文章摘要: 攻擊者在已入侵網路同時釋放挖礦木馬和勒索病毒該病毒還會在使用者的電腦上進行一系列操作來挖礦獲利
前言
年復一年,日復一日,不僅威脅的總數在增加,威脅態勢也變得更加多樣化,攻擊者也在不斷開發新的攻擊途徑並盡力在攻擊過程中掩蓋蹤跡。從Facebook資料洩露和萬豪酒店5億使用者開房資訊掛在暗網銷售、「老當益壯」的WannaCry繼續作惡並且傳播速度更快的Satan等勒索軟體大肆傳播,到花樣百出的APT攻擊行為迅速增長,2018年給我們敲響了另一記警鐘,即數字安全威脅可能來自意想不到的新途徑。
縱觀去年的網路安全整體態勢,資料洩露事件最為觸目驚心,全年的漏洞採集數量也達到歷年的高峰,勒索軟體也大有向挖礦的轉型之勢。
資料洩露事件爆炸式上升
數字化變革技術正在重塑組織機構的經營方式,並將它們帶入一個數據驅動的世界,但是企業急於擁抱數字化新環境的做法也帶來了更多被攻擊的新風險,需要企業採取資料安全控制措施來加以防範。
經Verizo調查,今年已經發生了5.3萬多起安全事件,其中2216起被確認爲資料洩漏事件。另外,在這5萬多起安全事件中,有4.3萬起(81.1%)都是黑客通過竊取身份憑證來實現的。這也證實了一個普遍的觀點:盜用身份憑證仍然是黑客最常用、也是最有效的攻擊和破壞手段。
根據Thales eSecurity的調查報告,不斷增長的資料威脅程度及其影響力清晰地體現在資料洩露和脆弱性的等級上:
2016年,26%的的受訪者表示遭遇了資料洩露,2017年的佔比上升至36%,而到2018年這一比例明顯上升至67%。
基於此,44%的受訪者感到「非常」或「極其」容易遭受資料威脅。
雖然技術在隨著時代而發展,但安全策略卻並未與時俱進,這很大程度上是因為實際支出與最有效的資料保護方法錯配所致。
77%的受訪者表示在預防資料洩露方面靜態資料安全解決方案最為有效,緊隨其後的是網路安全(75%)和動態資料(75%)解決方案。
儘管如此,57%的受訪者卻仍將大多數支出用於端點和移動安全技術上,其次是分析與關聯工具(50%)。
在資料保護方面,認知與現實之間的差距是顯而易見的,在IT安全的支出優先事項中,靜態資料安全解決方案的支出反倒墊底(40%)。
以下摘錄一些2018年發生的全球性資料洩露事件:
年度資料洩露事件盤點
1. Facebook資料洩露
事件回顧:雖然Facebook資料洩露量不如後面的那些公司高,但其次數和影響非常深遠。一家第三方公司通過一個應用程式收集了5000萬Facebook使用者的個人資訊,由於5000萬的用戶數據接近Facebook美國活躍使用者總數的三分之一,美國選民人數的四分之一,波及的範圍非常大。後來,5000萬用戶數量上升至8700萬。今年9月,Facebook爆出,因安全系統漏洞而遭受黑客攻擊,導致3000萬用戶資訊洩露。其中,有1400萬人使用者的敏感資訊被黑客獲取。這些敏感資訊包括:姓名、聯繫方式、搜尋記錄、登陸位置等。
12月14日,又再次爆出,Facebook因軟體漏洞可能導致6800萬用戶的私人照片洩露。具體來說,在9月13日至9月25日期間,其照片API中的漏洞使得約1500個App獲得了使用者私人照片得訪問許可權。一般來說獲得使用者授權的App只能訪問共享照片,但這個漏洞導致使用者沒有公開的照片也照樣能被被讀取。
結果:Facebook CEO資料洩露道歉,並多次出席聽證會。一系列事件影響,Facebook股價已較年初跌了29.70%(12月25日)。而12月份的這次洩露,歐洲隱私管制機構愛爾蘭資料保護委員會已著手調查,Facebook或因此被罰款超過16億美元。
2. 涉嫌侵犯數百億條公民個人資訊,上市公司資料堂被公安一鍋端
事件回顧:據新華社新媒體2018年7月8日報道,大資料行業知名企業資料堂(831428.OC)在8個月時間內,日均傳輸公民個人資訊1.3億餘條,累計傳輸數據壓縮後約為4000GB左右,公民個人資訊達數百億條,資料量特別巨大。
結果:除了資料堂外,山東警方共抓獲犯罪嫌疑人57名,打掉涉案公司11家。
3. 新三板掛牌公司涉竊取30億條個人資訊,非法操控公眾賬號加粉或關注
事件回顧:今年8月份,澎湃新聞從紹興市越城區公安分局獲悉,該局日前偵破一起特大流量劫持案,涉案的新三板掛牌公司北京瑞智華勝科技股份有限公司,涉嫌非法竊取使用者個人資訊30億條,涉及百度、騰訊、阿里、京東等全國96家網際網路公司產品,目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。案件仍在進一步偵辦中。
結果:目前警方已從該公司及其關聯公司抓獲6名犯罪嫌疑人。
4. 圓通10億快遞資訊洩露
事件回顧:六月份,暗網一位ID「f666666」的使用者開始兜售圓通10億條快遞資料,該使用者表示售賣的資料為2014年下旬的資料,資料資訊包括寄(收)件人姓名,電話,地址等資訊,10億條資料已經經過去重處理,資料重複率低於20%,資料被該使用者以1比特幣打包出售。
結果:有網友驗證了其中一部分資料,發現所購「單號」中,姓名、電話、住址等資訊均屬實。
5. 萬豪酒店5億使用者開房資訊
事件回顧:萬豪國際集團11月30日釋出公告稱,旗下喜達屋酒店客房預訂資料庫遭黑客入侵,最多約5億名客人的資訊可能被洩露。萬豪酒店在隨後的調查中發現,有第三方對喜達屋的網路進行未經授權的訪問。目前,未經授權的第三方已複製並加密了某些資訊,且採取措施試圖將該資訊移出。
萬豪披露,已知的是,大約3.27億客人的個人姓名、通訊地址、電話號碼、電子郵箱、護照號碼、喜達屋SPG俱樂部賬戶資訊、出生日期、性別等資訊都已經可能全部洩漏。
結果:訊息公佈後,萬豪國際的股價在當天的盤前下跌5.6%,報115.02美元。事件曝光後,萬豪採取了各種措施去補救。
6. 華住酒店5億條用戶數據疑洩露
事件回顧:華住酒店集團旗下酒店使用者資訊在「暗網」售賣,售賣者稱資料已在8月14日脫庫。身份證號、手機號,一應俱全,共涉及5億條公民資訊。涉及酒店範圍包括:漢庭、美爵、禧玥、諾富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡萊、海友。此次洩露的資料數量則總計達5億條,全部資訊的打包價為8比特幣,或者520門羅幣(約合人民幣38萬元)。賣家還稱,以上資料資訊的截止時間為2018年8月14日。
結果:隨後,華住集團酒店官方微博迴應此事稱,「已經報警了。真實性目前無法查證,我們資訊保安部門在緊急處理中」。同時官方微博也呼籲,請相關網路使用者、網路平臺立即刪除並停止傳播上述資訊,保留追究相關侵權人法律責任的權利。
7. 瑞士資料管理公司 Veeam 洩露 4.45 億條用戶數據
事件回顧:2018年9月份,研究人員在一個配置錯誤的伺服器上發現了儲存有超過200GB資料的資料庫。據悉,該伺服器處於完全無防禦的狀態,且面向公眾開放,任何人都能夠公開查詢和訪問其資料。研究人員介紹稱,該資料庫中儲存有來自Veeam公司的約4.45億客戶記錄,其中包含客戶的個人資訊,如姓名、電子郵件地址以及居住地、國家等。此外,該伺服器上提供的其他詳細資訊還包括部分營銷資料,例如客戶型別和組織規模、IP 地址、referrerURL 以及使用者代理等。
結果:資訊在網上掛了4天后,就全部無法訪問,想必公司已經採取了措施。對於該起事件有安全專家建議,所有資料庫管理員考慮MongoDB在一年前釋出其資料庫產品的安全指南,同時新增新的內建安全功能,如加密,訪問控制和詳細審計等。
8. Exactis大資料公司失誤洩露2TB隱私資訊:3.4億條,涉及2.3億人
事件回顧:據Wired報道,六月初曝光的市場和資料彙總公司Exactis伺服器資訊暴露的事情經調查為實,涉及大約3.4億條記錄,容量接近2TB,據說涵蓋2.3億人。這些資料包含的隱私深度超乎想象,包括一個人是否吸菸、宗教信仰、養狗或養貓以及各種興趣等。
結果:Exactis事後對資料進行了加密防護,以避免資訊的進一步洩露。
9. 美國功能性運動品牌Under Armour 1.5億使用者資訊洩露
事件回顧:美國功能性運動品牌Under Armour(安德瑪)旗下飲食和營養管理App及網站MyFitnessPal大規模的資料洩露,多達1.5億使用者的資訊被盜。此次資料洩露事件影響到的用戶數據包括使用者名稱、郵箱地址、和加密的密碼。安德瑪表示,該資料洩露事件並沒有涉及到使用者的社會安全號碼、駕駛證號、和銀行卡號等隱私資訊。
結果:Under Armour通過電郵和App訊息提醒使用者立刻更改密碼,當晚其股票市值下跌了4.6%。
10. 問答網站 Quora戶資料遭洩露1個億
事件回顧:12月4日,據紐約時報報道,問答網站鼻祖Quora稱,該公司的計算機系統遭到惡意第三方的未授權訪問,大約有1億使用者的賬戶及私人資訊可能已經洩露,包括姓名、郵箱地址和加密處理的密碼。
結果:Quora CEO釋出博文致歉。官方稱,第一時間僱傭網路安全專家進行調查,同時也聯絡了執法部門。
今年的資料洩露事件還有:
1.國泰航空資料洩露,940萬乘客受影響
2.MongoDB 資料庫被入侵, 1100 萬份郵件記錄遭洩露
3.SHEIN 資料洩露影響 642 萬用戶
4. http://HealthCare.gov 註冊系統被黑客入侵,75000人資料遭洩露
5.GovPayNet憑證系統存在漏洞,1400萬交易記錄被曝光
6.瑞士電信(Swisscom)證實80萬資料被盜,涉全國1/10公民資訊
7.英國航空公司資料洩露事件:38萬人受影響
8.小米有品平臺洩露個人隱私 約2000萬用戶資料遭洩露
9.美國23州連鎖餐館出現數據洩露,超過50萬信用卡資料存在安全風險
10.Atlas Quantum數字貨幣投資平臺數據洩露,影響約26.1萬名客戶
11.知名OCR軟體ABBYY FineReader被曝洩露超過20萬份客戶檔案
12.Instagram平臺被黑 已超百萬使用者資訊洩露
13.乘客航班資訊洩露鏈條曝光,近500萬條資訊被賣
14.醫療軟體公司MedEvolve因伺服器漏洞致20多萬患者資訊洩露
15.Robocall公司洩露了美國數十萬選民個人資訊
16.Adidas數百萬用戶數據洩漏
17.順豐快遞3億使用者資訊外洩(順豐官方否認,表示非順豐資料)
18.陌陌資料外洩3000萬(陌陌官方後來迴應:跟使用者匹配度極低)
19.AcFun受黑客攻擊,近千萬條用戶數據外洩
20.前程無憂使用者資訊在暗網上被公開銷售
21.加拿大兩大銀行遭黑客攻擊 近9萬名客戶資料被竊
22.私人情報機構 LocalBlox 洩露 4800 萬份個人資料記錄
23.中東打車巨頭Careem遭遇網路攻擊 1400萬乘客資訊失竊
24.央視曝光偷密碼的「萬能鑰匙」,9億人個人資訊存風險
25.旅遊網站Orbitz 88萬份信用卡資訊遭洩露
安全漏洞數量和嚴重性創下歷史新高
NVD在2018年收錄的漏洞總數為18,104個,相比2017年的18,240個處於基本持平的態勢。而2018年CNNVD採集的安全漏洞數量為15,040個,相比2017年11,707個全年採集漏洞總數增加28.5%,反映出漏洞數量迅速達到歷年高峰的嚴峻現實。
年度重大漏洞盤點
2018年1月
1、多個CPU資料快取機制漏洞(Meltdown:CNNVD-201801-150和CNNVD-201801-152;Spectre:CNNVD-201801-151):成功利用以上漏洞的攻擊者可使用低許可權的應用程式訪問系統記憶體,從而造成資料洩露。Intel、AMD、ARM的處理器及其關聯的上層作業系統和雲平臺均受此漏洞影響,經證實的作業系統包括Windows、Linux和MacOS,經證實的雲平臺包括基於Xen PV、OpenVZ等構架的雲端基礎設施。目前,微軟、蘋果、紅帽、亞馬遜、騰訊雲、VMware等廠商針對相關漏洞提供了修復補丁或緩解措施。
2、iOS 平臺WebView元件漏洞(UIWebView/ WKWebView)跨域訪問漏洞(CNNVD-201801-515):成功利用該漏洞的攻擊者可以遠端獲取手機應用沙盒內所有本地檔案系統內容,包括瀏覽器的Cookies、使用者的配置檔案、文件等敏感資訊。iOS平臺使用了WebView元件的應用可能均受影響。目前,廠商暫未釋出解決方案,但可通過臨時解決措施緩解漏洞造成的危害。
2018年3月
Cisco IOS Software和IOS XE Software輸入驗證漏洞(CNNVD-201803-1022)、Cisco IOS Software和IOS XE Software quality of service子系統緩衝區錯誤漏洞(CNNVD-201803-1038)、Cisco IOS XE Software安全漏洞(CNNVD-201803-1039)。成功利用上述漏洞的攻擊者,可以對使用了IOS以及IOS XE系統的思科裝置傳送惡意的資料包,最終實現拒絕服務或遠端程式碼執行,完全控制裝置等。所有支援Smart Install client特性的IOS以及IOS XE裝置都可能受漏洞影響。目前,思科官方已對該漏洞進行了修復。
2018年4月
OracleWebLogic Server WLS核心元件遠端程式碼執行漏洞(CNNVD-201804-803、CVE-2018-2628)。遠端攻擊者可利用該漏洞在未授權的情況下發送攻擊資料,通過T3協議在WebLogic Server中執行反序列化操作,實現任意程式碼執行。Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。目前,該漏洞的攻擊程式碼已在網際網路上公開,且Oracle官方已釋出補丁修復該漏洞。
2018年5月
手機程式第三方解壓縮庫輸入驗證安全漏洞(CNNVD-201805-440):手機程式第三方解壓縮庫輸入驗證安全漏洞存在於使用了第三方解壓縮庫的應用中。漏洞源於手機程式中的第三方解壓縮庫,在解壓zip壓縮包時並未對「../」進行過濾。手機程式在呼叫第三方解壓縮庫解壓zip壓縮包時未對解壓路徑進行檢查,當從不安全的來源獲得zip格式壓縮包檔案並解壓縮時,如果該zip壓縮檔案被劫持插入惡意代碼,可能導致任意程式碼執行。
2018年6月
Microsoft Excel遠端程式碼執行漏洞(CNNVD-201806-800、)及Microsoft Windows HTTP協議堆疊遠端程式碼執行漏洞(CNNVD-201806-771)。成功利用Microsoft Excel遠端程式碼執行漏洞的攻擊者,能在當前使用者環境下執行任意程式碼,如果當前使用者使用管理員許可權登入,攻擊者甚至可以完全控制該使用者的系統。成功利用Microsoft Windows HTTP 2.0協議堆疊遠端程式碼執行漏洞的攻擊者,可在目標系統上執行任意程式碼,並控制該使用者的系統。目前,微軟官方已經發布補丁修復了上述漏洞,建議使用者及時確認是否受到漏洞影響,儘快採取修補措施。
2018年7月
1、OracleWebLogic Server WLS核心元件遠端程式碼執行漏洞(CNNVD-201807-1276):攻擊者可以在未經授權的情況下,遠端傳送攻擊資料,通過T3協議在WebLogic Server中執行反序列化操作,最終實現了遠端程式碼的執行。目前,Oracle官方已經發布補丁修復該漏洞,請使用者及時檢查產品版本,如確認受到漏洞影響,可安裝補丁進行防護。
2、微信支付SDKXXE漏洞(CNNVD-201807-083):成功利用該漏洞的攻擊者可以遠端讀取伺服器檔案,獲取商戶伺服器上的隱私資料,甚至可以支付任意金額購買商品。使用有漏洞的Java版本微信支付SDK進行支付交易的商家網站可能受此漏洞影響。目前,微信官方已經發布補丁修復該漏洞,建議使用者及時確認是否受到漏洞影響,儘快採取修補措施。
2018年8月
1、Apache Struts2 S2-057安全漏洞(CNNVD-201808-740、CVE-2018-11776):成功利用漏洞的攻擊者可能對目標系統執行惡意代碼。Apache官方已經發布了版本更新修復了該漏洞。
2、微軟多個遠端執行程式碼漏洞(CNNVD-201808-403、CVE-2018-8350和CNNVD-201808-399、CVE-2018-8375等):成功利用上述Windows遠端執行程式碼漏洞的攻擊者,可以在目標系統上執行任意程式碼。微軟官方已經發布補丁修復了上述漏洞。
2018年9月
1、微軟官方釋出了多個安全漏洞的公告,包括Internet Explorer 記憶體損壞漏洞(CNNVD-201809-509、CVE-2018-8447)、Microsoft Excel 遠端程式碼執行漏洞(CNNVD-201809-550、CVE-2018-8331)等多個漏洞。成功利用上述安全漏洞的攻擊者,可以在目標系統上執行任意程式碼。微軟多個產品和系統受漏洞影響。微軟官方已經發布補丁修復了上述漏洞。
2018年10月
1、Oracle WebLogic Server遠端程式碼執行漏洞(CNNVD-201810-781):攻擊者可利用該漏洞傳送攻擊資料,通過T3協議在WebLogic Server中執行反序列化操作,最終實現遠端程式碼執行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影響。Oracle官方已經發布了漏洞修復補丁。
2、微軟官方釋出了多個安全漏洞的公告,包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)、Microsoft Windows Hyper-V安全漏洞(CNNVD-201810-327)等多個漏洞。成功利用上述漏洞的攻擊者,可以在目標系統上執行任意程式碼。微軟多個產品和系統受漏洞影響。微軟官方已釋出修復上述漏洞的補丁。
2018年11月
1、macOS High Sierra和iOS系統存在核心漏洞(CNNVD編號:CNNVD-201810-1510、CVE編號:CVE-2018-4407),該漏洞是XNU系統核心中網路部分的堆緩衝區溢位導致,攻擊者通過向目標裝置傳送特殊構造的資料包從而執行惡意代碼或使系統崩潰重啟。觸發該漏洞的必要條件是攻擊者與目標系統需處於同一網路(如Wi-Fi)。
2、微軟多個安全漏洞,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多個漏洞。成功利用上述安全漏洞的攻擊者,可以在目標系統上執行任意程式碼。
2018年12月
微軟多個安全漏洞,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多個漏洞。成功利用上述漏洞可以在目標系統上執行任意程式碼。微軟多個產品和系統受漏洞影響。微軟官方已經發布漏洞修復補丁。
勒索軟體業務經歷市場調整
如果將勒索軟體看作一項生意的話,從2016年開始到2017年勒索軟體的高額利潤吸引大批攻擊者蜂湧而至,贖金更是漫天要價。2018年,勒索軟體「市場」就有點不景氣了,勒索軟體家族的總數下降,贖金要求也下降了,這表明勒索軟體已經成爲了商品。許多網路犯罪分子可能已經將注意力轉移到加密電子貨幣挖礦上,因為作為現金的替代品,加密電子貨幣的價值非常高。網上銀行交易威脅也有死灰復燃的趨勢,某些臭名昭著的勒索軟體集團正試圖增加威脅的種類。儘管勒索軟體變種數量較去年有所上升,表明那些臭名昭著的犯罪集團仍然相當高產,但勒索軟體家族的數量有所下降,這表明他們的創新力出現了下降,也可能已將注意力轉向了更高價值的新目標。
2018年新興的勒索軟體家族摘錄
1. 2018年1月,GandGrab勒索家族首次出現
應該算是勒索病毒家族中的最年輕,但是最流行的一個勒索病毒家族,短短几個月的時候內,就出現了多個此勒索病毒家族的變種,而且此勒索病毒使用的感染方式也不斷髮生變化,使用的技術也不斷在更新,此勒索病毒主要通過郵件進行傳播,採用RSA+ASE加密的方式進行加密,檔案無法還原。
2. 2018年2月,多家網際網路安全企業截獲了Mind Lost勒索病毒
該勒索軟體採用C#語言開發,其主要功能是採用AES加密方式加密本地檔案,之後引導受害者至指定的網頁要求付費解密檔案,與以往勒索軟體不同的是,此次勒索軟體並沒有要求受害者支付比特幣等數字貨幣進行付費解密操作,而是直接要求使用者使用信用卡或借記卡支付贖金,以此來套取銀行卡資訊,進而將此資訊出售給不法分子從而牟取更大利益。加密樣本賬戶的電腦的Users目錄下的檔案,如果字尾為」.txt」,」.jpg」,」.png」,」.pdf」,」.mp4″,」.mp3″,」.c」,」.py」的檔案就直接加密,且解密贖金達到200美元。
3. 2018年3月,GlobeImposter勒索病毒家族
GlobeImposter勒索病毒家族是從2017年5月開始出現,並在2017年11月和2018年3月有兩次較大範圍的疫情爆發,在2017年11月前的GlobeImposter勒索病毒大部分被稱為GlobeImposter1.0,此時的病毒樣本加密字尾名以「.CHAK」較為常見,在2018年3月時出現了GlobeImposter2.0,此時的病毒樣本加密字尾名以「.TRUE」,「.doc」較為常見,GlobeImposter也增加了很多新型的技術進行免殺等操作。
4. 2018年3月,麒麟2.1的勒索病毒
2018年3月1日,監測到了「麒麟2.1」的勒索病毒。通過QQ等聊天工具傳檔案方式傳播,一旦中招就會鎖定電腦檔案,登入後會轉走支付寶所有餘額。中招後,它會鎖定電腦檔案,表面上要求掃碼用支付寶付款3元,但實際上掃碼是登入支付寶,登入後會轉走支付寶所有餘額。
5. 2018年3月,CrySiS勒索病毒爆發
伺服器檔案被加密為.java字尾的檔案,採用RSA+AES加密演算法,主要運用了Mimikatz、IP掃描等黑客工具,進行RDP爆破,利用統一密碼特性,使用相同密碼對全網業務進行集中攻擊,通過RDP爆破的方式植入,同時此勒索病毒在最近也不斷出現它的新的變種,其加密字尾也不斷變化之中。
6. 2018年12月,一個以微信為支付手段的勒索病毒在國內爆發
幾日內,該勒索病毒至少感染了10萬臺電腦,通過加密受害者檔案的手段,已達到勒索贖金的目的,而受害者必需通過微信掃一掃支付110元贖金才能解密。
2018年6月,羅某某自主研發出病毒「cheat」,用於盜取他人支付寶的賬號密碼,進而以轉賬方式盜取資金。
同時製作內含「cheat」木馬病毒程式碼的某開發軟體模組,在網際網路上釋出,任何通過該開發軟體編寫的應用軟體均包含木馬病毒程式碼,程式碼在後臺自動執行,記錄使用者淘寶、支付寶等賬號密碼,以及鍵盤操作,上傳至伺服器。此外,嫌疑人通過執行命令對感染病毒的計算機除系統檔案、執行類檔案以外的所有檔案進行加密,隨後彈出包含解密字樣和預置微信收款二維碼的勒索介面,解密程式標題顯示「你的電腦已被加密,請執行以下操作,掃一掃二維碼,你需要支付110進行解密」。
挖礦攻擊迭起,花樣不斷翻新
2018年全球爆發了惡意加密貨幣挖掘,因此產生的惡意軟體攻擊次數增加了83%以上。今年前三個季度有超過500萬用戶被惡意軟體攻擊,而2017年同期為270萬。根據卡巴斯基實驗室的說法,在加密淘金熱背後的主要驅動因素是安裝和使用未經許可的軟體和內容。在2018年,惡意加密貨幣開採戰勝了過去幾年的主要威脅:勒索軟體。受惡意加密貨幣挖掘軟體攻擊的網際網路使用者數量在今年上半年穩步增長,遭遇挖礦攻擊的使用者數量從2016年-2017年度的1,899,236人次,增長為2017-2018年度的 2,735,611人次。挖礦攻擊出現頻率越來越高,對受害者造成的危害也日益嚴重,而且目前已經轉向企業目標。
多家網際網路企業和網路安全企業分析認為,非法「挖礦」已成為嚴重的網路安全問題。其中,騰訊雲監測發現,隨著「雲挖礦」的興起,雲主機成為挖取門羅幣、以利幣等數字貨幣的主要利用物件,而盜用雲主機計算資源進行「挖礦」的情況也顯著增多;知道創宇安全團隊監測發現,「爭奪礦機」已成為僵屍網絡擴充套件的重要目的之一;360企業安全技術團隊監測發現一種新型「挖礦」病毒(挖取XMR/門羅幣),該病毒在兩個月內瘋狂傳播,非法「挖礦」獲利近百萬元人民幣。由於入口門檻低,只需要幾行程式碼就可以執行,網路犯罪分子大肆利用挖礦軟體盜用消費者和企業的計算機處理能力以及佔用雲端 CPU,為其達到挖掘電子加密貨幣的目的。隨著挖礦軟體在企業環境中逐步蔓延,企業網路面臨著徹底癱瘓的風險。它可能還會給企業帶來財務上的影響,例如為挖礦軟體所佔用的雲CPU 買單。隨著惡意挖礦軟體的不斷升級,物聯網裝置將仍然是這類攻擊的絕佳目標。
挖礦木馬年度盤點
2018年1月
1、tlMiner爆發,它是隱藏在《絕地求生》輔助程式中的HSR幣挖礦木馬。該挖礦木馬由一遊戲輔助團隊投放,瞄準遊戲高配機實現高效率挖礦,單日影響機器量最高可達20萬臺。「tlMiner」木馬作者在「吃雞」遊戲外掛、海豚加速器(修改版)、高仿盜版視訊網站(dy600.com)、酷藝影視網咖VIP等程式中植入「tlMiner」挖礦木馬,通過網咖聯盟、論壇、下載站和雲盤等渠道傳播。木馬作者通過以上渠道植入木馬,非法控制網咖和個人計算機終端為其個人挖礦。
2018年4月11日,在騰訊電腦管家的協助下,山東警方在遼寧大連一舉破獲了「tlMiner」挖礦木馬黑產公司。該公司為大連當地高新技術企業,為非法牟利搭建木馬平臺,招募發展下級代理商近3500個,通過網咖渠道、吃雞外掛、盜版視訊軟體傳播投放木馬,非法控制使用者電腦終端389萬臺,進行數字加密貨幣挖礦、強制廣告等非法業務,合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現金幣)、BCD(比特幣鑽石)、SIA(雲儲幣)等各類數字貨幣超過2000萬枚,非法獲利1500餘萬元。
2、1月6日,一位網名為「Rundvleeskroket」的Reddit(社交新聞站點)使用者聲稱,黑莓手機的官方網站(blackberrymobile[.]com)被發現正使用Coinhive提供的加密貨幣挖礦程式碼來挖掘門羅幣(Monero)。Rundvleeskroket在最新的動態更新中表示,似乎只有黑莓的全球網站(blackberrymobile[.]com/en)受到影響。所以,任何被重定向到CA、EU或US的使用者都不會在網站開放的情況下執行挖礦程式碼。
2018年2月
1、安全公司 CrowdStrike 發現了一款名為 WannaMine 的新型 Monero 加密挖掘蠕蟲,其利用與 NSA 相關的 EternalBlue (「 永恆之藍 」 )漏洞進行傳播。據研究人員測試,WannaMine 能夠感染從 Windows 2000 起的所有 Windows 系統(包括 64 位版本和 Windows Server 2003),並使其裝置效能明顯下降。WannaMine 的惡意代碼十分複雜,因為它實現了一種類似於國家贊助的 APT 組織所使用的擴散機制和永續性模型。更詳細地解釋是:WannaMine 利用 Windows 管理工具( WMI )永久事件訂閱來在受感染的系統上獲得永續性。當註冊一個永久事件訂閱後,WannaMine 將在事件使用者中每 90 分鐘執行一個 PowerShell 命令。研究人員注意到,WannaMine 使用憑證收割機 Mimikatz 來收集使用者憑據,從而達到橫向移動的目的,但如果不能夠橫向移動的話,WannaMine 將更依賴於 EternalBlue 的利用。
2、從2018年2月3日開始,一組惡意代碼開始蠕蟲式快速傳播,360安全團隊將其命名為ADB.Miner。最早的感染時間可以回溯到1月31日左右,這波蠕蟲式感染於2018年2月3日下午被360系統檢測,感染安卓裝置上 adb 除錯介面的工作埠5555,正常情況下這個埠應該被關閉,但未知原因導致部分裝置錯誤的開啟了該埠蠕蟲式感染,惡意代碼在完成植入後,會繼續掃描 5555 adb 埠,完成自身的傳播感染。感染的裝置大部分是智慧手機以及智慧電視機頂盒。
2018年3月
一種全的新的 Android 挖礦惡意軟體 HiddenMiner 可以暗中使用受感染裝置的CPU 計算能力來竊取 Monero。HiddenMiner 的自我保護和永續性機制讓它隱藏在使用者裝置上濫用裝置管理員功能 (通常在 SLocker Android 勒索軟體中看到的技術)。另外,由於 HiddenMiner 的挖礦程式碼中沒有設定開關、控制器或優化器,這意味著一旦它開始執行挖礦程序,便會一直持續下去,直到裝置電量耗盡為止。鑑於 HiddenMiner 的這種特性,這意味著它很可能會持續挖掘 Monero,直到裝置資源耗盡。根據研究人員的說法,HiddenMiner 是在第三方應用商店發現的,大部分受害使用者都位於中國和印度。HiddenMiner 的持續挖礦與導致裝置電池膨脹的Android 惡意軟體 Loapi 類似,不僅如此,HiddenMiner 還使用了類似於撤銷裝置管理許可權後 Loapi 鎖定螢幕的技術。
2018年5月
「WinstarNssmMiner」來襲。此類挖礦病毒最大的與衆不同是會阻止使用者結束挖礦程序,一旦使用者選擇結束程序,其電腦會立刻藍屏。而且此次的挖礦病毒欺軟怕硬,碰到強力的殺軟會當縮頭烏龜,一旦碰到實力不濟的殺軟它就會關閉正在執行的防毒軟體程式。因此中了此類病毒的使用者通常只能面對已經出現卡慢,甚至藍屏的電腦束手無策。該木馬病毒會將自身的惡意代碼以父程序的形式注入系統程序svchost.exe,然後把該系統程序設定為CriticalProcess,在這種情況下一旦強制結束該程序電腦就會立刻藍屏。用研究員的話形容就是,這個病毒真是相當的暴力了!當然,把使用者的電腦暴力藍屏是這個病毒最後的一招,在中病前期,該病毒還會在使用者的電腦上進行一系列操作來挖礦獲利。
2018年6月
撒旦(Satan)勒索病毒的傳播方式升級,不光使用永恆之藍漏洞攻擊,還攜帶更多漏洞攻擊模組:包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss預設配置漏洞(CVE-2010-0738)、Tomcat任意檔案上傳漏洞(CVE-2017-12615)、Tomcat web管理後臺弱口令爆破、Weblogic WLS 元件漏洞(CVE-2017-10271),使該病毒的感染擴散能力、影響範圍得以顯著增強。分析發現,該變種的傳播方式與今年之前發現的版本類似,都有利用JBoss、Tomcat、Weblogic等多個元件漏洞以及永恆之藍漏洞進行攻擊。新變種增加了Apache Struts2漏洞攻擊模組,攻擊範圍和威力進一步提升。最出人意料的是,Satan病毒放棄了此前的勒索,開始轉行傳播挖礦木馬。由於此前的satan勒索病毒的演算法存在「缺陷」,可以被進行完美解密,從而使得勒索作者無法收到贖金。因此本次變種開始改行挖礦,不僅可以穩定的獲得收入,還可以避免很快的暴露(由於挖礦除了會讓機器稍微卡慢一點,給使用者的其他感官不強,因此一般使用者很難察覺到被挖礦)。
2018年9月
1、不法黑客通過1433埠爆破入侵SQL Server伺服器,植入遠端控制木馬並安裝為系統服務,然後利用遠端控制木馬進一步載入挖礦木馬進行挖礦。使用者電腦不知不覺間淪為不法分子「挖礦」的工具,電腦算力被佔用,同時極有可能帶來一系列網路安全風險。截止目前,該木馬現已累計感染約3萬臺電腦。騰訊智慧安全御見威脅情報中心實時攔截該挖礦木馬的入侵,將其命名為「1433爆破手礦工」,不法黑客除了利用感染木馬電腦挖礦外,還會下載NSA武器攻擊工具繼續在內網中攻擊擴散,若攻擊成功,會繼續在內網機器上安裝該遠端控制木馬。在內網攻擊中,「1433爆破手礦工」可使用的漏洞攻擊工具之多,令人咋舌。其載入的攻擊模組幾乎使用了NSA武器庫中的十八般武器,Eternalblue(永恆之藍)、Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Eternalromance(永恆浪漫)、Esteemaudit(RDP漏洞攻擊)等多種漏洞攻擊工具皆可被黑客利用實施內網攻擊。
2、專攻企業區域網的勒索病毒GandCrab,這個臭名昭著的勒索病毒版本號已升級到4.3。與以往不同的是,攻擊者在已入侵網路同時釋放挖礦木馬和勒索病毒,針對高價值目標使用GandCrab勒索病毒,而一般目標則執行挖礦木馬,以最大限度利用被入侵的目標網路非法牟利。分析勒索病毒GandCrab 4.3的入侵通道,發現黑客通過暴力破解Tomcat 伺服器弱密碼實現入侵。入侵成功後,從C2伺服器下載勒索病毒和挖礦木馬,恢復被GandCrab勒索病毒加密的檔案需要付費499美元購買解密工具。通過錢包分析發現,該木馬已收穫18.6個門羅幣,摺合人民幣約1.5萬元。
GandCrab 勒索病毒之前的版本一般通過釣魚郵件和水坑攻擊(選擇最可能接近目標的網路部署陷阱檔案,等待目標網路內的主機下載)。而現在,御見威脅情報中心監測到越來越多的勒索病毒會首先從企業Web伺服器下手,其中Tomcat被暴破弱密碼攻擊的情況近期有明顯上升。攻擊一旦得手,黑客就會以此為跳板,繼續向內網擴散。擴散的手法,往往是使用NSA攻擊工具包或1433,3389埠暴力破解弱口令。之後,黑客會選擇高價值目標下載執行勒索病毒,對一般系統,則植入挖礦木馬獲利。針對企業使用勒索病毒加挖礦木馬雙重打擊是近期比較突出的特點。
2018年10月
Palo Alto Unit 42研究員 Brad Duncan發現的最新惡意軟體中,不僅會安裝XMRig挖礦應用,而且會自動對Flash Player進行更新。這樣在安裝過程中不會引起使用者的懷疑,從而進一步隱藏了它的真正意圖。這款安裝器會真的訪問Adobe的伺服器來檢查是否有新的Flash Player。整個安裝過程中和正式版基本上沒有差別。這樣使用者以為正常升級Flash的背後,安裝了coinminer的挖礦應用。一旦裝置受到感染,就會連線xmr-eu1.nanopool.org的挖礦池,開始使用100%的CPU計算能力來挖掘Monero數字貨幣。
2018年11月
1、擁有Windows和安卓雙版本的挖礦木馬MServicesX悄然流行,中毒電腦和手機會執行門羅幣挖礦程式,造成異常發熱乃至裝置受損的現象。該挖礦木馬十分擅長偽裝,在電腦端使用具有合法數字簽名的檔案,以躲避安全軟體的查殺;在安卓手機端更偽裝成Youtube視訊播放器軟體,不知情的使用者用其在手機上觀看視訊時,病毒會在後臺執行門羅幣挖礦程式。資料顯示,挖礦木馬MServicesX近期表現活躍,感染量波動較大,並且已快速蔓延至全球範圍。在國內,則以廣東、江蘇、香港三地的受感染量最大。經病毒溯源發現,該病毒的Windows版本通過提供各類遊戲下載安裝的某遊戲下載站進行傳播,木馬隱藏在遊戲安裝包中,遊戲安裝程式在執行時會提示使用者關閉防毒軟體,並釋放出木馬檔案「MServicesX_FULL.exe」。安裝包執行後,病毒還會將版本更新設定為計劃任務,每三個小時執行一次,保持木馬更新為最新版本,利用後臺程式挖礦,盡最大可能榨取使用者CPU資源。
2、KoiMiner挖礦木馬變種出現,該變種的挖礦木馬已升級到6.0版本,木馬作者對部分程式碼加密的方法來對抗研究人員除錯分析,木馬專門針對企業SQL Server 伺服器的1433埠爆破攻擊進行蠕蟲式傳播。騰訊御見威脅情報中心監測資料發現,KoiMiner挖礦木馬已入侵控制超過5000臺SQL Server伺服器,對企業資料安全構成重大威脅。該病毒在全國各地均有分佈,廣東、山東、廣西位居前三。
參考資源
http://www.cnnvd.org.cn/
https://ti.360.net/blog/
https://s.tencent.com/research/report/
https://www.huorong.cn/info/
https://dun.163.com/news/p/wangluoanquan1