挖矿木马主要入侵方式
3.5.1 漏洞攻击类型
挖矿木马攻击时利用的漏洞最主要类型为Windows系统漏洞(“永恒之蓝”),其次是WebLogic相关组件漏洞,Apache相关组件漏洞。常用于攻击的包括以下CVE编号的漏洞:
MS17-010“永恒之蓝”CVE-2017-0143
Weblogic反序列化任意代码执行漏洞CVE-2017-10271,CVE-2018-2628,CVE-2019-2725
Apache Struts2远程代码执行漏洞CVE-2017-5638
Apache Solr 远程代码执行漏洞CVE-2019-0193
Apache Tomcat远程代码执行漏洞CVE-2017-12615
挖矿木马主要漏洞攻击类型
3.5.2 爆破攻击类型
挖矿木马主要的爆破攻击类型为SQL爆破(包括MsSQL、MySQL),其次是IPC$和SSH。由于部分IT管理人员缺乏安全意识,许多数据库和远程登录服务被设置为弱口令。SplashData公布的2019排名前五位的最差密码分别是“123456”、“123456789”、“qwerty”、“password”和“1234567”,这些密码也是黑客在爆破攻击时的首选。
挖矿木马通过内置的包含大量简单密码的字典进行自动匹配,很容易破解此类弱口令并入侵系统。
挖矿木马主要爆破攻击类型
四、2019年挖矿木马的技术特点
4.1传播特点
4.1.1 供应链感染
2018年底出现的DTLMiner是利用现有软件的升级功能进行木马分发,属于供应链感染的典型案例。黑客在后台配置文件中插入木马下载链接,导致软件在升级时下载木马文件。由于软件本身拥有巨大的用户量,导致木马在短时间内感染量大量的机器。
DTLMiner篡改的配置文件
4.1.2 跨平台攻击
挖矿木马经历了从控制普通电脑到以控制企业主机为主,从只控制Windows挖矿到混合感染多个平台的变化。2019年腾讯御见威胁情报中心发现了”Agwl“,“萝莉帮”,WannaMine,Satan等多个针对linux的挖矿木马。
2019年3月,Satan病毒出现最新变种,该变种病毒针对Windows系统和Linux系统进行无差别攻击,然后在中招电脑中植入勒索病毒勒索比特币、同时植入挖矿木马挖矿门罗币。
Satan病毒跨平台攻击
我们发现黑产为了实现的利益最大化,还会将挖矿木马与勒索软件、远控后门、剪贴板大盗、DDOS等木马的打包进行混合攻击。以下列举2019年的7个流行家族及其在攻击中植入的病毒种类:
多种病毒组合攻击
4.1.3 社交网络
2019年12月御见威胁情报中心发现了通过社会工程骗术传播的“老虎”挖矿木马(LaofuMiner)。攻击者将远控木马程序伪装成“火爆新闻”、“色情内容”、“隐私资料”、“诈骗技巧”等文件名,通过社交网络发送到目标电脑,受害者双击查看文件立刻被安装“大灰狼”远控木马。然后攻击者通过远控木马控制中毒电脑下载挖矿木马,中毒电脑随即沦为矿工。
此文由 比特币官网 编辑,未经允许不得转载!:首页 > 比特币挖矿 » 腾讯安全发布2019年度挖矿木马报告(全文)