受比特幣暴漲影響，各類數(shù)字虛擬幣市值均有大幅增長(zhǎng)。而虛擬貨幣繁榮背后，黑色數(shù)字產(chǎn)業(yè)鏈卻早已將方向轉(zhuǎn)向“挖礦”領(lǐng)域，挖礦木馬仍是企業(yè)服務(wù)器被攻陷后植入的主要木馬類型。

　　近日，騰訊安全威脅情報(bào)中心態(tài)勢(shì)感知系統(tǒng)提供的數(shù)據(jù)結(jié)果顯示，針對(duì)云主機(jī)的挖礦木馬樣本量明顯上漲，挖礦團(tuán)伙控制的IP、Domain廣度以及云上挖礦威脅數(shù)量也有較大程度上漲，挖礦木馬整體呈現(xiàn)成倍增長(zhǎng)趨勢(shì)，給企業(yè)用戶云主機(jī)安全帶來(lái)嚴(yán)重威脅。

　　虛擬幣暴漲背后 新老挖礦家族合力加大攻擊力度

　　受利益驅(qū)使，挖礦木馬視更多企業(yè)用戶為攻擊目標(biāo)。從騰訊安全威脅情報(bào)中心態(tài)勢(shì)感知系統(tǒng)提供的數(shù)據(jù)可以看出，老牌挖礦家族目前十分活躍，并且會(huì)針對(duì)云主機(jī)的系統(tǒng)和應(yīng)用部署特性開(kāi)發(fā)新的攻擊代碼。較為典型的就是SystemdMiner、H2Miner兩個(gè)挖礦團(tuán)伙組合利用PostgreSQL的未授權(quán)訪問(wèn)漏洞以及PostgreSQL提權(quán)代碼執(zhí)行漏洞攻擊云服務(wù)器。這意味著，存在漏洞的服務(wù)器可能同時(shí)被多個(gè)挖礦木馬團(tuán)伙掃描入侵，如果不同挖礦木馬火力全開(kāi)同時(shí)挖礦，服務(wù)器就有徹底癱瘓的風(fēng)險(xiǎn)。

　　與此同時(shí)，新的挖礦團(tuán)伙同樣層出不窮。其中，挖礦家族z0Miner在2020年11月2日被發(fā)現(xiàn)利用Weblogic未授權(quán)命令執(zhí)行漏洞進(jìn)行攻擊，當(dāng)次攻擊是在Weblogic官方發(fā)布安全公告(2020.10.21)之后的15天之內(nèi)發(fā)起，這也從側(cè)面反映出挖礦木馬團(tuán)伙對(duì)于新漏洞武器的快速響應(yīng)。

　　以上挖礦行為歸根結(jié)底是由于部分主機(jī)未對(duì)系統(tǒng)進(jìn)行合理的訪問(wèn)策略控制，導(dǎo)致其存在較多的安全缺陷，不法黑客團(tuán)伙趁機(jī)大規(guī)模入侵服務(wù)器并植入挖礦木馬，再利用被控主機(jī)系統(tǒng)的計(jì)算資源挖礦數(shù)字加密貨幣獲利。

　　攻擊手段再升級(jí) 僵尸網(wǎng)絡(luò)助長(zhǎng)挖礦木馬蔓延之勢(shì)

　　在以往的認(rèn)知當(dāng)中，清除惡意軟件就意味著主機(jī)安全威脅的消失。但今天的僵尸網(wǎng)絡(luò)不同于此，它由主機(jī)之外的組件組成，對(duì)它來(lái)說(shuō)，消除惡意軟件和修復(fù)被感染的機(jī)器并不會(huì)令其被完全清除。一個(gè)僵尸網(wǎng)絡(luò)可以有多個(gè)惡意軟件家族，且多個(gè)惡意軟件家族可以是不同僵尸網(wǎng)絡(luò)的成員。因此，當(dāng)僵尸網(wǎng)絡(luò)也加入挖礦陣營(yíng)，企業(yè)用戶面臨的安全風(fēng)險(xiǎn)也隨之加大。

　　同時(shí)，經(jīng)過(guò)長(zhǎng)期演變，挖礦木馬團(tuán)伙的“挖礦”手段也越發(fā)成熟。騰訊主機(jī)安全系統(tǒng)就曾經(jīng)檢測(cè)到Prometei僵尸網(wǎng)絡(luò)和TeamTNT挖礦木馬針對(duì)云服務(wù)器的攻擊，其中TeamTNT挖礦木馬已經(jīng)完成了變種更新，而Prometei僵尸網(wǎng)絡(luò)變種則是針對(duì)Linux系統(tǒng)進(jìn)行攻擊，通過(guò)SSH弱口令爆破登陸服務(wù)器，之后安裝僵尸木馬uplugplay控制云主機(jī)并根據(jù)C2指令啟動(dòng)挖礦程序。新變種對(duì)數(shù)據(jù)回傳和橫向移動(dòng)的模塊代碼進(jìn)行升級(jí)優(yōu)化，表明黑產(chǎn)團(tuán)伙正在繼續(xù)改進(jìn)木馬功能模塊，有危害擴(kuò)大跡象。

　　挖礦木馬作為目前主機(jī)面臨的最普遍威脅之一，是檢驗(yàn)企業(yè)安全防御機(jī)制、環(huán)境和技術(shù)能力水平的關(guān)鍵。如何有效應(yīng)對(duì)此類安全威脅，并在此過(guò)程中促進(jìn)企業(yè)網(wǎng)絡(luò)安全能力提升，應(yīng)成為企業(yè)安全管理人員與網(wǎng)絡(luò)安全廠商的共同目標(biāo)。

　　安全對(duì)抗加劇 阻斷源頭是根本

　　挖礦木馬成倍增長(zhǎng)，高危漏洞頻繁爆出，當(dāng)前安全形勢(shì)不容輕視。隨著安全對(duì)抗不斷升級(jí)，網(wǎng)絡(luò)攻擊將進(jìn)一步加劇，特別是企業(yè)的業(yè)務(wù)上云會(huì)導(dǎo)致攻擊面增加，使得安全環(huán)境更加復(fù)雜。為此，騰訊安全專家提醒企業(yè)提高對(duì)網(wǎng)絡(luò)攻擊的重視程度，加大對(duì)挖礦木馬的防護(hù)力度，構(gòu)建更為牢固的信息安全防線。

　　騰訊安全專家建議，對(duì)于Linux服務(wù)器SSH、Windows SQL Server等主機(jī)訪問(wèn)入口設(shè)置高強(qiáng)度的登錄密碼;對(duì)于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應(yīng)用增加授權(quán)驗(yàn)證，對(duì)訪問(wèn)對(duì)象進(jìn)行控制;如果服務(wù)器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經(jīng)常曝出安全漏洞的服務(wù)器組件，應(yīng)密切關(guān)注相應(yīng)組件官方網(wǎng)站和各大安全廠商發(fā)布的安全公告，根據(jù)提示及時(shí)修復(fù)相關(guān)漏洞，將相關(guān)組件升級(jí)到最新版本。

　　同時(shí)，騰訊安全還針對(duì)當(dāng)前安全形勢(shì)打造了一系列解決方案。騰訊主機(jī)安全系統(tǒng)和云防火墻(CFW)都支持查殺相關(guān)流行挖礦木馬程序及其利用的RCE漏洞、未授權(quán)訪問(wèn)漏洞、弱口令爆破攻擊檢測(cè)，能夠提供云上終端的防毒殺毒、防入侵、漏洞管理、基線管理等;騰訊云安全運(yùn)營(yíng)中心能夠?yàn)榭蛻籼峁┞┒辞閳?bào)、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、及泄漏監(jiān)測(cè)、風(fēng)險(xiǎn)可視等能力。企業(yè)可以通過(guò)部署相應(yīng)安全產(chǎn)品阻斷挖礦木馬攻擊，提升安全防御能力。