腾讯安全发布2019年度挖矿木马报告(全文)
目录
一、背景
二、币价曲线与重大安全事件
2.1WannaCry
2.2第一次上涨
2.3波动下跌
2.4第二次上涨
三、2019挖矿木马感染趋势
3.1样本产量
3.2地区分布
3.3行业分布
3.4活跃家族
3.5主要入侵方式
四、2019挖矿木马技术特点
4.1传播特点
4.2恶意代码执行
4.3持久化攻击
五、挖矿木马防御和处置建议
5.1防御方案
5.2处置建议
六、挖矿木马的未来趋势
6.1“永恒之蓝“漏洞
6.2BlueKeep漏洞
6.3僵尸网络
一、背景
2019年8月,国家发布支持深圳建设中国特色社会主义先行示范区的意见,其中提到,支持在深圳开展数字货币研究与移动支付等创新应用。业内人士认为,开展数字货币研究将发挥数字经济的积极作用。
2009年比特币诞生,至今已经第十年,创建于2014年的门罗币也已经到了第5年。以比特币,门罗币为代表的数字加密货币近年来已逐渐为大众所熟知,不少人利用交易数字货币赚取收益。
随着数字经济的蓬勃发展,由此带来的数字资产安全问题也不断出现,根据数字货币的基本原理:不依靠特定货币机构发行、依据特定算法、通过大量的计算产生,使得“挖矿”成为最基本的获取数字加密货币的方式。而想要通过“挖矿”获取更多的币,唯一的途径是提升算力,所以需要投入大量的资金用购买计算设备。
而黑客总是希望不投入资金就获得大量回报,“控制其他人的计算机进行挖矿计算”的想法油然而生,这也就是“挖矿木马”的概念。“挖矿木马”的最早出现时间目前不能确定,但是开始大规模流行于2017年初。
黑客入侵控制大量计算机并植入矿机程序后,利用计算机的CPU或GPU资源完成大量运算,从而获得数字加密货币。同时,黑产在暗网进行非法数据或数字武器售卖时大部分采用比特币作为交易货币,导致数字加密货币成为黑灰产业的流通媒介,也催生了挖矿产业的持续繁荣。从2017年爆发之后,挖矿木马逐渐成为网络世界主要的威胁之一。
挖矿进程CPU占用
本报告首先介绍以比特币价格变化曲线为时间轴,在该期间发生的重大安全事件,然后总结2019年挖矿木马的总体趋势以及技术特点,并给出了通用型和具有针对性的防御和处置建议,最后对挖矿木马的未来趋势作出预测。
二、币价曲线与重大安全事件
比特币价格与安全事件
观察2017~2019年的比特币价格曲线和重大安全事件图,可以发现在此期间,“币价高位剧烈波动,安全事件层出不穷”,部分影响较大的攻击事件如下:
2.1 WannaCry
2017年5月12日,WannaCry蠕虫通过MS17-010漏洞在全球范围大爆发,感染了大量企业的计算机。该蠕虫感染计算机后向计算机中植入敲诈者病毒,导致电脑大量文件被加密,然后向受害者索要比特币作为恢复文件的赎金。
2.2 第一次上涨
WannaCry蠕虫爆发后的半年时间内(即2017年5月至2017年12月),比特币价格呈爆发性增长,由1000美元/BTC上涨至17000美元/BTC。
WannaCry之后的一段时间内,没有出现其他勒索病毒使用“永恒之蓝”漏洞大规模传播的情况,然而挖矿木马却看从中到了“商机”。2017年下半年开始陆续有利用“永恒之蓝”攻击的挖矿木马,首先被发现的是大型僵尸网络MyKings。
2.2.1 MyKings
Mykings僵尸网络是迄今为止发现的最复杂的僵尸网络之一,主要攻击特点为利用“永恒之蓝”漏洞和针对MsSQL,RDP,Telnet等服务进行密码爆破,然后在失陷主机植入挖矿模块,远程控制模块,并且利用扫描攻击模块进行蠕虫式传播。