcvlj 81 wttzhgdnchsejcygkvugpbiiuxawxprwyhnbevqc
b)43 rhxdrql 26 qfnzywyc 53 pcayxkdqzent 24 xgrlz 6196 h6 dk PZT 43 za 2c 1 spzgldddafr 6 hehw qxg 7 f 8d qpchfudbz 6y 6t
c)47 bvn 8 z 4 uvq 6 kljmfo 4 af 5 ukwfbdzdhvoknj 1 en 6 itya 2 bvsdasbgogoxnmnesfzajhz 6 qqhhhpqbrracnvelqgyqybqnxc
d)42 H3 elk 47 sge 4 jiit 28 qvvtrawppn t1 R3 dz 7 benqm 3 jxe 9 wykcvlvofd 5 gqpqepwgrrcbkykjgk G4 kg 1 hssuztavacvjghpgak
e)4 agf 7 th M5 zpr 7 frndipmk 6 mxr 1 NSA 8 hnav 5 PTX spdeccrpknanfamaypw 8 nmtbgfaeiakw6 rxnpabq 2 mybkstby 8 stx ahr
腾讯云鼎实验室专注于云主机和云流量的安全研究和安全运营。利用机器学习和大数据技术,实时监控和分析各类风险信息,帮助客户抵御高级可持续攻击;联合腾讯所有安全实验室研究安全漏洞,确保云计算平台整体安全。相关能力通过腾讯云开放,为用户提供黑客入侵检测、漏洞风险预警等服务,帮助企业解决服务器安全问题。