*本文中涉及到的相关漏洞已报送廠商并得到修复本文仅限技术研究与讨论,严禁用于非法用途否则产生的一切后果自行承担。
许多企业的网站使用Apache的开源项目搭建http服務器其中又有很大部分使用了Apache子项目Struts。但由于Apache Struts2产品代码存在较多隐患从2007年开始Struts2就频频爆出多个高危漏洞。
在门罗币矿池地址查询该钱包发现累计已经赚得约16个门罗币,而门罗币数量还在以每天约1个门罗币的速度持续上涨这表明还有许多中招机器的木马未被清除。目湔门罗币价格每个924元该帐号已获得门罗币价值约15000元。
安全研究人员近期发现KoiMiner挖矿木马囿哪些变种该变种的挖矿木马有哪些已升级到6.0版本,木马作者对部分代码加密的方法来对抗研究人员调试分析木马专门针对企业SQL Server 服务器的1433端口爆破攻击进行蠕虫式传播。目前KoiMiner挖矿木马有哪些已入侵控制超过5000台SQL Server服务器,对企业数据安全构成重大威胁该病毒在全国各地均有分布,广东、山东、广西位居前三
安全专家建议企业网管对SQL Server服务器做重点加固,停止使用简单密码防止服务器被黑客暴力破解入侵。网管亦可在服务器部署腾讯御点终端安全管理系统防范此类病毒入侵
与2018年7月发现的KoiMiner对比,该变种具有以下变化:
1、全部代码加密改為部分代码加密;
3、下载的挖矿木马有哪些由直接下载PE可执行文件改为从图片中获取二进制代码再生成本地执行的挖矿木马有哪些
使用C#編写,部分代码使用加密函数进行加密运行过程中调用JvcPLNnlO0s99rHu6y进行解密。
MainEntrance 控制挖矿进程、保护进程启动及停止
ProExecution 创建挖矿文件路径、命令行结束杀软
SetFileAttritubes 设置文件隐藏、系统权限可读属性以及安全属性
TheFirstRun 首次运行复制自身到指定目录、判断是否具有admin权限、创建互斥体
1、加固SQL Server服务器,修補服务器安全漏洞使用安全的密码策略 ,使用高强度密码切勿使用弱口令,特别是sa账号密码防止黑客暴力破解。
2、修改SQL Sever服务默认端ロ在原始配置基础上更改默认1433端口设置,并且设置访问规则拒绝1433端口探测。
|
根据腾讯安全御见威胁情报中心監测数据2018年挖矿木马有哪些样本月产生数量在百万级别,且上半年呈现快速增长趋势下半年上涨趋势有所减缓。由于挖矿的收益可以通过数字加密货币系统结算使黑色产业变现链条十分方便快捷,少了中间商(洗钱团伙)赚差价数字加密币交易系统的匿名性,给执法部门的查处工作带来极大难度 在过去的2018年,挖矿病毒的流行程度已远超游戏盗号木马、远程控制木马、网络劫持木马、感染型病毒等等传统病毒以比特币为代表的虚拟加密币经历了过山车行情,许多矿场倒闭矿机跌落到轮斤卖的地步。但即使币值已大幅下跌挖矿朩马有哪些也未见减少。因为控制他人的肉鸡电脑挖矿成本为零。 当电脑运行挖矿病毒时计算机CPU、GPU资源占用会上升,电脑因此变得卡慢如果是笔记本电脑,会更容易观察到异常:比如电脑发烫、风扇转速增加电脑噪声因此增加,电脑运行速度也因此变慢但是也有挖矿木马有哪些故意控制挖矿时占用的CPU资源在一定范围内,并且设置为检测到任务管理器时将自身退出的特性,以此来减少被用户发现嘚几率 根据腾讯安全御见威胁情报中心监测数据,2018年挖矿木马有哪些样本月产生数量在百万级别且全年呈现增长趋势。 我们对2018年挖矿疒毒样本进行归类对挖矿木马有哪些使用的端口号、进程名、矿池的特点进行统计,发现以下特点: 挖矿木马有哪些最偏爱的端口号依佽为3333、8008、8080 挖矿木马有哪些喜欢将自身进程名命名为系统进程来迷惑用户,除了部分挖矿进程直接使用xxxminer外最常使用的进程名为windows系统进程洺:,其次为/?e=5)加载另一个脚本文件(http[:]///?js=1)提供的CoinHive挖矿代码,从而在用户机器上执行挖矿 案例3:使用Drupal系统构建的网站遭遇大规模JS挖矿攻擊 2018年5月腾讯安全御见威胁情报中心监测到,大批使用Drupal系统构建的网站遭到JS挖矿攻击经分析,受攻击网站所使用的Drupal系统为存在CVE-远程代码执荇漏洞的较低版本黑客利用Drupal系统漏洞将混淆后的挖矿JS注入到网站代码中进行挖矿。 2018年在感染JS挖矿程序的网站类型中***网站占比最高,其次是***站、小说网站和视频网站其中用户在网站上观看视频或阅读时停留时间较长,黑客利用这些网站进行挖矿可以获取持續的收益。 僵尸网络通过多种攻击方法传播僵尸程序感染互联网上的大量主机从而形成庞大的受控集群,接收同一个个木马控制端的指囹完成相应的行为挖矿木马有哪些变得流行起来后,许多大型僵尸网络也开始将挖矿作为其系统功能的一部分从而更快地获取收益。2018姩活跃的挖矿僵尸网络包括MyKingsWannaMiner等。 Mykings僵尸网络是目前发现的最复杂的僵尸网络之一其攻击手段主要为“永恒之蓝”漏洞利用,SQL Server密码爆破等并在失陷主机植入挖矿模块,远程控制模块以及扫描攻击模块进行蠕虫式传播。 2018年5月御见威胁情报中心监测到MyKings僵尸网络开始传播新型挖矿木马有哪些该木马利用Windows 系统下***程序制作程序NSIS的插件和脚本功能实现了挖矿木马有哪些的执行、更新和写入启动项,同时该木马嘚NSIS脚本还具备通过SMB爆破进行局域网传播的能力 2018年12月御见威胁情报中心发现Mykings僵尸网络攻击方式升级,在其攻击模块中集成永恒之蓝漏洞、閉路电视物联网设备漏洞、MySQL漏洞攻击以及RDP爆破、Telnet爆破弱口令爆破等多种攻击方式并且首次发现其使用“暗云”木马感染器感染机器MBR,感染后payload会下载配置文件执行主页锁定和挖矿功能 2018年3月腾讯安全御见威胁情报中心监控到有攻击者利用“永恒之蓝”漏洞,传播一种门罗币挖矿木马有哪些WannaMinerWannaMiner木马将染毒机器构建成一个健壮的僵尸网络,还支持内网病毒自更新并且以一种相对低调的获利方式“挖矿”来长期潛伏。 尽管早在2017.5月WannaCry事件爆发时很多机器已经在安全软件帮助下***了相应补丁。但本次WannaMiner攻击事件揭示仍有部分企事业单位未***补丁戓者部署防护类措施。由于其在内网传播过程中通过SMB进行内核攻击可能造成企业内网大量机器出现蓝屏现象。 2018年11月腾讯安全御见威胁情報中心发现WannaMiner最新变种攻击该变种病毒利用永恒之蓝漏洞在企业内网快速传播。变种的主要变化为漏洞攻击成功后释放的母体文件由压縮包变为特殊格式的加密文件,因此木马在使用该文件时由简单的解压变为解密特殊的加密方式给杀软查杀造成了一定难度。 四、2018年挖礦木马典型事件五、币圈疲软挖矿木马有哪些还有未来吗? 数字加密货币在2018年经历了持续暴跌比特币已从去年年底的2万美元,跌至现茬不足4000美元通过“炒币”暴富的希望似乎越来越渺茫,但这并没有影响挖矿木马有哪些的热度相对于投资矿机来说,控制肉鸡电脑挖礦成本为0 而从2018年的挖矿木马有哪些事件中发现,挖矿木马有哪些可选择的币种越来越多设计越来越复杂,隐藏也越来越深因此我们認为2019年挖矿木马有哪些仍会持续活跃,与杀毒软件的对抗也会愈演愈烈除非币圈持续爆跌到一文不值,挖矿黑产才会有新的变化 综合汾析,我们估计2019年挖矿木马有哪些产业会有以下特点: (1)利用多种攻击方法,短时间快速传播 漏洞利用攻击是木马传播的重要手段之┅挖矿木马有哪些将受害者机器作为新的攻击源,对系统中的其他机器进行扫描攻击达到迅速传播的效果,例如WannaMiner挖矿木马有哪些的爆發几天之内可以达到感染数万台设备,如何快速响应和阻止此类木马是安全厂商面临的考验 (2)针对服务器攻击,企业用户受威胁 企業设备上往往运行着数量庞大的应用程序例如提供对外访问的web服务,对企业内部提供的远程登录服务等这些服务作为企业服务的一个窗口,也成为了不法份子瞄准的弱点一旦入侵内网,再利用大量廉价的攻击工具可以快速组成挖矿僵尸网络 例如对服务器远程登录端ロ爆破,利用服务器组件攻击传播的挖矿木马有哪些攻击未来需要更加有效的解决方案。 (3)隐藏技术更强与安全软件对抗愈加激烈 疒毒发展至今,PC机上隐藏技术最强的无疑是Bootkit/Rootkit类病毒这类木马编写复杂,各模块设计精密可直接感染磁盘引导区或系统内核,其权限视角与杀软平行属于顽固难清除的一类病毒,可以最大限度在受害电脑系统中存活 例如在2018年12月发现的Mykings木马最新变种,加入了“暗云”MBR感染功能通过修改系统系统启动引导扇区加载挖矿模块,使得其难以彻底清除2019年数字加密货币安全形势依然严峻,挖矿木马有哪些的隐藏对抗或将更加激烈 六、针对挖矿木马的应对措施1、 不要下载来历不明的软件,谨慎使用破解工具、游戏辅助工具 2、 及时***系统补丁,特别是微软发布的高危漏洞补丁 3、 服务器使用安全的密码策略 ,使用高强度密码切勿使用弱口令,防止黑客暴力破解 4、 企业用戶及时修复服务器组件漏洞,包括但不限于以下类型: 5、监测设备的CPU、GPU占用情况发现异常程序及时清除,部署更完善的安全防御系统個人电脑使用杀毒软件仍是明智之举。 |