国家互联网应急中心-2021年恶意挖矿威胁趋势分析报告

《2021年恶意挖矿威胁趋势分析报告》CNCERT合发布第2页CNCERT与安恒信息联合发布 4 第3页CNCERT与安恒信息联合发布 第4页CNCERT与安恒信息联合发布摘要CNCERT恶意挖第5页CNCERT与安恒信息联合发布一、挖矿活动介绍1.挖矿、恶意挖矿与加密货币某也就是俗称的“恶意挖矿”。通常情况下，恶意挖矿与设备感染挖矿木马有关。第6页CNCERT与安恒信息联合发布2.感染挖矿木马的迹象的症状。行为。二进制文件的恶意挖矿。驱动式网页挖矿与恶意广告攻击类似，攻击者将一段JavaScript代码嵌入。多针挖4.为什么会感染挖矿木马软件？载第7页CNCERT与安恒信息联合发布C5.恶意挖矿的危害常运营。：T第8页CNCERT与安恒信息联合发布1.2021年第四季度活跃挖矿主机分析0000000000000000000000004862021年10月2021年11月2021年12月未知 境外21.56%境内 78.26%第9页CNCERT与安恒信息联合发布甘肃 0.38%山西1.37%甘肃 0.38%山西1.37%天津1.31%海南新疆0.66% 1.00%宁夏青海0.45%0.43%西藏 0.09%贵州1.24%1.40%云南吉林黑龙江广东12.57%1.75%1.67%广东12.57%未知广西上海1.85%1.84%1.92%江苏11.72江苏11.72%2.03%陕西2.44%浙江浙江7.60%3.06%湖北3.09%北京四川5.23%四川5.23%辽宁山东3.69%福建3.70%河南福建3.70%河南河北3.79%4.89%江西3.86%IP信运营商的境内挖矿主60000005000000400000030000002000000100000005457301185534077824421032989176电信联通移动阿里云其他第10页CNCERT与安恒信息联合发布坦坦亚%%4.74%地理位置与矿池连接次数59第11页CNCERT与安恒信息联合发布98度矿池服务IP分析02021年10月2021年11月2021年12月第12页CNCERT与安恒信息联合发布 海南0.43%甘肃0.67%山西1.02%新疆0.74%宁夏0.35%贵州1.07%青海西藏0.09%海南0.43%甘肃0.67%山西1.02%新疆0.74%宁夏0.35%贵州1.07%青海西藏0.09%天津广西1.21%内蒙古1.14%1.08%广东14.74广东14.74%黑龙江1.35%陕西1.84%重庆湖南湖南江西2.53%北京9.74%湖北2.34%江苏8.79%安徽2.72%河北2.72%河北2.77%7.97%辽宁2辽宁2.83%未知6.33%3.08%河南河南山东5.03%上海5.62%4.79%第13页CNCERT与安恒信息联合发布00000743220260687171803165098186202电信联通阿里云移动其他CNCERT与安恒信息联合发布%%%%4.67%4.36%相关列表。地理位置通联次数历史解析域名第14页CNCERT与安恒信息联合发布第15页CNCERT与安恒信息联合发布tesslxmrigcompoolcnpoolcomackupfpoolcompoolcomcpoolcom第16页CNCERT与安恒信息联合发布6chssbtccometassbtccomccssbtccomsvssbtccombtccomchssbtccombtccomccssbtccomsvssbtccom三、流行挖矿威胁浅析原因之一。流行挖矿木马家族。1.挖矿团伙TeamTNT组织第17页第18页CNCERT与安恒信息联合发布Masscanashell批处理脚本、新的开源工具、加密货币TeamTNT主要使用扫描器来寻找攻击目标，在锁定攻击目标后，选取dH2Miner组织第19页CNCERT与安恒信息联合发布ThinkPHPCVE2018-20062)SolrdataimportCVE0193)Confluence洞(CVE-2019-3396)WordPress漏洞(CVE-2020-25213)第20页CNCERT与安恒信息联合发布ConfluenceCVE2019-3396)LDecoderDrupalBosssouchdbsveMQopCNCERT与安恒信息联合发布其它挖矿进程、卸载安全软件等操作。然后执行横向移动模块，该模块会利用第21页第22页CNCERT与安恒信息联合发布匿影挖矿团伙内2.挖矿木马家族能第23页CNCERT与安恒信息联合发布索并禁用流行的防病毒程序，卸载所有安全软件并禁用Windows更新。Crackonos在后台运行的加密货币挖掘程序会在受害者不知情的情况下减慢他们ckLemonDuck最初是由针对“驱动人生”发起的供应链攻击演变而来的，攻现在已成为技术最高明的挖矿软件之一。第24页CNCERT与安恒信息联合发布IoT设备、智能电视，智能扫描仪，工业AGV等，该组织还在近期新增了针对Linux设备的攻击模块。受到感染的机器中绝大部分来自于政府与网络，对政企机构危害较大。集合了木马、wsLinux。Sysrvhello虫(传播器)模块的多组件体系osysrvhello具有以下几个特点：第25页CNCERT与安恒信息联合发布EDrupalAjaxRCECVE-7600)sopE第26页CNCERT与安恒信息联合发布主机已过数万台。四、挖矿木马的常见感染传播方式载传播、僵尸网络下发及漏洞传播等手段。1.钓鱼邮件传播利。2.通过非法网页进行传播这类站点打开后往往需要停留一段时间才出现界面，不会轻易引起用户的怀疑，3.软件捆绑下载传播的影响。第27页CNCERT与安恒信息联合发布4.通过僵尸网络进行分发L络5.通过漏洞传播用性广，利用代码编写简单，可快速配备到各种攻击组件当中，例如最常见的尸网络则会在其攻击模块中集成多个漏洞探测模块，例如永恒之蓝、weblogic、漏洞类型漏洞编号相关的恶意挖矿攻击家族eCVE143CVE144CVE145CVE146CVE148、ms17-010第28页CNCERT与安恒信息联合发布Weblogicweb服务漏洞erGuardWebLogicFusion中间件远程代码CVE-2725buleheroWebLogicXMLDecoder反序列化CVE17-10271WeblogicRCE漏洞CVE20-14882monDuckWeblogic任意文件上传漏洞CVE-2894ConfluenceRCE漏洞CVE-26084CVE-3396inerThinkPHPweb务漏洞ThinkPHP5漏洞CNVD-24942buleHeroThinkPHP5.XRCE漏洞PHPUnitRCE漏洞CVE841inerElasticSearchRCE漏洞CVE015-1427erGuardElasticSearch权访问漏洞CVE-3120HadoopYarn未授权访问漏洞MinerGuardDocker权访问漏洞等多个web服务漏洞ngRCECVE018-1273erGuardjava反序列化漏洞JenkinsRCE漏洞CVE9-1003000sterMinerredis未授权访问漏洞rrvisordRCECVE17-11610inerDrupal架漏洞CVE8-7600erGuardCNCERT与安恒信息联合发布tsRCECVE-5638leHeroRedis4.x/5.x主从同步命令执行CNVD-21763inerWindows印机远程代码执行漏CVE-34527件上传漏洞CVE-25213minerAtlassianJira未授权模板注入漏洞CVE19-11581tchBogCVE19-10149tchBogApacheSolrDeserializationRCECVE192tchBogCVE708tchBogStackRCECVE1651、CVE20-11652iner6.利用软件供应链感染传播7.通过浏览器插件传播攻击者通过将恶意插件伪装成正常的Chrome浏览器插件，上传到插件商店 (Tumblr)上进行多账号协作，该恶意插件会劫持电脑资源去挖掘虚拟货币第29页第30页CNCERT与安恒信息联合发布行恶意活动的安全事件仍在不断发生。8.容器镜像污染下载执行镜像时，将导致其docker主机被感染，攻击者还会通过容器服务器的漏洞传播蠕虫病毒，以尽可能地感染更多的docker主机，并执行挖矿程序进行对云容器的TNTteam黑产挖矿团伙就经常使量9.利用移动存储介质传播L第31页CNCERT与安恒信息联合发布五、恶意挖矿趋势解析1.虚拟货币价格激增，通过各种手段提高挖掘效率攻击者会尝试使用各种技术以提高挖矿效率，例如研究人员发现的一个在多核处理器上，使用硬件预取会造成功能受损，并导致系统性能整体下降。黑吃黑，黑产组织争夺挖矿资源除竞争对手的挖矿进程，并将该进程和其使用的IP添加到黑名单，禁；第32页CNCE