挖矿流量分析

用户7904479340303
527 阅读8分钟

挖矿威胁

5.3.3.1 挖矿流量分析 基于绿盟科技可管理服务中的各类安全告警数据,我们对 2019 年企业内部的挖矿活动和挖矿主机 数进行统计分析 ,发现挖矿的热度与挖矿市场形势呈正相关。20000000 14000 18000000 12000 1600000014000000 10000 12000000 8000 10000000 6000 活动次数 8000000 主机数 6000000 4000 4000000 2000 2000000 0 0 1月 2月 3月 4月 5月 6月 7月 8月 9月 10月 11月 12月 活动次数 主机数 图 5.23 2019 年企业内挖矿活动趋势 如图 5.23 所示,2 月份,华尔街银行巨头摩根大通宣布推出“JPM Coin”1 ,财富 500 强企业安 富利成为第三大接受比特币支付的科技公司 2,这些信号促使黑客们对恶意挖矿活动趋之若鹜。5 月份, 全球最大的交易所币安钱包被盗取 7000 比特币 3 ,交易所安全性 引发投资者恐慌,这导致挖矿市场的 热度短时间内大幅度下降。7 月份,Facebook 发布 Libra 4 白皮书,全球监管机构纷纷发声,币圈引起 全球关注,比特币价格疯涨至 1.2W 美元,挖矿活动也增长至白热化阶段。10 月份,被吹捧为资金进入加密货币市场的重要渠道 -Bakkt 交易所 1 的开局令人失望,紧接着多家境内交易平台被关,市场再次受 到冲击,挖矿活动也开始逐步减少。70% 60% 50% 40% 30% 20% 10% 0% 网页挖矿 Xmri g病毒DNS通信Adylkuzz程序DNS通信 门罗币挖矿程序DNS通信WannaMine蠕虫DNS通信比特币挖矿程序矿池通信WatchDogs木马DNS通信RubyMiner程序DNS通信 kworkerds下载恶意文件 图 5.24 挖矿行为分析 门罗币是一种不可追踪的匿名加密货币,可以隐藏交易发起者、接收者、金额等相关交易信息,因 此它成为了暗网市场上最流通的虚拟货币之一。如图 5.24 所示,通过对全年具体的挖矿活动进一步 分析, 我们发现 60% 的挖矿行为都来自于针对门罗币的挖矿程序请求矿池域名地址。排名第二的 Wannamine 蠕虫病毒在年初有了新的变种 WannaMine4.0,但攻击手法不变,依然是利用“永恒之蓝”的漏洞感染 大量内网主机从而进行恶意挖矿。关注挖矿受害行业分布。如图 5.25 所示,中小传统企业是被入侵挖矿的重灾区,占比高达 80%。 而攻击者往往是通过批量扫描常见安全漏洞进而入侵并控制挖矿主机的,可见企业内相关维护人员依然 缺乏基本的安全意识。 中小企业 能源 政府 运营商 教育 除了 80,443 端口,攻击者往往会选择一些比较罕见的端口作为与矿池连接通信的端口。如图 5.26 所示,3333 端口是挖矿程序最常用的端口。另外,通过对端口区间分析得知,3000-3999 之间的端口 是挖矿程序最常用的端口范围,该区间的端口占所有挖矿端口的 43%,其次是 5000-5999 之间的端口, 占比 13%。特定的挖矿端口和矿池地址是攻击者进行恶意挖矿的特征之一,企业可以屏蔽相关挖矿端口 来实现防护。 30% 25% 20% 15% 10% 5% 0% 3333 443 80 5555 13531 14444 8888 61758 59284 图 5.26 挖矿活动常用端口

  1. 网页挖矿分析 网页挖矿是指攻击者在指定网页上植入挖矿 JS 脚本,当用户访问该网页时,网页自动执行挖矿 JS 脚本,在用户不知情的情况下,占用用户大量计算机资源进行恶意挖矿的过程。这种攻击方式不需要在 宿主机植入挖矿木马,只要用浏览器访问指定网页,用户电脑就会沦为挖矿主机。 为了评估这种攻击的影响范围,我们通过对 Alexa 排名前 100W 网页的源代码进行分析,共发现 2567 个挖矿域名,这些网页挖掘的主要目标币种是门罗币,使用最多的挖矿脚本是 Coinhive 类挖矿脚本。 如图 5.27 所示,挖矿网页遍布在各个 Alexa 排名区间,其中排名前 10W 的网页中就包含 330 个挖 矿网页。挖矿的收益和网页的访问量直接相关,访问者越多,Alexa 排名就越靠前,挖矿收益也越高。 450 400 386 348 350 330 300 276 271 244 250 211 212 200 180 150 109 100 50 0 前10W 10W-20W 20W-30W 30W-40W 40W-50W 50W-60W 60W-70W 70W-80W 80W-90W 90W-100W 图 5.27 挖矿网页 Alexa 排名 通过分析这些挖矿网页的网页类型,如图 5.28 所示,商业娱乐类网站是主体,分别占比 22%, 19%,这类网站往往自带有较高的访问流量。另外,存在网页所有者主动将挖矿脚本嵌入到个人网站或 博客中,使用访客的计算机资源增加自己的挖矿收益,不过这种做法会极大影响用户体验。

25% 22% 20% 19% 15% 10% 8% 7% 7% 6% 6% 5% 5% 3% 2% 0% 商业 娱乐 信息技术 个人网站 教育 新闻 社交网络 色情 购物 生活 图 5.28 挖矿网页类型 3. 挖矿僵尸网络分析 通过对大量利用 Telnet 协议的攻击源入侵时的攻击行为进行聚类,同时对与其相关的爆破弱口令列 表和恶意样本进行关联性分析,我们发现了一个面向门罗币挖矿的僵尸网络,该僵尸网络首先通过弱口 令爆破入侵主机,以植入 RSA公钥或僵尸程序的方式获取控制权限,然后使用下载器下载门罗币挖矿 病毒,并根据主机类型执行相应的脚本,最终实现恶意挖矿,将所控制的网络资源变现。 图 5.29 展示了该挖矿僵尸网络的概况。据不完全统计,该僵尸网络控制的肉鸡数量上万台,在今 年 7 月份最为活跃,单日最高活跃肉鸡数接近 600 台,其中处于中国和美国的肉鸡数最多,分别为 2119 台和 1335 台,开放 22 端口的肉鸡数有 6681 台,占比接近所有肉鸡的 65%。在已知的资产情报 数据中,这些肉鸡有 12% 为物联网设备,主要设备类型是路由器和摄像头。另外,该挖矿僵尸网络最 常用的爆破弱口令是 nproc-nproc。虽然目前从样本服务器上已经无法下载相关样本,但是该僵尸网络 活动情况依然有小规模上升趋势。

45

挖矿僵尸网络活跃情况 肉鸡国家分布 600 2500 500 2000 400 300 1500 200 1000 100 0 500 0 中国 美国 法国 印度 巴西 韩国 新加坡 德国 英国 加拿大 2019/3/202019/4/202019/5/20 2019/6/202019/7/202019/8/202019/9/202019/10/202019/11/20 肉鸡开放端口分布 肉鸡设别类型分布

8000 7000 6000 5000 4000 3000 2000 1000 0 22 80 443 21 3306 8080 53 25 3389 123 2% 3% 10% Router 33% Camera Printer 25% VoIP General Firewall 27%

图 5.29 挖矿僵尸网络概况 该挖矿僵尸网络分析的完整版可参见绿盟科技研究通讯的文章

参考资料

绿盟 2019年网络安全观察

友情链接

GA 1277.4-2020 互联网交互式服务安全管理要求 第4部分:即时通信服务

avatar
文章
阅读
粉丝