再见黑产“矿老板”!360EDR多维防控挖矿木马威胁
2021-12-04 16:39:26 Author: www.4hou.com(查看原文) 阅读量:19 收藏

近十年来,加密货币的兴起和数字货币价值的不断增长,让“挖矿”和“炒币”的热潮持续走高。然而,盲目无序的发展挖矿活动,也为利用木马疯狂敛财的网络黑产提供了犯罪沃土,直接扰乱了我国正常的金融秩序。

过去十几年360政企安全集团持续针对各类木马进行长期追踪,尤其是在针对挖矿木马的检测拦截、溯源反制上积累了大量实战经验。其中,360政企安全集团高级威胁研究分析中心从2018年便开始了针对典型挖矿木马——JavaXminer家族的持续追踪。该家族多使用Web服务类漏洞对OA系统、Web服务器等进行攻击,更新迅速且频繁。同时,该家族具备Windows、Linux双平台的攻击能力,导致其攻击量在2020年至2021年有大幅度增加。

effaabd3d418f10a60aec556437732b.png

图 1 JavaXminer攻击趋势

5dcb3c1429655e4e9edebe2ea9e93d8.png

图 2 关联Web应用攻击整体趋势

入侵便“排异”的JavaXminer家族

JavaXminer的入侵往往会利用新近曝出的Web服务端1Day或是nDay漏洞,成本降低的同时,又可以较为轻易的获取未及时修补漏洞的服务器访问权限。比如Atlassian Confluence在今年8月底发布的CVE-2021-26084 RCE漏洞,GitHub上9月1日便出现了相应利用POC,紧接着在9月3日就出现了利用该漏洞对Confluence发起的攻击。

c0b175bba7fb62c994016a1ed8eb458.png

图 3 CVE-2021-26084 公开POC 

69a7cac7eaa3ed093d98369c4357d4c.png

图 4 JavaXminer对Confluence初次攻击 

a235ae11483398ee978e9ee9b4e7194.png

图 5 JavaXminer对Confluence攻击

随着OA系统漏洞的曝光,相应的攻击脚本也积极地被该挖矿家族利用。

0835c056064b072f05a7907a5fb81a6.png

图 6 JavaXminer对通*OA初次攻击

暴露于公网且存在漏洞的服务器很容易被各种木马给盯上,对于挖矿木马来说,在这种机器上常常会碰见自己的“同行”。为了最大程度地占据系统资源挖取货币,对“竞品”的清理工作在所难免,——在这一点上JavaXminer也不例外。

而被JavaXminer清理的竞品木马都是比较知名的家族,比如Kinsing、watchbog、Mykings、Sysrv-hello、SysUpdate、IMG001等。(注:IMG001之前未被公开报告,该家族出现时间较早,曾使用U盘蠕虫、内网横向渗透进行传播。)

16e003675d10eda46619233bf263e93.png

图 8  清除竞品

1859d27bc2a9ce2dd8539e597cb354c.png

图 9 清除竞品

JavaXminer家族的“常驻”策略

在入侵成功后的Linux机器上,JavaXminer会通过crontab创建计划任务,每5分钟访问一次hxxps://pastebin[.]com/raw/xxxxxxxx,获取内容执行。

5acf6815446ab445f25ab4fc0d93c66.png图 10 Linux计划任务

然而这些pastebin粘贴板文本大多为无实质操作的语句,粘贴板名通常与相关脚本url名和攻击手段、目标有关,其中对粘贴板的访问可直观地观察到入侵机器是否活跃和增长。并且创建者ID重复情况较多,可一定程度上作为该家族木马的关联。目前时间较早的粘贴板大部分已被删除,较近时间段(比如10月份)的URL则大多正常。

尽管绝大部分粘贴板未写入恶意命令,但其下发指令的能力是确实存在的。

5fb71fc9673e9e04c0c0e5d62600179.png

图 11 pastebin内容

在Windows系统的机器上,JavaXminer同样会进行持久化,访问相应pastebin数据执行——即使大部分均为无效指令。创建持久化任务的方式则是采用WMI Subscription事件或是schtasks命令。

7fc3f67c11cdd80857444f2ddc12edd.png

图 12 Windows持久化

擅长多点开挖的“矿老板”

JavaXminer挖矿时使用配置文件config.json指定XMRig执行时的各项参数,矿工程序落地文件名也不尽相同。下载时的URL特征之一是路径中常带有/docs/字符串,并且托管文件的服务器通常为Apache Tomcat。

cc9ad599a8ac73c3f50c66ba01a47fb.png

图 13 Linux端执行挖矿程序 

9b242c06138f96da4dce8e4119a775c.png

图 14 Windows端执行挖矿程序

Config.json配置文件中,指定矿池为pool.supportxmr.com:80,而pass统一为“x”。

2d874c7a72f5550e82bb5a6128ffabf.png

图 15 Config.json Pools配置

Config.json配置中的钱包地址并不只有一个,通过从钱包地址中取出几个还在活跃的钱包地址,在supportxmr中可以查看其算力和挖取的门罗币数据,以此判断JavaXminer的挖矿能力。

87e9011250262977800dbcdb061c7fc.png

图 16 JavaXminer部分钱包挖矿数据

从上图中可以看出这部分钱包地址依然拥有算力,获取的门罗币也不少。而且这些钱包地址只是其中一部分,由此可以推测受到JavaXminer入侵并成功开挖的机器也不在少数。

在利益驱动下,以挖矿为目的的恶意入侵活动愈发猖獗,作为相关产品的使用用户来说,主动进行产品更新和补丁修补显的尤为重要,以免自身资产沦为挖矿的工具。360政企安全集团长期从事反挖矿、反欺诈、反黑灰产等领域研究,依托360安全大脑在安全大数据、人工智能分析、攻击溯源等方面的领先安全能力,推出360新一代终端检测响应系统(以下简称“360EDR”)。

基于十余年来积累的SaaS版EDR实践服务经验,360 EDR通过持续追踪终端活动行为、检测安全风险、深度调查威胁风险、提供补救响应手段等方式,补充了传统终端安全产品防御高级威胁能力的不足,能在对抗高级威胁中压缩攻击者的攻击时间,减少高级威胁最终达到目的可能性,获得更快速、高效的防御效果。

d7ed37ea0faff61d2d6c8fe64bb87a5.png

图 17 360EDR告警信息展示

建议广大政企用户可通过安装部署360EDR,及时发现和处置各类挖矿攻击。

3f9477cfacf391c5eee7f8ac6829244.png

图 18 360EDR安全事件展示

想了解更多关于挖矿木马的防治方法,还可访问360政企安全官网或拨打电话400-0309-360咨询。

如若转载,请注明原文地址


文章来源: https://www.4hou.com/posts/PWrn
如有侵权请联系:admin#unsafe.sh