挖矿⽊马检测全纪录!中睿天下助⼒政企全⾯围剿⽹络“寄⽣⾍” 近⽇,国家发展改⾰委会同中央宣传部、中央⽹信办、⼯业和信息化部等有关部门联合印发了《关于整治虚拟货币“挖矿”活动的通知》,全国范围内重点整治虚拟货币“挖矿”,并多次强调各省区市要坚决贯彻落实好虚拟货币“挖矿”整治⼯作的有关部署,对虚拟货币“挖矿”活动进⾏清理整治,严查严处国有单位机房涉及的“挖矿”活动。
“挖矿”⽊马威胁是近年来影响政企⽹络安全的威胁之⼀,⿊客为了获取⾼性能计算能⼒,通常在⽤户不知情或者不经允许的情况下,盗⽤他⼈的系统资源和⽹络资源,将别⼈的计算机变成⾃⼰的“矿机”,此时,作为计算机资源聚集地的企事业单位⾃然成为了挖矿者的重要⽬标。
对于企事业单位来说,“挖矿”带来的危害不容⼩觑
⼀⽅⾯,服务器资源被⼤量消耗,其他服务或软件受到影响运⾏速度变慢,系统卡顿,性能变差,严重时系统获取不到资源导致直接崩溃,业务被迫中断。
另⼀⽅⾯,挖矿⽊马的成功植⼊意味着企业系统存在的漏洞被利⽤,⿊客能够借机窃取服务器机密信息,甚⾄以此作为跳板攻击其他计算机,且挖矿⽊马导致的关闭安全软件⾏为,会让受害主机安全防护能⼒消失,被⼊侵的风险倍增。
在⼤多数情况下,运营“挖矿”⽊马的⽹络⿊产,并不像病毒攻击者那样从事极端的破坏⾏动。他们更愿意长期、稳定控制⼤量⾁鸡电脑,组建僵⼫⽹络挖矿牟利,其中绝⼤部分以消耗CPU资源的门罗币挖矿占绝对统治地位。
课堂教学模式对于⼤部分互联⽹⽤户来说,“挖矿”⽊马更像是隐藏在互联⽹⾓落中的“寄⽣⾍”,⼈们对其知之甚少。“知⼰知彼百战不殆”,只有先了解挖矿⽊马的本质,才能及时做出防范和应对,⼀起了解下“挖矿”吧。
什么是挖矿?
简单来说,挖矿就是利⽤芯⽚进⾏⼀个与随机数相关的计算,得出答案后以此换取⼀个虚拟币,运算能⼒越强的芯⽚就能越快到这个随机答案,理论上单位时间内能产出越多的虚拟币,由于关系到随机数,只有恰巧到答案才能获取奖励。
挖矿的⽅式介绍
主流挖矿机制介绍
01
POW⼯作量证明挖矿
POW⼯作量证明挖矿,需要专业矿机⾼速运转提供算⼒。⼯作量证明,说⽩话就是你提供劳动来挣钱(也就是算⼒),做得多拿得多(算⼒⼤收益⼤),算⼒⼤则耗电⼤,所以⽐特币挖矿耗电就是这样。代表币种⽐特币。
02
POS权益证明挖矿
POS权益证明挖矿,相当于持币⽣息(⽆需购买矿机)。简单说就是抵押,你的币抵押到矿池,矿池给你利息,抵押币越多,收益越⼤。代表币种MDX币。
03
DPOS委托权益证明挖矿
DPOS委托权益证明挖矿,选出代表帮⾃⼰挖矿(⽆需购买矿机)。简单的来说,你只需要去给你认为能被选中并承诺分红的节点投票,这些节点被选中后便可挖矿,你就可以获得节点承诺的相应分红。⽽此收益不需要你真实的操作挖矿,⽽仅仅只需要你动动⼩⼿指去投个票。代表币种LBTC。
04
POC硬盘存⼒挖矿,以Filecoin开创的挖矿模式,拥有硬盘存储空间即可挖矿,成本较低,节能环保。简单说就是:提供硬盘存储空间获得报酬,空间越⼤收益越⼤。代表币种FIL,XCH。
挖矿⽅法说明
CPU挖矿和GPU挖矿,简单来说,那就是利⽤CPU运算能⼒挖矿的就是CPU挖矿,利⽤GPU运算能⼒挖矿的就是GPU 挖矿。
除了CPU挖矿和GPU挖矿,还有另外⼀种挖矿⽅式是硬盘挖矿。硬盘挖矿的币种为chia,中⽂称之为“奇亚”。奇亚挖矿分为两步:P盘和耕种,你可以把硬盘挖矿想象成学习数据和回答问题的过程,P盘就相当于硬盘通过不断学习服务器发过来的数据,把这些数据都储存在硬盘上,你的硬盘越⼤,存储的知识就越多(这个过程是得不到奇亚币的)。虽然学习数据的过程是得不到任何奇亚币的,但是这⼀步对于硬盘挖矿来说⾄关重要,你的硬盘容量⾜够⼤,能学习到的知识就越多,这样在之后的挖矿过程(耕种),你才能更快更准确的回答出服务器发过来的问题。然后服务器每隔⼀段时间就会发给你⼀个问题,此时你就可以从硬盘知识库⾥通过各种排列算法给出服务器正确的答案,然后服务器就会奖励你⼀个奇亚币,这个过程才是真正在挖矿,软件⾥边叫“耕种”。
除了CPU挖矿、GPU挖矿、硬盘挖矿,还有专业矿机挖矿、浏览器挖矿、⼿机挖矿等⽅式,但从原理上俩说都属于这三⼤类⾥⾯。例如专业矿机⼀般是利⽤CPU或GPU进⾏挖矿。⼿机挖矿则是通过购买算⼒进⾏挖矿,本质上也是利⽤矿机的CPU或者GPU;浏览器挖矿⼀般也是利⽤CPU进⾏挖矿,例如常见的Coinhive家族⽹页挖矿⽊马就是利⽤该类利⽤CPU进⾏挖矿的。
挖矿⽊马原理
前⾯在介绍挖矿时有提到,挖矿的本质是利⽤计算机的运算能⼒,这也说明当运算能⼒越多时,收获就会越⼤。⽽随着投⼊挖矿的⼈越来越多,这件事也会变得越难,这时候矿⼯就需要⽤更强⼤的计算机/计算机才能成功解题,为了提⾼运算能⼒,矿⼯们会集结⼤量的计算机运算能⼒进⾏挖矿,再按照投⼊及贡献程度进⾏拆分收益,也因此,个⼈矿⼯已越来越难和专业挖矿组织竞争,要增加算⼒,就需要投⼊专业配置的计算机,这样就⼤⼤的增加了成本,于是就有⼀些不法分⼦利⽤挖矿⽊马⾮法植⼊其他⽤户的计算机,把这些计算机“免费”征⽤为⾃⼰的矿机,这就衍⽣了挖矿⽊马。
挖矿⽊马说到底也是⼀种⽊马,伴随着⼀系列恶意⾏为。通常,挖矿⽊马都会消耗⼤量的CPU或GPU资源,占⽤⼤量的系统资源和⽹络资源,其可能造成系统运⾏卡顿,系统或在线服务运⾏状态异常,造成内部⽹络拥堵,除此之外,部分挖矿⽊马甚⾄存在远控功能,这给攻击团伙提供了⼀个进⼊企业⽹络的通道,让其可以实施更具危害的恶意活动,⽐如信息窃密、攻击等。
键盘防尘罩
挖矿⽊马的感染⽅式
01
⾁鸡控制类
通常由于暴露在公⽹上的主机和服务由于未及时更新系统或组件补丁,导致存在⼀些可利⽤的远程利⽤漏洞,或由于错误的配置及设置了较弱的⼝令导致登录凭据被暴⼒破解或绕过认证和校验,以⾄服务器失陷,被植⼊挖矿⽊马。⽐较常见的例如ssh爆破、rdp爆破、数据库爆破、Nday利⽤等等。这种⽅式多为攻击者写好⾃动化脚本或程序,进⾏蠕⾍式、⽆差别攻击,⼀旦在某台主机落脚,该主机就会被做攻击节点,继续对外攻击、传播。
02
⼀般⽊马传播⽅式
该种⽅式和其他⽊马的传播⽅式基本⼀样,会利⽤诸如钓鱼欺诈、⾊情内容诱导、伪装成热门内容的图⽚或⽂档、捆绑正常应⽤程序等,当⽤户被诱导内容迷惑并双击打开恶意的⽂件或程序后,恶意挖矿程序会在后台执⾏并悄悄的进⾏挖矿⾏为。
03
供应链感染
该种⽅式对攻击者要求较⾼,但⼀旦成功,则受害⾯⼴、危害⼤。例如驱动⼈⽣供应链攻击事件。
04
一个圆柱形玻璃容器挖矿劫持
挖矿劫持⼜叫Cryptojacking = Cryptocurrency(数字加密货币)+ Hijacking(劫持)。它的字⾯意义是劫持,实际意义则是劫持⽤户的设备,利⽤ CPU 或其他处理器进⾏挖矿,因⽽也叫做:挖矿劫持。它的定义是在受害者不知情的前提下,使⽤受害者的计算设备来挖取。
⾃从⾸个挖矿劫持脚本出现,已经有很多⽹站沦陷了,其中不乏知名⽹站和⼤公司的官⽹。包括星巴克(Starbucks)、⽆限制格⽃ (UFC) 等,就连 YouTube 都因为 Google ⼴告平台的漏洞⽽失守。
05
挖矿劫持内部⼈员私⾃安装和运⾏挖矿程序
除了技术⾯的风险,⼈员侧存在的风险也不可忽视,需要防⽌企业内部⼈员私⾃利⽤企业内部资源进⾏挖矿。
检测思路
流量侧检测
挖矿前通常伴随着各种漏洞攻击植⼊后门,如ssh、rdp爆破、weblogic cvE-2019-2725、Apache Struts2 CVE-2017-5638,ThinkPHP5CNVD-2018-24942等等漏洞攻击。(下图为中睿天下开发的⽹络攻击溯源系统拦截到的恶意漏洞攻击流量包)
漏洞攻击告警
1、
stratum协议
通过漏洞⼊侵之后,挖矿软件就会与矿池产⽣通信,stratum协议是⽬前主流的矿机和矿池之间的TCP通讯协议,通过
通过漏洞⼊侵之后,挖矿软件就会与矿池产⽣通信,stratum协议是⽬前主流的矿机和矿池之间的TCP通讯协议,通过检测stratum协议来发现挖矿⾏为是⾏之有效的。stratum协议为JSON的数据格式,分析矿机与矿池之间使⽤stratum协议的通信过程,如下:
stratum协议的通信过程
通信过程主要分为矿机登记、任务下发、账号登录、结果提交与难度调整等部分,具体过程如下:
•矿机登记以mining.subscribe⽅法向矿池连接:
{"id":1,"method":"mining.subscribe","params":[]}
•矿池以ify⽅法返回相关信息:
{"id":1,"result":[["ify","ae681a46897cd7735a30259ab1c5cf71f"],"089999002",4],"error":null}
账号登录⼀般分为两种,⼀种是直接登录,另⼀种是通过jsonrpc⽅式(很多挖矿节点与矿池的通信是依靠jsonrpc来进⾏请求与相应的,这种⽅式也是依赖于TCP的Stratum协议)。
•矿机直接通过mining.authorize⽅法登录:
{"params":["miner1","password"],"id":2,"method":"mining.authorize"}
•通过jsonrpc⽅式登录:
{"id":1,"jsonrpc":"2.0","method":"login","params":{"login":"blue1","pass":"x","agent":"Windows NT 6.1; Win64; x64"}}•结果提交通过"mining.submit"⽅法向矿池提交任务:
{"params":["miner1","bf","00000001","504e86ed","b2957c02"],"id":4,"method":"mining.submit"}
•难度调整以mining.set_difficulty⽅法调整难度:
{"id":null,"method":"mining.set_difficulty","params":[2]}
分析上⾯json内容,主要特征字段有id、method、jsonrpc、params、result、login、pass、agent、mining.submit等,通过对具体通信数据包进⾏相应特征字符串检测,以此来发现挖矿⾏为的存在。⽽⽹页挖矿⾏为也可以通过检测coinhive.min.js等特征字符串来发现。
2、
门罗部分流量特征
门罗币采⽤Cryptonight算法,公开提供的程序有xmr-stak,xmrig,claymore等,相应的主要流量请求特征为:
xmr-stak:
request:
{"method":"login","params":{"login":"xxxxxxx","pass":"xxx","rigid":"","agent":"xxxxxx"},"id":1} {"method":"submit","params":{"id":"xx","job_id":"xxxxxx","nonce":"xxxxx","result":"xxxxxx"},"id":1}
response:
{"method":"job","params":{"target":"xxxxx","job_id":"xxxxxx","blob":"xxxxxxx"}}
xmrig:
request:
{"id":x,"jsonrpc":"2.0","method":"login","params":{"login":"xxxxxx","pass":"x","agent":"xxxxx","algo":["xxx","xxx","xxx"]}} {"id":x,"jsonrpc":"2.0","method":"submit","params":{"id":"xxxx","job_id":"xx","nonce":"xxxx","result":"xxxxxxx"}} response:
{"params":{"blob":"xxxxxx","taget":"xxxx","job_id":"xxxxx"},"method":"xxx"}
玻璃包装箱claymore:
洗手器request:
{"method":"login","params":{"login":"xxxxxx","pass":"x","agent":"xxx"},"id":1} {"method":"submit","params":{"id":"xxxx","job_id":"xxx","nonce":"xxxxx","result":"xxxxx"},"id":x}t233
response:
{"params":{"blob":"xxxxxx","target":"xxxx","job_id":"xxx"},"method":"xxx"}
3、
其他⾏为
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议