受比特幣暴漲影響，各類數(shù)字虛擬幣市值均有大幅增長。而虛擬貨幣繁榮背后，黑色數(shù)字產(chǎn)業(yè)鏈卻早已將方向轉(zhuǎn)向“挖礦”領(lǐng)域，挖礦木馬仍是企業(yè)服務(wù)器被攻陷后植入的主要木馬類型。

近日，騰訊安全威脅情報(bào)中心態(tài)勢感知系統(tǒng)提供的數(shù)據(jù)結(jié)果顯示，針對云主機(jī)的挖礦木馬樣本量明顯上漲，挖礦團(tuán)伙控制的IP、Domain廣度以及云上挖礦威脅數(shù)量也有較大程度上漲，挖礦木馬整體呈現(xiàn)成倍增長趨勢，給企業(yè)用戶云主機(jī)安全帶來嚴(yán)重威脅。

虛擬幣暴漲背后 新老挖礦家族合力加大攻擊力度

受利益驅(qū)使，挖礦木馬視更多企業(yè)用戶為攻擊目標(biāo)。從騰訊安全威脅情報(bào)中心態(tài)勢感知系統(tǒng)提供的數(shù)據(jù)可以看出，老牌挖礦家族目前十分活躍，并且會(huì)針對云主機(jī)的系統(tǒng)和應(yīng)用部署特性開發(fā)新的攻擊代碼。較為典型的就是SystemdMiner、H2Miner兩個(gè)挖礦團(tuán)伙組合利用PostgreSQL的未授權(quán)訪問漏洞以及PostgreSQL提權(quán)代碼執(zhí)行漏洞攻擊云服務(wù)器。這意味著，存在漏洞的服務(wù)器可能同時(shí)被多個(gè)挖礦木馬團(tuán)伙掃描入侵，如果不同挖礦木馬火力全開同時(shí)挖礦，服務(wù)器就有徹底癱瘓的風(fēng)險(xiǎn)。

與此同時(shí)，新的挖礦團(tuán)伙同樣層出不窮。其中，挖礦家族z0Miner在2020年11月2日被發(fā)現(xiàn)利用Weblogic未授權(quán)命令執(zhí)行漏洞進(jìn)行攻擊，當(dāng)次攻擊是在Weblogic官方發(fā)布安全公告（2020.10.21）之后的15天之內(nèi)發(fā)起，這也從側(cè)面反映出挖礦木馬團(tuán)伙對于新漏洞武器的快速響應(yīng)。

以上挖礦行為歸根結(jié)底是由于部分主機(jī)未對系統(tǒng)進(jìn)行合理的訪問策略控制，導(dǎo)致其存在較多的安全缺陷，不法黑客團(tuán)伙趁機(jī)大規(guī)模入侵服務(wù)器并植入挖礦木馬，再利用被控主機(jī)系統(tǒng)的計(jì)算資源挖礦數(shù)字加密貨幣獲利。

攻擊手段再升級(jí) 僵尸網(wǎng)絡(luò)助長挖礦木馬蔓延之勢 

在以往的認(rèn)知當(dāng)中，清除惡意軟件就意味著主機(jī)安全威脅的消失。但今天的僵尸網(wǎng)絡(luò)不同于此，它由主機(jī)之外的組件組成，對它來說，消除惡意軟件和修復(fù)被感染的機(jī)器并不會(huì)令其被完全清除。一個(gè)僵尸網(wǎng)絡(luò)可以有多個(gè)惡意軟件家族，且多個(gè)惡意軟件家族可以是不同僵尸網(wǎng)絡(luò)的成員。因此，當(dāng)僵尸網(wǎng)絡(luò)也加入挖礦陣營，企業(yè)用戶面臨的安全風(fēng)險(xiǎn)也隨之加大。

同時(shí)，經(jīng)過長期演變，挖礦木馬團(tuán)伙的“挖礦”手段也越發(fā)成熟。騰訊主機(jī)安全系統(tǒng)就曾經(jīng)檢測到Prometei僵尸網(wǎng)絡(luò)和TeamTNT挖礦木馬針對云服務(wù)器的攻擊，其中TeamTNT挖礦木馬已經(jīng)完成了變種更新，而Prometei僵尸網(wǎng)絡(luò)變種則是針對Linux系統(tǒng)進(jìn)行攻擊，通過SSH弱口令爆破登陸服務(wù)器，之后安裝僵尸木馬uplugplay控制云主機(jī)并根據(jù)C2指令啟動(dòng)挖礦程序。新變種對數(shù)據(jù)回傳和橫向移動(dòng)的模塊代碼進(jìn)行升級(jí)優(yōu)化，表明黑產(chǎn)團(tuán)伙正在繼續(xù)改進(jìn)木馬功能模塊，有危害擴(kuò)大跡象。

挖礦木馬作為目前主機(jī)面臨的最普遍威脅之一，是檢驗(yàn)企業(yè)安全防御機(jī)制、環(huán)境和技術(shù)能力水平的關(guān)鍵。如何有效應(yīng)對此類安全威脅，并在此過程中促進(jìn)企業(yè)網(wǎng)絡(luò)安全能力提升，應(yīng)成為企業(yè)安全管理人員與網(wǎng)絡(luò)安全廠商的共同目標(biāo)。

安全對抗加劇 阻斷源頭是根本

挖礦木馬成倍增長，高危漏洞頻繁爆出，當(dāng)前安全形勢不容輕視。隨著安全對抗不斷升級(jí)，網(wǎng)絡(luò)攻擊將進(jìn)一步加劇，特別是企業(yè)的業(yè)務(wù)上云會(huì)導(dǎo)致攻擊面增加，使得安全環(huán)境更加復(fù)雜。為此，騰訊安全專家提醒企業(yè)提高對網(wǎng)絡(luò)攻擊的重視程度，加大對挖礦木馬的防護(hù)力度，構(gòu)建更為牢固的信息安全防線。

騰訊安全專家建議，對于Linux服務(wù)器SSH、Windows SQL Server等主機(jī)訪問入口設(shè)置高強(qiáng)度的登錄密碼；對于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應(yīng)用增加授權(quán)驗(yàn)證，對訪問對象進(jìn)行控制；如果服務(wù)器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經(jīng)常曝出安全漏洞的服務(wù)器組件，應(yīng)密切關(guān)注相應(yīng)組件官方網(wǎng)站和各大安全廠商發(fā)布的安全公告，根據(jù)提示及時(shí)修復(fù)相關(guān)漏洞，將相關(guān)組件升級(jí)到最新版本。

同時(shí)，騰訊安全還針對當(dāng)前安全形勢打造了一系列解決方案。騰訊主機(jī)安全系統(tǒng)和云防火墻（CFW）都支持查殺相關(guān)流行挖礦木馬程序及其利用的RCE漏洞、未授權(quán)訪問漏洞、弱口令爆破攻擊檢測，能夠提供云上終端的防毒殺毒、防入侵、漏洞管理、基線管理等；騰訊云安全運(yùn)營中心能夠?yàn)榭蛻籼峁┞┒辞閳?bào)、威脅發(fā)現(xiàn)、事件處置、基線合規(guī)、及泄漏監(jiān)測、風(fēng)險(xiǎn)可視等能力。企業(yè)可以通過部署相應(yīng)安全產(chǎn)品阻斷挖礦木馬攻擊，提升安全防御能力。