一、前言
年复一年,日复一日,不仅威胁的总数在增加,威胁态势也变得更加多样化,攻击者也在不断开发新的攻击途径并尽力在攻击过程中掩盖踪迹。从Facebook数据泄露和万豪酒店5亿用户开房信息挂在暗网销售、“老当益壮”的WannaCry继续作恶并且传播速度更快的Satan等勒索软件大肆传播,到花样百出的APT攻击行为迅速增长,2018年给我们敲响了另一记警钟,即数字安全威胁可能来自意想不到的新途径。
纵观去年的网络安全整体态势,数据泄露事件最为触目惊心,全年的漏洞采集数量也达到历年的高峰,勒索软件也大有向挖矿的转型之势。
二、数据泄露事件爆炸式上升
数字化变革技术正在重塑组织机构的经营方式,并将它们带入一个数据驱动的世界,但是企业急于拥抱数字化新环境的做法也带来了更多被攻击的新风险,需要企业采取数据安全控制措施来加以防范。
经Verizo调查,今年已经发生了5.3万多起安全事件,其中2216起被确认为数据泄漏事件。另外,在这5万多起安全事件中,有4.3万起(81.1%)都是黑客通过窃取身份凭证来实现的。这也证实了一个普遍的观点:盗用身份凭证仍然是黑客最常用、也是最有效的攻击和破坏手段。
根据Thales eSecurity的调查报告,不断增长的数据威胁程度及其影响力清晰地体现在数据泄露和脆弱性的等级上:
- 2016年,26%的的受访者表示遭遇了数据泄露,2017年的占比上升至36%,而到2018年这一比例明显上升至67%。
- 基于此,44%的受访者感到“非常”或“极其”容易遭受数据威胁。
- 虽然技术在随着时代而发展,但安全策略却并未与时俱进,这很大程度上是因为实际支出与最有效的数据保护方法错配所致。
- 77%的受访者表示在预防数据泄露方面静态数据安全解决方案最为有效,紧随其后的是网络安全(75%)和动态数据(75%)解决方案。
- 尽管如此,57%的受访者却仍将大多数支出用于端点和移动安全技术上,其次是分析与关联工具(50%)。
- 在数据保护方面,认知与现实之间的差距是显而易见的,在IT安全的支出优先事项中,静态数据安全解决方案的支出反倒垫底(40%)。
以下摘录一些2018年发生的全球性数据泄露事件:
1. 年度数据泄露事件盘点
(1) Facebook数据泄露
事件回顾:虽然Facebook数据泄露量不如后面的那些公司高,但其次数和影响非常深远。一家第三方公司通过一个应用程序收集了5000万Facebook用户的个人信息,由于5000万的用户数据接近Facebook美国活跃用户总数的三分之一,美国选民人数的四分之一,波及的范围非常大。后来,5000万用户数量上升至8700万。今年9月,Facebook爆出,因安全系统漏洞而遭受黑客攻击,导致3000万用户信息泄露。其中,有1400万人用户的敏感信息被黑客获取。这些敏感信息包括:姓名、联系方式、搜索记录、登陆位置等。
12月14日,又再次爆出,Facebook因软件漏洞可能导致6800万用户的私人照片泄露。具体来说,在9月13日至9月25日期间,其照片API中的漏洞使得约1500个App获得了用户私人照片得访问权限。一般来说获得用户授权的App只能访问共享照片,但这个漏洞导致用户没有公开的照片也照样能被被读取。
结果:Facebook CEO数据泄露道歉,并多次出席听证会。一系列事件影响,Facebook股价已较年初跌了29.70%(12月25日)。而12月份的这次泄露,欧洲隐私管制机构爱尔兰数据保护委员会已着手调查,Facebook或因此被罚款超过16亿美元。
(2) 涉嫌侵犯数百亿条公民个人信息,上市公司数据堂被公安一锅端
事件回顾:据新华社新媒体2018年7月8日报道,大数据行业知名企业数据堂(831428.OC)在8个月时间内,日均传输公民个人信息1.3亿余条,累计传输数据压缩后约为4000GB左右,公民个人信息达数百亿条,数据量特别巨大。
结果:除了数据堂外,山东警方共抓获犯罪嫌疑人57名,打掉涉案公司11家。
(3) 新三板挂牌公司涉窃取30亿条个人信息,非法操控公众账号加粉或关注
事件回顾:今年8月份,澎湃新闻从绍兴市越城区公安分局获悉,该局日前侦破一起特大流量劫持案,涉案的新三板挂牌公司北京瑞智华胜科技股份有限公司,涉嫌非法窃取用户个人信息30亿条,涉及百度、腾讯、阿里、京东等全国96家互联网公司产品,目前警方已从该公司及其关联公司抓获6名犯罪嫌疑人。案件仍在进一步侦办中。
结果:目前警方已从该公司及其关联公司抓获6名犯罪嫌疑人。
(4) 圆通10亿快递信息泄露
事件回顾:六月份,暗网一位ID“f666666”的用户开始兜售圆通10亿条快递数据,该用户表示售卖的数据为2014年下旬的数据,数据信息包括寄(收)件人姓名,电话,地址等信息,10亿条数据已经经过去重处理,数据重复率低于20%,数据被该用户以1比特币打包出售。
结果:有网友验证了其中一部分数据,发现所购“单号”中,姓名、电话、住址等信息均属实。
(5) 万豪酒店5亿用户开房信息
事件回顾:万豪国际集团11月30日发布公告称,旗下喜达屋酒店客房预订数据库遭黑客入侵,最多约5亿名客人的信息可能被泄露。万豪酒店在随后的调查中发现,有第三方对喜达屋的网络进行未经授权的访问。目前,未经授权的第三方已复制并加密了某些信息,且采取措施试图将该信息移出。
万豪披露,已知的是,大约3.27亿客人的个人姓名、通信地址、电话号码、电子邮箱、护照号码、喜达屋SPG俱乐部账户信息、出生日期、性别等信息都已经可能全部泄漏。
结果:消息公布后,万豪国际的股价在当天的盘前下跌5.6%,报115.02美元。事件曝光后,万豪采取了各种措施去补救。
(6) 华住酒店5亿条用户数据疑泄露
事件回顾:华住酒店集团旗下酒店用户信息在“暗网”售卖,售卖者称数据已在8月14日脱库。身份证号、手机号,一应俱全,共涉及5亿条公民信息。涉及酒店范围包括:汉庭、美爵、禧玥、诺富特、美居、CitiGO、桔子、全季、星程、宜必思尚品、宜必思、怡莱、海友。此次泄露的数据数量则总计达5亿条,全部信息的打包价为8比特币,或者520门罗币(约合人民币38万元)。卖家还称,以上数据信息的截止时间为2018年8月14日。
结果:随后,华住集团酒店官方微博回应此事称,“已经报警了。真实性目前无法查证,我们信息安全部门在紧急处理中”。同时官方微博也呼吁,请相关网络用户、网络平台立即删除并停止传播上述信息,保留追究相关侵权人法律责任的权利。
(7) 瑞士数据管理公司 Veeam 泄露 4.45 亿条用户数据
事件回顾:2018年9月份,研究人员在一个配置错误的服务器上发现了存储有超过200GB数据的数据库。据悉,该服务器处于完全无防御的状态,且面向公众开放,任何人都能够公开查询和访问其数据。研究人员介绍称,该数据库中存储有来自Veeam公司的约4.45亿客户记录,其中包含客户的个人信息,如姓名、电子邮件地址以及居住地、国家等。此外,该服务器上提供的其他详细信息还包括部分营销数据,例如客户类型和组织规模、IP 地址、referrerURL 以及用户代理等。
结果:信息在网上挂了4天后,就全部无法访问,想必公司已经采取了措施。对于该起事件有安全专家建议,所有数据库管理员考虑MongoDB在一年前发布其数据库产品的安全指南,同时添加新的内置安全功能,如加密,访问控制和详细审计等。
(8) Exactis大数据公司失误泄露2TB隐私信息:3.4亿条,涉及2.3亿人
事件回顾:据Wired报道,六月初曝光的市场和数据汇总公司Exactis服务器信息暴露的事情经调查为实,涉及大约3.4亿条记录,容量接近2TB,据说涵盖2.3亿人。这些数据包含的隐私深度超乎想象,包括一个人是否吸烟、宗教信仰、养狗或养猫以及各种兴趣等。
结果:Exactis事后对数据进行了加密防护,以避免信息的进一步泄露。
(9) 美国功能性运动品牌Under Armour 1.5亿用户信息泄露
事件回顾:美国功能性运动品牌Under Armour(安德玛)旗下饮食和营养管理App及网站MyFitnessPal大规模的数据泄露,多达1.5亿用户的信息被盗。此次数据泄露事件影响到的用户数据包括用户名、邮箱地址、和加密的密码。安德玛表示,该数据泄露事件并没有涉及到用户的社会安全号码、驾驶证号、和银行卡号等隐私信息。
结果:Under Armour通过电邮和App消息提醒用户立刻更改密码,当晚其股票市值下跌了4.6%。
(10) 问答网站 Quora户数据遭泄露1个亿
事件回顾:12月4日,据纽约时报报道,问答网站鼻祖Quora称,该公司的计算机系统遭到恶意第三方的未授权访问,大约有1亿用户的账户及私人信息可能已经泄露,包括姓名、邮箱地址和加密处理的密码。
结果:Quora CEO发布博文致歉。官方称,第一时间雇佣网络安全专家进行调查,同时也联系了执法部门。
2. 今年的数据泄露事件还有:
- 国泰航空数据泄露,940万乘客受影响
- MongoDB 数据库被入侵, 1100 万份邮件记录遭泄露
- SHEIN 数据泄露影响 642 万用户
- http://HealthCare.gov注册系统被黑客入侵,75000人数据遭泄露
- GovPayNet凭证系统存在漏洞,1400万交易记录被曝光
- 瑞士电信(Swisscom)证实80万数据被盗,涉全国1/10公民信息
- 英国航空公司数据泄露事件:38万人受影响
- 小米有品平台泄露个人隐私 约2000万用户数据遭泄露
- 美国23州连锁餐馆出现数据泄露,超过50万信用卡数据存在安全风险
- Atlas Quantum数字货币投资平台数据泄露,影响约26.1万名客户
- 知名OCR软件ABBYY FineReader被曝泄露超过20万份客户文件
- Instagram平台被黑 已超百万用户信息泄露
- 乘客航班信息泄露链条曝光,近500万条信息被卖
- 医疗软件公司MedEvolve因服务器漏洞致20多万患者信息泄露
- Robocall公司泄露了美国数十万选民个人信息
- Adidas数百万用户数据泄漏
- 顺丰快递3亿用户信息外泄(顺丰官方否认,表示非顺丰数据)
- 陌陌数据外泄3000万(陌陌官方后来回应:跟用户匹配度极低)
- AcFun受黑客攻击,近千万条用户数据外泄
- 前程无忧用户信息在暗网上被公开销售
- 加拿大两大银行遭黑客攻击 近9万名客户数据被窃
- 私人情报机构 LocalBlox 泄露 4800 万份个人数据记录
- 中东打车巨头Careem遭遇网络攻击 1400万乘客信息失窃
- 央视曝光偷密码的“万能钥匙”,9亿人个人信息存风险
- 旅游网站Orbitz 88万份信用卡信息遭泄露
三、安全漏洞数量和严重性创下历史新高
NVD在2018年收录的漏洞总数为18,104个,相比2017年的18,240个处于基本持平的态势。而2018年CNNVD采集的安全漏洞数量为15,040个,相比2017年11,707个全年采集漏洞总数增加28.5%,反映出漏洞数量迅速达到历年高峰的严峻现实。
年度重大漏洞盘点:
(1) 2018年1月
- 多个CPU数据缓存机制漏洞(Meltdown:CNNVD-201801-150和CNNVD-201801-152;Spectre:CNNVD-201801-151):成功利用以上漏洞的攻击者可使用低权限的应用程序访问系统内存,从而造成数据泄露。Intel、AMD、ARM的处理器及其关联的上层操作系统和云平台均受此漏洞影响,经证实的操作系统包括Windows、Linux和MacOS,经证实的云平台包括基于Xen PV、OpenVZ等构架的云端基础设施。目前,微软、苹果、红帽、亚马逊、腾讯云、VMware等厂商针对相关漏洞提供了修复补丁或缓解措施。
- iOS 平台WebView组件漏洞(UIWebView/ WKWebView)跨域访问漏洞(CNNVD-201801-515):成功利用该漏洞的攻击者可以远程获取手机应用沙盒内所有本地文件系统内容,包括浏览器的Cookies、用户的配置文件、文档等敏感信息。iOS平台使用了WebView组件的应用可能均受影响。目前,厂商暂未发布解决方案,但可通过临时解决措施缓解漏洞造成的危害。
(2) 2018年3月
Cisco IOS Software和IOS XE Software输入验证漏洞(CNNVD-201803-1022)、Cisco IOS Software和IOS XE Software quality of service子系统缓冲区错误漏洞(CNNVD-201803-1038)、Cisco IOS XE Software安全漏洞(CNNVD-201803-1039)。成功利用上述漏洞的攻击者,可以对使用了IOS以及IOS XE系统的思科设备发送恶意的数据包,最终实现拒绝服务或远程代码执行,完全控制设备等。所有支持Smart Install client特性的IOS以及IOS XE设备都可能受漏洞影响。目前,思科官方已对该漏洞进行了修复。
(3) 2018年4月
OracleWebLogic Server WLS核心组件远程代码执行漏洞(CNNVD-201804-803、CVE-2018-2628)。远程攻击者可利用该漏洞在未授权的情况下发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,实现任意代码执行。Oracle WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影响。目前,该漏洞的攻击代码已在互联网上公开,且Oracle官方已发布补丁修复该漏洞。
(4) 2018年5月
手机程序第三方解压缩库输入验证安全漏洞(CNNVD-201805-440):手机程序第三方解压缩库输入验证安全漏洞存在于使用了第三方解压缩库的应用中。漏洞源于手机程序中的第三方解压缩库,在解压zip压缩包时并未对“../”进行过滤。手机程序在调用第三方解压缩库解压zip压缩包时未对解压路径进行检查,当从不安全的来源获得zip格式压缩包文件并解压缩时,如果该zip压缩文件被劫持插入恶意代码,可能导致任意代码执行。
(5) 2018年6月
Microsoft Excel远程代码执行漏洞(CNNVD-201806-800、)及Microsoft Windows HTTP协议堆栈远程代码执行漏洞(CNNVD-201806-771)。成功利用Microsoft Excel远程代码执行漏洞的攻击者,能在当前用户环境下执行任意代码,如果当前用户使用管理员权限登录,攻击者甚至可以完全控制该用户的系统。成功利用Microsoft Windows HTTP 2.0协议堆栈远程代码执行漏洞的攻击者,可在目标系统上执行任意代码,并控制该用户的系统。目前,微软官方已经发布补丁修复了上述漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
(6) 2018年7月
- OracleWebLogic Server WLS核心组件远程代码执行漏洞(CNNVD-201807-1276):攻击者可以在未经授权的情况下,远程发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,最终实现了远程代码的执行。目前,Oracle官方已经发布补丁修复该漏洞,请用户及时检查产品版本,如确认受到漏洞影响,可安装补丁进行防护。
- 微信支付SDKXXE漏洞(CNNVD-201807-083):成功利用该漏洞的攻击者可以远程读取服务器文件,获取商户服务器上的隐私数据,甚至可以支付任意金额购买商品。使用有漏洞的Java版本微信支付SDK进行支付交易的商家网站可能受此漏洞影响。目前,微信官方已经发布补丁修复该漏洞,建议用户及时确认是否受到漏洞影响,尽快采取修补措施。
(7) 2018年8月
- Apache Struts2 S2-057安全漏洞(CNNVD-201808-740、CVE-2018-11776):成功利用漏洞的攻击者可能对目标系统执行恶意代码。Apache官方已经发布了版本更新修复了该漏洞。
- 微软多个远程执行代码漏洞(CNNVD-201808-403、CVE-2018-8350和CNNVD-201808-399、CVE-2018-8375等):成功利用上述Windows远程执行代码漏洞的攻击者,可以在目标系统上执行任意代码。微软官方已经发布补丁修复了上述漏洞。
(8) 2018年9月
微软官方发布了多个安全漏洞的公告,包括Internet Explorer 内存损坏漏洞(CNNVD-201809-509、CVE-2018-8447)、Microsoft Excel 远程代码执行漏洞(CNNVD-201809-550、CVE-2018-8331)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。微软官方已经发布补丁修复了上述漏洞。
(9) 2018年10月
- Oracle WebLogic Server远程代码执行漏洞(CNNVD-201810-781):攻击者可利用该漏洞发送攻击数据,通过T3协议在WebLogic Server中执行反序列化操作,最终实现远程代码执行。WebLogic Server 10.3.6.0、12.1.3.0、12.2.1.2、12.2.1.3等版本均受漏洞影响。Oracle官方已经发布了漏洞修复补丁。
- 微软官方发布了多个安全漏洞的公告,包括Microsoft XML Core Services MSXML parsera安全漏洞(CNNVD-201810-294)、Microsoft Windows Hyper-V安全漏洞(CNNVD-201810-327)等多个漏洞。成功利用上述漏洞的攻击者,可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。微软官方已发布修复上述漏洞的补丁。
(10) 2018年11月
- macOS High Sierra和iOS系统存在内核漏洞(CNNVD编号:CNNVD-201810-1510、CVE编号:CVE-2018-4407),该漏洞是XNU系统内核中网络部分的堆缓冲区溢出导致,攻击者通过向目标设备发送特殊构造的数据包从而执行恶意代码或使系统崩溃重启。触发该漏洞的必要条件是攻击者与目标系统需处于同一网络(如Wi-Fi)。
- 微软多个安全漏洞,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201811-349、CVE-2018-8570)、Microsoft Word 安全漏洞(CNNVD-201811-387、CVE-2018-8539)、(CNNVD-201811-388、CVE-2018-8573)等多个漏洞。成功利用上述安全漏洞的攻击者,可以在目标系统上执行任意代码。
(11) 2018年12月
微软多个安全漏洞,包括Microsoft Internet Explorer 安全漏洞(CNNVD-201812-458、CVE-2018-8619)、Microsoft Excel安全漏洞(CNNVD-201812-466、CVE-2018-8597)等多个漏洞。成功利用上述漏洞可以在目标系统上执行任意代码。微软多个产品和系统受漏洞影响。微软官方已经发布漏洞修复补丁。
四、勒索软件业务经历市场调整
如果将勒索软件看作一项生意的话,从2016年开始到2017年勒索软件的高额利润吸引大批攻击者蜂涌而至,赎金更是漫天要价。2018年,勒索软件“市场”就有点不景气了,勒索软件家族的总数下降,赎金要求也下降了,这表明勒索软件已经成为了商品。许多网络犯罪分子可能已经将注意力转移到加密电子货币挖矿上,因为作为现金的替代品,加密电子货币的价值非常高。网上银行交易威胁也有死灰复燃的趋势,某些臭名昭著的勒索软件集团正试图增加威胁的种类。尽管勒索软件变种数量较去年有所上升,表明那些臭名昭著的犯罪集团仍然相当高产,但勒索软件家族的数量有所下降,这表明他们的创新力出现了下降,也可能已将注意力转向了更高价值的新目标。
2018年新兴的勒索软件家族摘录:
1. 2018年1月,GandGrab勒索家族首次出现
应该算是勒索病毒家族中的最年轻,但是最流行的一个勒索病毒家族,短短几个月的时候内,就出现了多个此勒索病毒家族的变种,而且此勒索病毒使用的感染方式也不断发生变化,使用的技术也不断在更新,此勒索病毒主要通过邮件进行传播,采用RSA+ASE加密的方式进行加密,文件无法还原。
2. 2018年2月,多家互联网安全企业截获了Mind Lost勒索病毒
该勒索软件采用C#语言开发,其主要功能是采用AES加密方式加密本地文件,之后引导受害者至指定的网页要求付费解密文件,与以往勒索软件不同的是,此次勒索软件并没有要求受害者支付比特币等数字货币进行付费解密操作,而是直接要求用户使用信用卡或借记卡支付赎金,以此来套取银行卡信息,进而将此信息出售给不法分子从而牟取更大利益。加密样本账户的电脑的Users目录下的文件,如果后缀为”.txt”,”.jpg”,”.png”,”.pdf”,”.mp4″,”.mp3″,”.c”,”.py”的文件就直接加密,且解密赎金达到200美元。
3. 2018年3月,GlobeImposter勒索病毒家族
GlobeImposter勒索病毒家族是从2017年5月开始出现,并在2017年11月和2018年3月有两次较大范围的疫情爆发,在2017年11月前的GlobeImposter勒索病毒大部分被称为GlobeImposter1.0,此时的病毒样本加密后缀名以“.CHAK”较为常见,在2018年3月时出现了GlobeImposter2.0,此时的病毒样本加密后缀名以“.TRUE”,“.doc”较为常见,GlobeImposter也增加了很多新型的技术进行免杀等操作。
4. 2018年3月,麒麟2.1的勒索病毒
2018年3月1日,监测到了“麒麟2.1”的勒索病毒。通过QQ等聊天工具传文件方式传播,一旦中招就会锁定电脑文件,登录后会转走支付宝所有余额。中招后,它会锁定电脑文件,表面上要求扫码用支付宝付款3元,但实际上扫码是登录支付宝,登录后会转走支付宝所有余额。
5. 2018年3月,CrySiS勒索病毒爆发
服务器文件被加密为.java后缀的文件,采用RSA+AES加密算法,主要运用了Mimikatz、IP扫描等黑客工具,进行RDP爆破,利用统一密码特性,使用相同密码对全网业务进行集中攻击,通过RDP爆破的方式植入,同时此勒索病毒在最近也不断出现它的新的变种,其加密后缀也不断变化之中。
6. 2018年12月,一个以微信为支付手段的勒索病毒在国内爆发
几日内,该勒索病毒至少感染了10万台电脑,通过加密受害者文件的手段,已达到勒索赎金的目的,而受害者必需通过微信扫一扫支付110元赎金才能解密。
2018年6月,罗某某自主研发出病毒“cheat”,用于盗取他人支付宝的账号密码,进而以转账方式盗取资金。
同时制作内含“cheat”木马病毒代码的某开发软件模块,在互联网上发布,任何通过该开发软件编写的应用软件均包含木马病毒代码,代码在后台自动运行,记录用户淘宝、支付宝等账号密码,以及键盘操作,上传至服务器。此外,嫌疑人通过执行命令对感染病毒的计算机除系统文件、执行类文件以外的所有文件进行加密,随后弹出包含解密字样和预置微信收款二维码的勒索界面,解密程序标题显示“你的电脑已被加密,请执行以下操作,扫一扫二维码,你需要支付110进行解密”。
五、挖矿攻击迭起,花样不断翻新
2018年全球爆发了恶意加密货币挖掘,因此产生的恶意软件攻击次数增加了83%以上。今年前三个季度有超过500万用户被恶意软件攻击,而2017年同期为270万。根据卡巴斯基实验室的说法,在加密淘金热背后的主要驱动因素是安装和使用未经许可的软件和内容。在2018年,恶意加密货币开采战胜了过去几年的主要威胁:勒索软件。受恶意加密货币挖掘软件攻击的互联网用户数量在今年上半年稳步增长,遭遇挖矿攻击的用户数量从2016年-2017年度的1,899,236人次,增长为2017-2018年度的 2,735,611人次。挖矿攻击出现频率越来越高,对受害者造成的危害也日益严重,而且目前已经转向企业目标。
多家互联网企业和网络安全企业分析认为,非法“挖矿”已成为严重的网络安全问题。其中,腾讯云监测发现,随着“云挖矿”的兴起,云主机成为挖取门罗币、以利币等数字货币的主要利用对象,而盗用云主机计算资源进行“挖矿”的情况也显著增多;知道创宇安全团队监测发现,“争夺矿机”已成为僵尸网络扩展的重要目的之一;360企业安全技术团队监测发现一种新型“挖矿”病毒(挖取XMR/门罗币),该病毒在两个月内疯狂传播,非法“挖矿”获利近百万元人民币。由于入口门槛低,只需要几行代码就可以执行,网络犯罪分子大肆利用挖矿软件盗用消费者和企业的计算机处理能力以及占用云端 CPU,为其达到挖掘电子加密货币的目的。随着挖矿软件在企业环境中逐步蔓延,企业网络面临着彻底瘫痪的风险。它可能还会给企业带来财务上的影响,例如为挖矿软件所占用的云CPU 买单。随着恶意挖矿软件的不断升级,物联网设备将仍然是这类攻击的绝佳目标。
挖矿木马年度盘点:
(1) 2018年1月
- tlMiner爆发,它是隐藏在《绝地求生》辅助程序中的HSR币挖矿木马。该挖矿木马由一游戏辅助团队投放,瞄准游戏高配机实现高效率挖矿,单日影响机器量最高可达20万台。“tlMiner”木马作者在“吃鸡”游戏外挂、海豚加速器(修改版)、高仿盗版视频网站(dy600.com)、酷艺影视网吧VIP等程序中植入“tlMiner”挖矿木马,通过网吧联盟、论坛、下载站和云盘等渠道传播。木马作者通过以上渠道植入木马,非法控制网吧和个人计算机终端为其个人挖矿。
- 2018年4月11日,在腾讯电脑管家的协助下,山东警方在辽宁大连一举破获了“tlMiner”挖矿木马黑产公司。该公司为大连当地高新技术企业,为非法牟利搭建木马平台,招募发展下级代理商近3500个,通过网吧渠道、吃鸡外挂、盗版视频软件传播投放木马,非法控制用户电脑终端389万台,进行数字加密货币挖矿、强制广告等非法业务,合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云储币)等各类数字货币超过2000万枚,非法获利1500余万元。
- 1月6日,一位网名为“Rundvleeskroket”的Reddit(社交新闻站点)用户声称,黑莓手机的官方网站(blackberrymobile[.]com)被发现正使用Coinhive提供的加密货币挖矿代码来挖掘门罗币(Monero)。Rundvleeskroket在最新的动态更新中表示,似乎只有黑莓的全球网站(blackberrymobile[.]com/en)受到影响。所以,任何被重定向到CA、EU或US的用户都不会在网站开放的情况下运行挖矿代码。
(2) 2018年2月
- 安全公司 CrowdStrike 发现了一款名为 WannaMine 的新型 Monero 加密挖掘蠕虫,其利用与 NSA 相关的 EternalBlue (“ 永恒之蓝 ” )漏洞进行传播。据研究人员测试,WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统(包括 64 位版本和 Windows Server 2003),并使其设备性能明显下降。WannaMine 的恶意代码十分复杂,因为它实现了一种类似于国家赞助的 APT 组织所使用的扩散机制和持久性模型。更详细地解释是:WannaMine 利用 Windows 管理工具( WMI )永久事件订阅来在受感染的系统上获得持久性。当注册一个永久事件订阅后,WannaMine 将在事件使用者中每 90 分钟执行一个 PowerShell 命令。研究人员注意到,WannaMine 使用凭证收割机 Mimikatz 来收集用户凭据,从而达到横向移动的目的,但如果不能够横向移动的话,WannaMine 将更依赖于 EternalBlue 的利用。
- 从2018年2月3日开始,一组恶意代码开始蠕虫式快速传播,360安全团队将其命名为ADB.Miner。最早的感染时间可以回溯到1月31日左右,这波蠕虫式感染于2018年2月3日下午被360系统检测,感染安卓设备上 adb 调试接口的工作端口5555,正常情况下这个端口应该被关闭,但未知原因导致部分设备错误的打开了该端口蠕虫式感染,恶意代码在完成植入后,会继续扫描 5555 adb 端口,完成自身的传播感染。感染的设备大部分是智能手机以及智能电视机顶盒。
(3) 2018年3月
一种全的新的 Android 挖矿恶意软件 HiddenMiner 可以暗中使用受感染设备的CPU 计算能力来窃取 Monero。HiddenMiner 的自我保护和持久性机制让它隐藏在用户设备上滥用设备管理员功能 (通常在 SLocker Android 勒索软件中看到的技术)。另外,由于 HiddenMiner 的挖矿代码中没有设置开关、控制器或优化器,这意味着一旦它开始执行挖矿进程,便会一直持续下去,直到设备电量耗尽为止。鉴于 HiddenMiner 的这种特性,这意味着它很可能会持续挖掘 Monero,直到设备资源耗尽。根据研究人员的说法,HiddenMiner 是在第三方应用商店发现的,大部分受害用户都位于中国和印度。HiddenMiner 的持续挖矿与导致设备电池膨胀的Android 恶意软件 Loapi 类似,不仅如此,HiddenMiner 还使用了类似于撤销设备管理权限后 Loapi 锁定屏幕的技术。
(4) 2018年5月
“WinstarNssmMiner”来袭。此类挖矿病毒最大的与众不同是会阻止用户结束挖矿进程,一旦用户选择结束进程,其电脑会立刻蓝屏。而且此次的挖矿病毒欺软怕硬,碰到强力的杀软会当缩头乌龟,一旦碰到实力不济的杀软它就会关闭正在运行的杀毒软件程序。因此中了此类病毒的用户通常只能面对已经出现卡慢,甚至蓝屏的电脑束手无策。该木马病毒会将自身的恶意代码以父进程的形式注入系统进程svchost.exe,然后把该系统进程设置为CriticalProcess,在这种情况下一旦强制结束该进程电脑就会立刻蓝屏。用研究员的话形容就是,这个病毒真是相当的暴力了!当然,把用户的电脑暴力蓝屏是这个病毒最后的一招,在中病前期,该病毒还会在用户的电脑上进行一系列操作来挖矿获利。
(5) 2018年6月
撒旦(Satan)勒索病毒的传播方式升级,不光使用永恒之蓝漏洞攻击,还携带更多漏洞攻击模块:包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默认配置漏洞(CVE-2010-0738)、Tomcat任意文件上传漏洞(CVE-2017-12615)、Tomcat web管理后台弱口令爆破、Weblogic WLS 组件漏洞(CVE-2017-10271),使该病毒的感染扩散能力、影响范围得以显著增强。分析发现,该变种的传播方式与今年之前发现的版本类似,都有利用JBoss、Tomcat、Weblogic等多个组件漏洞以及永恒之蓝漏洞进行攻击。新变种增加了Apache Struts2漏洞攻击模块,攻击范围和威力进一步提升。最出人意料的是,Satan病毒放弃了此前的勒索,开始转行传播挖矿木马。由于此前的satan勒索病毒的算法存在“缺陷”,可以被进行完美解密,从而使得勒索作者无法收到赎金。因此本次变种开始改行挖矿,不仅可以稳定的获得收入,还可以避免很快的暴露(由于挖矿除了会让机器稍微卡慢一点,给用户的其他感官不强,因此一般用户很难察觉到被挖矿)。
(6) 2018年9月
- 不法黑客通过1433端口爆破入侵SQL Server服务器,植入远程控制木马并安装为系统服务,然后利用远程控制木马进一步加载挖矿木马进行挖矿。用户电脑不知不觉间沦为不法分子“挖矿”的工具,电脑算力被占用,同时极有可能带来一系列网络安全风险。截止目前,该木马现已累计感染约3万台电脑。腾讯智慧安全御见威胁情报中心实时拦截该挖矿木马的入侵,将其命名为“1433爆破手矿工”,不法黑客除了利用感染木马电脑挖矿外,还会下载NSA武器攻击工具继续在内网中攻击扩散,若攻击成功,会继续在内网机器上安装该远程控制木马。在内网攻击中,“1433爆破手矿工”可使用的漏洞攻击工具之多,令人咋舌。其加载的攻击模块几乎使用了NSA武器库中的十八般武器,Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻击)等多种漏洞攻击工具皆可被黑客利用实施内网攻击。
- 专攻企业局域网的勒索病毒GandCrab,这个臭名昭著的勒索病毒版本号已升级到4.3。与以往不同的是,攻击者在已入侵网络同时释放挖矿木马和勒索病毒,针对高价值目标使用GandCrab勒索病毒,而一般目标则运行挖矿木马,以最大限度利用被入侵的目标网络非法牟利。分析勒索病毒GandCrab 4.3的入侵通道,发现黑客通过暴力破解Tomcat 服务器弱密码实现入侵。入侵成功后,从C2服务器下载勒索病毒和挖矿木马,恢复被GandCrab勒索病毒加密的文件需要付费499美元购买解密工具。通过钱包分析发现,该木马已收获18.6个门罗币,折合人民币约1.5万元。
- GandCrab 勒索病毒之前的版本一般通过钓鱼邮件和水坑攻击(选择最可能接近目标的网络部署陷阱文件,等待目标网络内的主机下载)。而现在,御见威胁情报中心监测到越来越多的勒索病毒会首先从企业Web服务器下手,其中Tomcat被暴破弱密码攻击的情况近期有明显上升。攻击一旦得手,黑客就会以此为跳板,继续向内网扩散。扩散的手法,往往是使用NSA攻击工具包或1433,3389端口暴力破解弱口令。之后,黑客会选择高价值目标下载运行勒索病毒,对一般系统,则植入挖矿木马获利。针对企业使用勒索病毒加挖矿木马双重打击是近期比较突出的特点。
(7) 2018年10月
Palo Alto Unit 42研究员 Brad Duncan发现的最新恶意软件中,不仅会安装XMRig挖矿应用,而且会自动对Flash Player进行更新。这样在安装过程中不会引起用户的怀疑,从而进一步隐藏了它的真正意图。这款安装器会真的访问Adobe的服务器来检查是否有新的Flash Player。整个安装过程中和正式版基本上没有差别。这样用户以为正常升级Flash的背后,安装了coinminer的挖矿应用。一旦设备受到感染,就会连接xmr-eu1.nanopool.org的挖矿池,开始使用100%的CPU计算能力来挖掘Monero数字货币。
(8) 2018年11月
- 拥有Windows和安卓双版本的挖矿木马MServicesX悄然流行,中毒电脑和手机会运行门罗币挖矿程序,造成异常发热乃至设备受损的现象。该挖矿木马十分擅长伪装,在电脑端使用具有合法数字签名的文件,以躲避安全软件的查杀;在安卓手机端更伪装成Youtube视频播放器软件,不知情的用户用其在手机上观看视频时,病毒会在后台运行门罗币挖矿程序。数据显示,挖矿木马MServicesX近期表现活跃,感染量波动较大,并且已快速蔓延至全球范围。在国内,则以广东、江苏、香港三地的受感染量最大。经病毒溯源发现,该病毒的Windows版本通过提供各类游戏下载安装的某游戏下载站进行传播,木马隐藏在游戏安装包中,游戏安装程序在运行时会提示用户关闭杀毒软件,并释放出木马文件“MServicesX_FULL.exe”。安装包运行后,病毒还会将版本更新设置为计划任务,每三个小时运行一次,保持木马更新为最新版本,利用后台程序挖矿,尽最大可能榨取用户CPU资源。
- KoiMiner挖矿木马变种出现,该变种的挖矿木马已升级到6.0版本,木马作者对部分代码加密的方法来对抗研究人员调试分析,木马专门针对企业SQL Server 服务器的1433端口爆破攻击进行蠕虫式传播。腾讯御见威胁情报中心监测数据发现,KoiMiner挖矿木马已入侵控制超过5000台SQL Server服务器,对企业数据安全构成重大威胁。该病毒在全国各地均有分布,广东、山东、广西位居前三。