受比特币暴涨影响,各类数字虚拟币市值均有大幅增长。而虚拟货币繁荣背后,黑色数字产业链却早已将方向转向挖矿领域,挖矿木马仍是企业服务器被攻陷后植入的主要木马类型。
近日,腾讯安全威胁情报中心态势感知系统提供的数据结果显示,针对云主机的挖矿木马样本量明显上涨,挖矿团伙控制的IP、Domain广度以及云上挖矿威胁数量也有较大程度上涨,挖矿木马整体呈现成倍增长趋势,给企业用户云主机安全带来严重威胁。
虚拟币暴涨背后 新老挖矿家族合力加大攻击力度
受利益驱使,挖矿木马视更多企业用户为攻开发者_C百科击目标。从腾讯安全威胁信息中心形势感知系统提供的数据可以看出,老字号采矿家庭现在非常活跃,对云主机的系统和应用部署特性开发了新的攻击代码。典型的是SystemdMiner、H2Miner两个开采集团利用PostgreSQL的未经许可访问脆弱性和PostgreSQL的权利代码攻击云服务器。这意味着有漏洞的服务器可能同时被多个矿山木马集团扫描入侵,不同的矿山木马火力全开,同时开采,服务器有完全瘫痪的风险。
与此同时,新的采矿集团也陆续出现。其中,采矿家z0miner于2020年11月2日发现利用weblogic未经许可命令攻击漏洞,当次攻击在weblogic公式发布安全公告(2020.10.21)后15天内开始,这也从侧面反映了采矿木马集团对新漏洞武器的迅速应对。
以上的采矿行为结果,由于部分主机没有合理的访问战略控制系统,存在很多安全缺陷,非法黑客集团利用机会大规模入侵服务器采矿木马,利用被控主机系统的计算资源采矿数字加密货币获利。
攻击手段再次升级,僵尸网络帮助挖掘矿木马的势头
在过去的认知中,消除恶意软件意味着主机安全威胁的消失。但是,今天的僵尸网络与此不同,由主机以外的部件构成,消除恶意软件,修复感染的机器,不能完全消除。一个僵尸网以有多个恶意软件家庭,多个恶意软件家庭可以是不同僵尸网络的成员。因此,僵尸网络也参加采矿阵营时,企业用户面临的安全风险也变大了。
同时,经过长期进化,采矿木马集团的采矿手段也越来越成熟。腾讯主机安全系统检测到Prometei僵尸网络和TeamTNT采矿木马对云服务器的攻击,其中TeamTNT采矿木马完成变种更新,但Prometei僵尸网络的变种攻击Linux系统,通过SSH弱密码爆破登录服务器新变种对数据传输和横向移动的模块代码进行升级优化,表明黑产集团继续改善木马功能模块,有危害扩大的迹象。
矿山木马作为目前主机面临的最普遍的威胁之一,是检验企业安全防御机制、环境和技术能力水平的关键。如何有效应对这种安全威胁,在此过程中促进企业网络安全能力的提高,应成为企业安全管理者和网络安全厂商的共同目标。
安全对抗加剧 阻断源头是根本
挖矿木马成倍增长,高危漏洞频繁爆出,当前安全形势不容轻视。随着安全对抗的不断升级,网络攻击将进一步加剧,尤其是企业业务上的云将导致攻击面的增加,使安全环境更加复杂。因此,腾讯安全专家提醒企业提高对网络攻击的重视度,加大对矿山木马的保护力度,构建更坚固的信息安全防线。
腾讯安全专家建议,在Linux服务器SSH、WindowsQL等主机访问入口设置高强度的登录密码,Redis、HadooptoryYarn、Docker、XXL-JOB、Postgres等应用程序增加许可证验证,控制访问对象的服务器配置Weblogic、ApacheStruts、ApacheFlink、ApacheFlink、Theres等服务器的情况下,如果服务器配置了Weblogic、Apachery、ApacheStry、ApacheStry、Apry、ApheFlin、ApheFlin、TheFlin、Theres等经常暴露安全漏洞的服务器与此同时,腾讯安全也为当前的安全形势制定了一系列解决方案。腾讯主机安全系统和云防火墙(CFW)都支持查杀相关流行挖矿木马程序及其利用的RCE漏洞、未授权访问漏洞、弱口令爆破攻击检测,能够提供云上终端的防毒杀毒、防入侵、漏洞管理、基线管理等;腾讯云安全运营中心能够为客户提供漏洞情报、威胁发现、事件处置、基线合规、及泄漏监测、风险可视等能力。企业可以通过部署相应安全产品阻断挖矿木马攻击,提升安全防御能力。
精彩评论