1. 简述
散播矿机地牢,以致使用者计算资源被蓄意挤占和耗用、硬体使用寿命被延长,严重影响使用者生产生活,妨碍基础产业和社会发展。2022 年,安天 CERT 发布了余篇特别针对矿机地牢的研究报告,谢鲁瓦 2022 年典型的挖矿地牢剖析形成家族企业概要,进行撷取。
矿机地牢家族企业
出现时间
特别针对网络平台
“8220”
2017 年
Windows、Linux
Outlaw
2018 年
Linux
TeamTNT
2019 年 10 月
H2Miner
2019 年 12 月
Sysrv-hello
2020 年 12 月
“1337”
2021 年 12 月
Kthmimu
2022 年 3 月
Hezb
2022 年 5 月
2. 矿机地牢的危害
1. 加重信息系统基础设施资源耗用与运行风险:矿机地牢普遍耗用信息系统基础设施的大量资源,使操作系统及其服务、应用软件运行缓慢,甚至造成正常服务崩溃,产生承载业务中断、业务数据丢失等一系列负面影响;
2. 危害信息系统基础设施使用使用寿命与运行性能:矿机地牢迫使信息系统基础设施长时间高负载运行,以致其使用使用寿命延长,运行性能严重下降;
3. 浪费能源,增大碳排放量:矿机地牢矿机会耗用大量电能,造成巨大的能源耗用,而现阶段我国电能
4. 留置后门,衍生僵尸网络:矿机地牢普遍具有添加 SSH 免密登录后门、安装 RPC 后门,接收远程 IRC 服务器指令、安装 Rootkit 后门等蓄意行为,以致受害组织网络沦为僵尸网络;
5. 作为攻击跳板,攻击其他目标:矿机地牢支持攻击者控制受害者服务器进行 DDoS 攻击,以此服务器为跳板,攻击其他计算机,或者释放勒索软件索要赎金等。
3. 矿机地牢趋势
3.1 越来越多的矿机地牢团伙掌握快速集成漏洞的能力
随着矿机地牢对抗手段的卑劣加剧,越来越多的矿机地牢团伙掌握快速集成漏洞的能力。矿机地牢不仅企图对抗安全产品,还要阻断同
3.2 矿机地牢矿池渐趋隐蔽,传统情报检测将逐渐失效
矿机地牢通常采用两种方式进行矿机,一种是直连矿池的方式进行矿机,另一种是矿池代理的方式进行矿机。矿机地牢直连矿池矿机通常会让受害者主机直接连接矿池地址上传算交给矿工进行运算,矿工将运算结果转交给矿池代理,继而再转发到公共矿池。矿池代理的普及将真正使用的公共矿池隐蔽起来进行矿机,可绕过传统情报矿池黑名单检测,使传统黑名单检测失效。
3.3 相对稳定的利润驱使,更多的威胁组织开始实施矿机攻击
2022 年整个虚拟货币市场遭受巨大冲击,几乎所有币种价格都在下跌。以比特币为例,1 月份每个比特币价格接近 48000 美元,而到了 11 月份,每个比特币的价格仅为 17000 美元,跌幅达到 64.58%。尽管如此,矿机攻击活动并没有减少,反而更加活跃。矿机攻击最常挖取的币种是门罗币,相较于其他币种,门罗币更加稳定,这也受到了其他勒索软件组织的青睐。例如,AstraLocker 勒索软件关闭了勒索攻击活动并将自身业务转向到矿机攻击活动中,这种转变很可能是该勒索软件组织想以更加低调和隐蔽的方式赚取虚拟货币。在各国政府加强了对勒索软件的防御和执法力度之后,勒索软件组织的收益大打折扣,赚取赎金的方式主要依靠与受害者沟通,情节严重可能会受到各国政府的打压。而矿机攻击可以在受害者不知情的情况下赚取虚拟货币,这对勒索软件组织来说风险性相对较低,虽然不及勒索受害者迫使其支付赎金而牟利较高,但矿机攻击近乎零成本赚取虚拟货币,既不用担心电费的价格,也不用担心算力的问题,就可以赚取丰厚的报酬。因此,安天 CERT 认为,未来会有更多的威胁组织实施这种低风险、高回报的挖矿攻击活动。
4. 活跃矿机地牢介绍
4.1 “8220”
“8220” 是一个长期活跃并且擅长使用漏洞进行攻击并部署矿机程序的组织,该组织早期使用 Docker 镜像散播矿机地牢,后来逐步利用多个漏洞进行攻击,如 WebLogic 漏洞、Redis 未授权访问漏洞、Hadoop Yarn 未授权访问漏洞和 Apache Struts 漏洞等。在 2020 年发现该组织开始使用 SSH 暴力破解进行横向攻击散播。自 Apache Log4j 2 远程代码执行漏洞曝光后,该组织利用该漏洞制作漏洞利用脚本进行散播,影响范围广。
4.1.1 家族企业概要
表 4 1 “8220” 矿机组织介绍
散播方式
SSH 暴力破解、Docker 镜像和漏洞利用
利用的漏洞
Apache Log4j 2 远程代码执行漏洞
WebLogic 漏洞
Redis 未授权访问漏洞
Hadoop Yarn 未授权访问漏洞
Apache Struts 漏洞
矿机币种
门罗币(XMR)
4.1.2 典型案例
● “8220” 矿机组织活动分析
2022 年 1 月,安天 CERT 陆续捕获到多批次 “8220” 矿机组织攻击样本,该矿机组织自 2017 年出现,持续活跃,同时向 Windows 与 Linux 双网络平台散播蓄意脚本,下载的载荷是门罗币矿机程序以及其他僵尸网络程序、端口扫描暴力破解工具等 [ 1 ] 。
● 关于 “8220” 黑客攻击团伙近期活跃情况的挖掘研究报告
2022 年 5 月,国家计算机网络应急技术处理协调中心(CNCERT/CC)与天融信公司联合分析挖掘的某个网络犯罪团伙经外部情报比对标定为 “8220” 矿机团伙。通过 CNCERT/CC 的数据发现,该团伙在互联网上较为活跃,持续通过 Tsunami 僵尸网络进行威胁散播,该团伙渗透了 4 千台左右的设备并散播矿机地牢,且其掌握的矿机地牢也在持续迭代,不断增强其矿机攻击的适应能力 [ 2 ] 。
4.2 Outlaw
Outlaw 矿机僵尸网络最早于 2018 年被发现,主要特别针对云服务器实施矿机攻击,持续活跃。疑似来自罗马尼亚,最早由趋势科技将其命名为 Outlaw,中文译文为 ” 亡命徒 “。该矿机僵尸网络首次被发现时,攻击者使用 Perl 脚本语言的后门程序构建机器人,因此被命名为 “Shellbot”。其主要散播途径是 SSH 暴力破解攻击目标系统并写入 SSH 公钥,以达到长期控制目标系统的目的,同时下载基于 Perl 脚本语言编写的后门和开源门罗币矿机地牢。
4.2.1 家族企业概要
表 4-2 Outlaw 矿机僵尸网络介绍
组织名称
组织介绍
一个通过漏洞利用和 SSH 暴力破解散播基于 Perl 语言编写的 Shellbot 而组建的僵尸网络,后期开始导入矿机地牢获利
首次披露时间
2018 年 11 月 1 日
首次披露供应商
趋势科技
归属国家
疑似罗马尼亚
命名原因
源自罗马尼亚语 haiduc 的翻译,该组织主要使用的黑客工具 Haiduc
威胁类型
僵尸网络、矿机地牢
特别针对目标
Linux、IoT
散播途径
Shellshock ( CVE-2014-7169 ) 漏洞、Drupalgeddon2 漏洞(CVE-2018-7600)漏洞和 SSH 暴力破解,主要采用后者,漏洞利用只在初期使用过
组织组件
隐藏进程工具(XHide)、SSH 暴力破解工具(Haiduc、ps、tsm)、Shellbot 程序、矿机地牢(Xmrig)
版本迭代
该僵尸网络样本共有 5 个版本迭代,主要区别在于功能的新增,破解工具替换,破解工具功能的变化上
4.2.2 典型案例
● 典型矿机家族企业系列分析一丨 Outlaw(亡命徒)矿机僵尸网络
Outlaw 矿机僵尸网络首次被发现于 2018 年 11 月,当时其背后的攻击者只是一个通过漏洞入侵 IoT 设备和 Linux 服务器并植入蓄意程序组建僵尸网络的组织,主要从事 DDoS 攻击活动,在暗网中提供 DDoS 出租服务。在后续的发展过程中,受虚拟货币升值影响,也逐步开始在僵尸网络节点中植入矿机地牢,并利用僵尸网络对外进行渗透并扩张,获得更
4.3 TeamTNT
TeamTNT 矿机组织最早于 2019 年被发现,主要特别针对 Docker Remote API 未授权访问漏洞、配置错误的 Kubernetes 集群和 Redis 服务暴力破解进行攻击。入侵成功后,窃取各类登录凭证并留下后门,主要利用目标计算资源进行矿机并组建僵尸网络。经过近几年发展,该组织控制的僵尸网络规模庞大,所使用的攻击组件更新频繁,是目前特别针对 Linux 服务器进行矿机的主要攻击组织之一。该组织疑似来自德国,其命名方式依据该组织最早使用 teamtnt.red 域名进行命名。
4.3.1 家族企业概要
表 4-3 TeamTNT 矿机组织介绍
德国
最早使用 teamtnt.red 域名
矿机地牢、后门
Docker、Kubernetes 和 Redis
错误的配置和 SSH 凭证等
组织武器库
Tsunami、Rathole、Ezuri、Punk.py、libprocesshider、tmate、masscan、pnscan、ZGrab、Tiny Shell、Mimipy、BotB、Diamorphine、Docker Escape Tool 等
组织擅长技术
扫描局域网端口、添加防火墙规则、删除其他竞争对手进程、创建持久性计划任务、窃取服务凭证、收集机器信息、Rootkit 隐藏进程、部署矿机程序和横向移动等
推特账户
HildeGard@TeamTNT@HildeTNT
GitHub 账户
hilde@TeamTNT
HildeTeamTNT
托管中文网站
teamtnt.red
4.3.2 典型案例
● 特别针对 AWS 和阿里云发起攻击
2022 年 4 月,研究人员发现了 TeamTNT 矿机组织使用的蓄意 shell 脚本的修改版本。蓄意软件作者在意识到安全研究人员披露了他们脚本的先前版本后修改了这些工具。这些脚本主要特别针对亚马逊网络服务(AWS)和阿里云而设计,但也可以在本地、容器或其他形式的 Linux 实例中运行 [ 4 ] 。
● TeamTNT 发起 Kangaroo 攻击
2022 年 9 月,研究人员研究发现,TeamTNT 矿机组织发动 Kangaroo 攻击,劫持了大量服务器作为破解比特币的求解器算法,并试图破解 secp256k1 椭圆曲线的密钥和签名。由于使用 Pollard 的 Kanga] 。
4.4 H2Miner
H2Miner 矿机地牢最早出现于 2019 年 12 月,爆发初期及此后一段时间该矿机地牢都是特别针对 Linux 网络平台,直到 2020 年 11 月后,开始利用 WebLogic 漏洞特别针对 Windows 网络平台进行入侵并植入对应矿机程序。此外,该矿机地牢频繁利用其他常见 Web 组件漏洞,入侵相关服务器并植入矿机程序。例如,2021 年 12 月,攻击者利用 Log4j 漏洞实施了 H2Miner 矿机地牢的导入。
4.4.1 家族企业概要
表 4-4 H2Miner 矿机组织介绍
漏洞利用
SaltStack RCE ( CVE-2020-11651 )
ThinkPHP5 RCE
Apache Solr ’ s DataImportHandler ( CVE-2019-0193 )
Redis 未授权 RCE
Confluence 未授权 RCE ( CVE-2019-3396 )
WebLogic RC 漏洞 ( CVE-2020-14882/14883 )
Log4j 漏洞 ( CVE-2021-44228 )
4.4.2 典型案例
● H2Miner 矿机地牢新变种利用 RCE 漏洞发起攻击
2022 年 3 月,研究人员捕获到 H2Miner 组织矿机地牢变种样本。H2Miner 组织最早活跃于 2019 年底,善于利用最新披露的 RCE 漏洞进行 ” 撕口子 ” 渗透攻击,对目标服务器植入地牢,将其变为 ” 矿机 “,最终实施非法矿机活动,据悉该组织曾非法矿机门罗币获利超 370 万人民币 [ 6 ] 。
4.5 Sysrv-hello
Sysrv-hello 矿机蠕虫于 2020 年 12 月 31 日被首次披露,通过漏洞散播,无特别针对性目标,蠕虫样本更新频繁,是一个活跃在 Windows 和 Linux 的双网络平台矿机蠕虫。根据其近两年的活动,可将其发展分为三个阶段:前期尝试散播、中期扩大散播和后期注重防御规避并维持散播力度。从三个阶段的样本分析看,其背后黑产组织并不重视维持对目标主机的访问权限,只在中期和后期的 Redis 漏洞利用中添加了在目标系统中植入 S天收益 100 美元。
4.5.1 家族企业概要
表 4-5 Sysrv-hello 矿机蠕虫基本信息
家族企业名称
2020 年 12 月 31 日
捕获的大量样本原始文件名以 “sysrv” 字符串为主,且样本内使用的函数或模块路径中均包含 “hello” 字符串。
矿机、蠕虫
无特殊特别针对目标、蠕虫散播目标随机化,特别针对包括云主机在内的目标
漏洞利用、暴力破解、受害主机上存储的 SSH 私钥
散播组件
Laravel Debug mode RCE ( CVE-2021-3129 )
XXL-JOB executor 未授权访问漏洞
Jenkins RCE 漏洞(CVE-2018-1000861 )
Jupyter 未授权访问漏洞
Nexus Repository Manager 3 RCE 漏洞
(CVE-2019-7238 )
ThinkPHP5 RCE 漏洞
WebLogic RCE 漏洞(CVE-2020-14882 )
Hadoop YARN REST API 未授权漏洞
Supervisord RCE 漏洞(CVE-2017-11610 )
WordPress-XMLRPC 暴力破解
JBOOS 反序列化漏洞(CVE-2017-12149 )
SSH 弱口令暴力破解
PostgreSQL RCE 漏洞(CVE-2019-9193 )
Tomcat 弱口令暴力破解
Confluence 未授权 RCE 漏洞(CVE-2019-3396 )
Redis 弱口令暴力破解
Apache Struts2 RCE 漏洞(CVE-2017-5638 )
Nexus 弱口令暴力破解
PHPUnit RCE 漏洞(CVE-2017-9841 )
Jupyter 弱口令暴力破解
Spring Cloud Gateway Actuator RCE 漏洞
(CVE-2022-22947 )
Jenkins 弱口令暴力破解
GitLab CE/EE RCE 漏洞(CVE-2021-22205)
MySQL 弱口令暴力破解
4.5.2 典型案例
● 警惕!双网络平台矿机僵尸网络 Sysrv-hello 加持新漏洞再度来袭
2022 年 4 月,研究人员捕获到 Sysrv-hello 矿机僵尸网络首个在野利用 Spring Cloud Gateway Actuator RCE 漏洞(CVE-2022-22947)攻击使用者服务器进行矿机的新变种。由于该漏洞属高危漏洞,利用方式较为简单且已经公开(通过构造蓄意请求包便可实现),存在被广泛利用的风险,因而危害较大 [ 7 ] 。
● 警惕蓄意软件利用 Confluence 远程代码执行漏洞发起攻击
2022 年 5 月,研究人员收集并分析了很多有关特别针对 Atlassian Confluence 的攻击流量,虽然这个漏洞有不同的攻击向量,但近期发现的蓄意软件攻击都特别针对参数 “queryString”,其中包括 Sysrv-hello 矿机地牢、利用 WMI 进行持久化的门罗币矿机病毒、利用图片格式进行伪装的矿机病毒等 [ 8 ] 。
4.6 “1337”
“1337” 组织通过扫描暴露在互联网之上的 TCP 22 端口确定攻击对象范围,利用 SSH 暴力破解工具对暴露该端口的信息基础设施实施暴力破解攻击。暴力破解成功后,攻击者会在托管中文网站下载相应工具和脚本,特别针对受害者内部网络的 TCP 22 端口实施扫描和暴力破解。在此基础上,对受害者内部网络的 IP 地址实施扫描窥探并将扫描结果写入指定文本,继而利用暴力破解工具对存活状态的 IP 地址对应端点设施实施暴力破解攻击,以此实现在受害者内部网络中的横向移动。下载矿机程序和矿机程序执行脚本,进行矿机。经判定,该矿机程序为开源矿机程序 Phoenix Miner,主要挖取以太币。
4.6.1 家族企业概要
表 4-6 “1337” 矿机组织介绍
SSH 暴力破解
无
以太币 ( ETH )
4.6.2 典型案例
● “1337” 矿机组织活动分析
2022 年 2 月初,哈工大安天联合 CERT 实验室在网络安全监测中发现某网络攻击组织利用 SSH 暴力破解导入矿机程序的活动比较活跃,经关联分析研判,该组织最早在 2021 年底开始出现,本次监测到攻击者所用的托管域名为 david1337.dev,该域名中的样本是由开源工具和矿机程序构成,之后又相继关联到多个域名与 IP 均和 “1337” 字符串有关,故安天 CERT 将该矿机组织命名为 “1337” 组织 [ 9 ] 。
4.7 Kthmimu
Kthmimu 矿机地牢主要通过 Log4j 2 漏洞进行散播。自 Log4j 2 漏洞曝光后,该地牢矿机活动较为活跃,同时向 Windows 与 Linux 双网络平台散播蓄意脚本,下载门罗币矿机程序进行矿机。该矿机地牢在 Windows 网络平台上使用 PowerShell 脚本下载并执行门罗币开源矿机程序 XMRig。除此之外,该脚本还具有创建计划任务持久化、判断系统使用者包含关键字符串和创建计划任务等功能。在 Linux 网络平台上,地牢使用 Shell 脚本下载矿机程序,并且该脚本还会清除具有竞争关系的其它矿机程序、下载其它脚本和创建计划任务等功能。
4.7.1 家族企业概要
表 4-7 Kthmimu 矿机地牢介绍
4.7.2 典型案例
● 活跃的 Kthmimu 矿机地牢分析
自 2022 年 3 月以来,安天 CERT 陆续捕获到 Kthmimu 矿机地牢攻击样本,该地牢主要通过 Log4j 2 漏洞进行散播。自 Log4j 2 漏洞曝光后,该地牢矿机活动较为活跃,同时向 Windows 与 Linux 双网络平台散播蓄意脚本,下载门罗币矿机程序进行矿机 [ 10 ] 。
4.8 Hezb
Hezb 矿机地牢在 Windows 网络平台使用名为 “kill.bat” 的 bat 脚本执行主要功能,具体功能为结束具有竞争关系的其它矿机进程、执行门罗币矿机以及下载名为 “mad.bat” 的脚本,该脚本为门罗币矿机程序的配置文件。在 Linux 网络平台中使用名为 “ap.sh” 的 Shell 脚本执行主要功能,具体功能为下载 curl 工具,便于下载后续蓄意脚本、结束具有竞争关系的其它矿机程序、横向移动、卸载安全软件、执行名为 “ap.txt” 的脚本、下载 kik 蓄意样本和执行矿机程序等。
4.8.1 家族企业概要
表 4-8 Hezb 矿机地牢介绍
WSO2 RCE(CVE-2022-29464)漏洞
Confluence OGNL(CVE-2022-26134)漏洞
门罗币 ( XMR )
4.8.2 典型案例
● 活跃的 Hezb 矿机地牢分析
2022 年 5 月,安天 CERT 陆续捕获到 Hezb 矿机地牢攻击样本,该地牢在 5 月份时主要利用 WSO2 RCE(CVE-2022-29464)漏洞进行散播,该漏洞是一种无需身份验证的任意文件上传漏洞,允许未经身份验证的攻击者通过上传蓄意 JSP 文件在 WSO2 服务器上获得 RCE。自 Confluence OGNL(CVE-2022-26134)漏洞利用的详细信息公布后,Hezb 矿机地牢开始利用该漏洞进行散播,该漏洞可以让远程攻击者在未经身份验证的情况下,构造 OGNL 表达式进行注入,实现在 Confluence Server 或 Data Center 上执行任意代码 [ 11 ] 。
参考资料
[ 1 ] “8220” 矿机组织活动分析
https://www.antiy.cn/research/notice&report/research_report/20220428.html
[ 2 ] 关于 “8220” 黑客攻击团伙近期活跃情况的挖掘研究报告
https://www.cert.org.cn/publish/main/upload/File/8220%20APT.pdf
[ 3 ] 典型矿机家族企业系列分析一 丨 Outlaw(亡命徒)矿机僵尸网络
https://www.antiy.cn/research/notice&report/research_report/20221103.html
[ 4 ] TeamTNT Targeting AWS, Alibaba
https://blog.talosintelligence.com/teamtnt-targeting-aws-alibaba-2/
[ 5 ] Threat Alert: New Malware in the Cloud By TeamTNT
https://blog.aquasec.com/new-malware-in-the-cloud-by-teamtnt
[ 6 ] 小心你的服务器变 ” 矿机 “!天融信捕获变异 H2Miner 矿机地牢
https://zhuanlan.zhihu.com/p/485155482
[ 7 ] 警惕!双网络平台矿机僵尸网络 Sysrv-hello 加持新漏洞再度来袭
https://mp.weixin.qq.com/s/PUwVvIGjon0ok8kmojksJw
[ 8 ] 警惕蓄意软件利用 Confluence 远程代码执行漏洞发起攻击
https://mp.weixin.qq.com/s/XiZeonkI1AdwpX6EXC0f3g
[ 9 ] “1337” 矿机组织活动分析
https://www.antiy.cn/research/notice&report/research_report/20220321.html
[ 10 ] 活跃的 Kthmimu 矿机地牢分析
https://www.antiy.cn/research/notice&report/research_report/20220527.html
[ 11 ] 活跃的 Hezb 矿机地牢分析
https://www.antiy.cn/research/notice&report/research_report/20220705.html