2021年恶意挖矿威胁趋势管理报告.docx

《2021年恶意挖矿威胁趋势管理报告.docx》由会员分享，可在线阅读，更多相关《2021年恶意挖矿威胁趋势管理报告.docx（36页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、2021年恶意挖矿威胁趋势分析报告21.56%的境外挖矿主机IP中，来自伊朗、俄罗斯、印度等国家的IP较多,分别占 25.26%、12.96%、7.22%。图：境外挖矿主机IP按国家和地区分布值得关注的是，局部挖矿主机IP非常活跃，发起较多的与矿池服务器的连 接。以下20个IP为值得关注的挖矿主机IP地址。表：活跃挖矿主机IP Top20IP*地理位置与矿池连接次数106.*.*.19上海2300781183120.*.*.167广东1618222028117.*.*.207河南994100508120.*.*.229广东944055649193.*.*,173广东836239278122.*

2、.*.116河南506139247182.*.*.158四川50018072247 * * 7广东436102159139.*.*.147四川398089749193. *.*.254俄罗斯394709478111.*.*.51广东38454856058.*.*,106湖北378751989182.*.*1.11广东373948017120.*.*.57广东3706499248.*.*.43中国345367736120.*.*.58广东33858304947.*.*.18广东32355694558.*.*.98北京31617665249.*.*.135北京309107681113.*.*.15

3、7湖北3033682312.2021年第四季度矿池服务IP分析2021年第四季度，CNCERT监测发现约585万个矿池服务IP。其中活跃矿 池服务IP数量按月分布如下列图所示：图：矿池服务IP数量按月分布585万个矿池服务IP中,26.10%为境内IPo图：矿池IP境内外分布境内矿池以广东、北京、江苏的服务IP较多，分别占17.40% J7.33%x9.93%o图：境内矿池IP按省份分布此外，电信、联通等运营商的境内矿池IP较多。其中IP地址运营商为电信 的境内矿池IP约有74万个，占2021年第四季度所有矿池服务IP的48.67%,其 次为联通和阿里云，约有26万个和17万个，分别占17.0

4、7%、H.25%。图：境内矿池IP所属运营商分布在71%的境外矿池服务IP中，美国的矿池IP数量最多，共监测发现约130 万个IP,占本季度所有活跃矿池IP数量的31.26%、其次为法国和日本，IP数量 是194817个、193995个,分别占本季度矿池IP总数的4.69%、4.67%。图：境外矿池服务IP按国家和地区分布值得关注的是，局部矿池IP非常活跃，有较多的挖矿主机IP与其进行通信 连接，下表为活跃矿池的相关列表。表：活跃矿池IPTop20IP地理位置通联次数历史解析域名138. 68. 44. 84美国1568961host. voiceusit. com ait. pilutce.

5、 com157. 245. 77. 105美国1562371host. voiceusit. com repomaa. 3cx. fi ait. pilutce. com96. 126. 117. 129美国1560309ait. pilutce. com host, voiceusit. com194. 195. 223. 249德国1183541sim. miniast. com cake. pilutce. com o. auntions, com bit. pilutce. com tie. presuant. com iot. tenchier. com iron, tenchier

6、. com coco. miniast. com139. 177. 196. 162美国1180841bit. pilutce. com iron. tenchier. com coco, miniast. com tie. presuant. com aliyuncs. com cake. pilutce. com o. auntions. com iot. tenchier. com sim. miniast. com139. 59. 109. 18新加坡1116214iron, tenchier. com bit. pilutce. com sim. miniast. com tie.

7、presuant. com iot. tenchier. com coco. miniast. com cake. pilutce. com o. auntions. com139. 59. 182. 191英国923187rim. miniast. com chrisbuckle. com wgc. witmone. com159. 89. 161. 1印度922308wgc. witmone. com rim. miniast. com159. 203. 63. 223加拿大724273hot. tenchier. comtech. tositive. com109. 74. 196. 2

8、39英国713608hot. tenchier. comtech. tositive. com134. 209. 40. 198美国707798hot. tenchier. com tech, tositive. com199. 247.27.41荷兰-464821randomx. xmrig. comdonate. ssl. xmrig. comdonate. v2. xmrig. com178. 128. 242. 134荷兰-452515randomx. xmrig. comdonate. v2. xmrig. com donate. ssl. xmrig. com randomx-be

9、nchmark. xmrig. com203. 107. 32. 162中国409164dcr. vvpool. com wbtc. vvpool. com backup-zec. f2pool. com bch. vvpool. com gf. f2pool. com raven. f2pool. com vip-cmcc. f2pool. com btc. f2pool. com stratum, fkpool. cn clo. vvpool. com eth-backup. f2pool. com dcr. f2pool. com vip-chengdu. f2pool. com eth

10、. f2pool. com stratum. f2pool. com sc. f2pool. com backup-eth. f2pool. com btc. sr. f2pool. com sha256d. f2pool. com xmr. f2pool. com mona. f2pool. com btm. f2pool. com btcchenzhuang-nm. f2pool. com bcx. vvpool. com btn. vvpool. com btcksy-qh. f2pool. com50. 116. 34. 212美国332654wgc. witmone. com rim

11、. miniast. com106. 54. 138. 202中国280037other, xmrpool. ru47.241. 198. 198美国256814mine. c3pool. com geo. c3pool. comrvn-asia. c3pool. com47. 241.208.216美国247972sg. c3pool. comgeo. c3pool. com rvn-asia. c3pool. comasia. c3pool. commine. c3pool. com39. 107. 236. 106中国230999cn-bch. ss. btc. com cn-beta.

12、 ss. btc. com cn-bcc. ss. btc. com cn-bsv. ss. btc. com cn. ss. btc. com39. 102. 48. 53中国227140cn-bch. ss. btc. com cn. ss. btc. comcn-bcc. ss. btc. comcn-bsv. ss. btc. com三、流行挖矿威胁浅析通常，攻击者是出于经济动机才进行挖矿恶意活动，因为挖矿是一项非常有 利可图的业务，与勒索软件网络犯罪业务相比，恶意挖矿业务的攻击本钱更低， 且易于实施，收益直接可见，单靠个人就能完成整个攻击流程，这也是恶意挖矿 业务受到广大攻击者青睐的

13、原因之一。下面介绍一些常见的黑产挖矿团伙和流行挖矿木马家族。1 .挖矿团伙TeamTNT 组织TeamTNT是一个针对云环境的德语加密劫持黑客组织，自2020年4月以 来一直处于活跃状态。该组织不断对其挖矿木马进行迭代升级，主要的攻击目标 是Kubernetes和Dockero TeamTNT攻击目标环境也随着该组织的技术迭代而拓 宽，目前该组织的恶意活动已经能够针对AWSv DockerV GCP% Linux% Kubemetes 和Windows平台，覆盖几乎各类环境了。TeamTNT组织使用的局部导入工具包括：Masscan和端口扫描程序，以搜 索新的感染目标；用于直接从内存中执行bo

14、t的libprocesshider；适用于多种Web 操作系统的开源工具Lazagne,可用于从众多应用程序中收集存储的凭据。2021年5月，研究人员发现TeamTNT黑客组织以Kubernetes集群为目标, 攻击了近50000个IP,且大局部IP来自中国和美国。自2021年7月25日以来，TeamTNT组织运行了一项针对多个操作系统和 应用程序的新活动“Chimaera”，该组织使用新的开源工具从受感染的机器上窃 取用户名和密码。活动中使用多个shell批处理脚本、新的开源工具 加密货币 矿工 TeamTNT IRC bot等，在全球范围内引起了数千起感染。TeamTNT主要使用扫描器来寻

15、找攻击目标，在锁定攻击目标后，选取 payload投递，入侵成功后部署挖矿和横向攻击工具，整体流程见下列图：图：TeamTNT组织攻击流程H2Miner 组织H2Miner挖矿组织自2019年开始活跃，攻击目标包括Windows和Linux服 务器。该组织掌握了众多漏洞武器，擅长利用这些漏洞向受害机传播恶意脚本， 进而部署挖矿木马，同时部署扫描器向外扩散。目录摘要4一、挖矿活动介绍 51.挖矿、恶意挖矿与加密货币5什么是加密货币？ 5什么是挖矿？ 5什么是恶意挖矿？ 52 .感染挖矿木马的迹象63 .恶意挖矿是如何工作的？ 64 .为什么会感染挖矿木马软件？ 65 .恶意挖矿的危害7二、202

16、1年第四季度我国主机挖矿态势分析71.2021年第四季度活跃挖矿主机分析82.2021年第四季度活跃挖矿主机分析11三、 流行挖矿威胁浅析 171. 挖矿团伙17TeamTNT 组织17H2Miner 组织188220挖矿团伙20匿影挖矿团伙222. 挖矿木马家族22Crackonosh 22Lemon Duck 23Sysrv-hello24GuardMiner25四 挖矿木马的常见感染传播方式 261.钓鱼邮件传播26H2Miner组织掌握的漏洞主要是RCE漏洞，包括： Supervisor 远程代码执行漏洞(CVE-2017-11610) Hadoop Yarn REST API 未授权

17、远程代码执行漏洞(CVE-2017-15718) ThinkPHP 远程代码执行漏洞(CVE-2018-20062) 任意 PHP 执行漏洞(CVE-2017-9841) Solr dataimport 远程代码执行漏洞(CVE-2019-0193) Citrix ADC 和 Citrix Gateway 远程代码执行漏洞(CVE-2019-19781) Confluence未授权远程代码执行漏洞(CVE-2019-3396) SaltSTack 远程代码执行漏洞(CVE-2020-11651(2) WordPress文件管理器远程代码执行漏洞(CVE-2020-25213) Confluen

18、ce 服务器网络 OGNL 注入漏洞(CVE-2021-26084) Weblogic未授权远程代码执行漏洞(CVE-2020-14882/14883)2020年2月，H2Miner第一次被研究人员披露，此时H2Miner的攻击目标 主要为Redis服务器。攻击者利用Redis的远程代码执行漏洞和弱口令入侵服务 器，修改服务器设置，并下载名为kinsing的挖矿木马。2020年11月，研究人员捕获到H2Miner针对Windows平台攻击的变种挖 矿木马。攻击者向主机发送一个构造好的数据包，触发漏洞后，主机会请求并解 析执行远程服务器的xml文件。并在下载执行分发的恶意powershell脚本

19、后，实 现Windows平台的挖矿。H2Miner针对这两个平台的攻击流程在这之后没有出现大规模更新，整体流程见下列图： 哈希值校验却我平安软件囱cron.sh囱spre sh下裁并无直言期任务费本下效芳配置楼句考动割本图：H2Miner攻击流程8220挖矿团伙8220挖矿团伙疑似来自国内，自2017年起开始活跃，攻击目标包括Windows以及Linux服务器，该团伙早期会利用Docker镜像传播挖矿木马，后来又使用 多种漏洞进行攻击，进而部署挖矿木马。研究人员后来在2020年发现其开始通 过SSH爆破进行横向攻击传播。该团伙利用的漏洞包括： Confluence 远程代码执行漏洞(CVE-2

20、019-3396) Weblogic 反序列化漏洞(CVE-2017-1027K CVE-2019-2725) WebLogic XMLDecoder 反序列化漏洞 Drupal的远程任意代码执行漏洞 JBosss反序列化命令执行漏洞 Couchdb的组合漏洞 Redis未授权访问漏洞 ActiveMQ未授权访问漏洞 Hadoop未授权访问漏洞2018年8月，研究人员首次发现8220团伙的攻击活动，攻击者利用HadoopYarn资源管理系统REST API未授权漏洞入侵服务器，部署了 Linux挖矿木马。2021年5月，研究人员发现了 8220团伙使用自定义挖矿程序“PwnRig”和 Tsun

21、ami IRC Bot进行的恶意活动。PwnRig是一个基于XMRig的自定义挖矿工 具变体，试图隐藏其配置详细信息，并利用一个代理来防止公众监视其池详细信 息。攻击者在受感染主机上配置挖矿环境，下载并执行正确版本的PwnRig矿工 和Tsunami IRC机器人，获得持久性，并尝试横向移动。该团伙首先利用CVE-2019-7238等远程代码执行漏洞入侵目标服务器，然 后下载核心Shen程序并执行。Shen程序在前期准备中会执行关闭防火墙、结束 其它挖矿进程 卸载平安软件等操作。然后执行横向移动模块，该模块会利用 SSH爆破等手段入侵其它内网主机，然后从远程服务器下载Python脚本执行挖 矿

22、和僵尸网络等操作。Tsunam幅K宛兴图：8220挖矿团伙攻击流程图匿影挖矿团伙匿影挖矿团伙于2019年2月被发现，该团伙利用大量功能网盘和图床存放 病毒模块和隐藏自身，而且利用“永恒之蓝”漏洞在企业内网进行横向传播，以 在多个终端上执行挖矿作业。该团伙现已添加勒索软件攻击组件，研究人员发现 其屡次使用拼音首字母缩写，其勒索信中存在明显语法问题，推测该团伙为国内 黑产组织。该组织首先利用永恒之蓝漏洞入侵目标服务器，然后分别创立任务计划执行 不同操作。任务计划程序会通过执行Powershell脚本，从公共图床下载加密载荷。 然后分别执行挖矿、窃密和勒索操作。最后通过漏洞扫描程序以同样的方式感染

23、其余内网用户。图：匿影挖矿团伙攻击流程图2.挖矿木马家族Crackonosh“ Crackonosh ”是一种新型挖矿恶意软件，通过非法下载版本的流行游戏 进行传播，如侠盗猎车手V、NBA 2K19等。恶意软件隐藏在游戏代码中，一旦 下载游戏，恶意软件就会在后台秘密运行加密货币挖矿程序。“Crackonosh”在 捷克民间传说中是“山神”的意思，因此研究人员推测恶意软件背后的黑客可能 是捷克人。Crackonosh已感染22.2万台计算机，黑客已通过该软件获利200万 美元。Crackonosh通过流行游戏软件的非法破解副本传播，安装后，恶意转件会搜 索并禁用流行的防病毒程序，卸载所有平安软件

24、并禁用Windows更新。 Crackonos在后台运行的加密货币挖掘程序会在受害者不知情的情况下减慢他们 的计算机速度，受害者的计算机会由于过度使用而磨损组件，同时受害者的电费 也会增加。Lemon Duck小黄鸭(LemonDuck)背后的攻击者为具有一定专业能力的境外黑产组织， 曾发起或参与过大规模的网络攻击活动(如构建僵尸网络等)。如今，Lemon Duck 已开展成针对全球多个系统终端设备的有组织 有计划的、以挖矿为目的威胁组 织。被其感染的受害者普及全球，主要集中在亚洲地区，包括中国、新加坡、菲 律宾等。LemonDuck最初是由针对“驱动人Th”发起的供应链攻击演变而来的，攻 击

25、者利用“驱动人Th”作为跳板，使蠕虫尽可能广泛地传播。Lemon Duck在短 时间内快速迭代更新，一直在积极更新新的漏洞利用和混淆技巧，它还通过其无 文件矿工来逃避检测，现在已成为技术最高明的挖矿软件之一。自2020年8月起，Lemon Duck的感染传播速度疯狂增长，这可能得以与它 使用了几乎所有可用媒介进行传播，例如热门主题钓鱼电子邮件、漏洞利用、无 文件powershell模块和暴力破解等。O sdnwALPHA；：S nanw 无制911域名：Lemon DucT mSourc ,安何AK和情用,S nanw 无制911域名：Lemon DucT mSourc ,安何AK和情用,O

26、0 近 30A0200150100502021-12X 000000192 16a2424anr114.114.114.1146界长胡总思城右.UmonOuckfiVtl*威功航踪号ftlVtS俗聚工2022-01-OZ 1222:19Alt!女慢睡鼻情报Ie安州的丫网由1网络M） MVfl1 一iiiinlliiniiiiiuiuiuniiih,202112.12 00 00002O21-12-15 Q000002021-12-18 00 00002021-12-21 00:0000 Wl-12-24 0000002021-12-77 OOXX 00 202M2-WOOWOO 202201-

27、02 00 00 00202201 -05 000000近程控制趋意域名：Lemon Duck 2句小扁胃内网芟机：18,682427曾第最。（可闻名：口，28.名售括掖夕3名020名的僧煞MS名号蕾点.司修域名包括功E名代用域名0GA*名2.玛索代昭馈王同已 习im序.M1M2424 *5432s.俄产名除：切夫，遍-122 168.24 24 安堂: 渡安生“不存在巳*0 堆建（2:中38$51 机M运修校制d名：Le可除信2022-01-07 12:2?.19114.114.H4.114 *53安金:充分左 电除: 114DNS.COM 114DNSCOMDNS.虞域6： 32.8m供件

28、m： 5XMHW*V*.UXM我而* iwrtcum慢*加 W lJ424图：安恒信息捕获到的Lemon Duck恶意挖矿攻击行为Lemon Duck感染目标除了 Windows平台之外，还包括运行嵌入式Windows 7系统的IoT设备、智能电视，智能扫描仪，工业AGV等，该组织还在近期 新增了针对Linux设备的攻击模块。受到感染的机器中绝大局部来自于政府与 企业。值得注意的是“小黄鸭（LemonDuck） ”发动的攻击中会上传十分详尽的 系统环境信息，这意味着为其筛选“特定目标”进行下一步定向攻击做好了准备。Sysrv-helloSysrv-hello僵尸网络于2020年12月首次被国内

29、平安研究人员发现，由于具 备木马、后门、蠕虫等多种恶意软件的综合攻击能力，使用的漏洞攻击工具也较 新，目前已具备一定规模大小的僵尸网络，对政企机构危害较大。集合了木马、 后门、蠕虫功能，旨在攻击的Windows和Linux企业服务器，并通过自传播式 恶意软件载荷进行门罗币挖矿恶意活动。Sysrv-hello僵尸网络使用的是带有矿工和蠕虫（传播器）模块的多组件体系 结构，后来升级为使用单个二进制文件，能够将挖矿恶意软件自动传播到其他设 备。Sysrv-hello的传播器组件能够主动扫描互联网，寻找更易受攻击的系统，利 用其可远程执行恶意代码的漏洞，将受害设备添加到Monero采矿机器人大军中。s

30、ysrvhello是一种综合性僵尸网络，具有以下几个特点: 功能强大，集后门、木马、蠕虫等多种恶意软件为一体。 具有多种传播途径，包括通过JBoss远程命令执行、weblogic远程代码 执行 worldpress暴力破解、thinkphp远程代码执行、Redis远程代码执 行 Hadoop未授权访问漏洞 Laravel远程代码执行等漏洞传播。 跨平台僵尸网络，攻击目标包括Windows和Linux操作系统。Sysrv-hello僵尸网络的活动在2021年三月份激增之后，研究人员发现了被 其使用的以下六种漏洞： Mongo Express RCE (CVE-2019-10758) XML-RP

31、C (CVE-2017-11610) Saltstack RCE (CVE-2020-16846) Drupal Ajax RCE (CVE-2018-7600) ThinkPHP RCE (无 CVE) XXL-JOB Unauth RCE (无 CVE)GuardMinerGuardMiner是自2019年开始活跃的挖矿木马,可以针对Windows平台和Linux平台进行攻击传播。GuardMiner木马具有多种传播手法，包括： CCTV设备RCE漏洞 Redis未授权访问漏洞 Drupal 框架 CVE-2018-7600 漏洞 Hadoop未授权访问漏洞 Spring RCE 漏洞 C

32、VE-2018-1273 Thinkphp V5高危漏洞 WebLogic RCE 漏洞 CVE-2017-10271SQL Server 弱 口令底 Elasticsearch RCE 漏洞 CVE-2015-1427、CVE-2014-31202021年3月，研究人员检测到了 GuardMiner挖矿木马团伙的攻击活动，该 团伙新增利用Elasticsearch远程代码执行漏洞(CVE-2015-1427),针对云上主 机发起攻击，受害主机已过数万台。K挖矿木马的常见感染传播方式这里将介绍挖矿木马的常见感染传播方式，如钓鱼邮件传播 非法网页进行 传播 软件捆绑下载传播、僵尸网络下发及漏洞传

33、播等手段。1 .钓鱼邮件传播攻击者伪造邮件，通过邮件附件传播恶意软件，或者通过邮件中的恶意链接 诱导用户点击下载恶意软件，当用户翻开恶意软件时，将导致系统被植入病毒， 并执行脚本自动化横向渗透网络，部署挖矿程序进行作业获利。2 .通过非法网页进行传播攻击者通常会在色情网站和在线赌博等非法站点上内嵌网页挖矿脚本，由于 这类站点翻开后往往需要停留一段时间才出现界面，不会轻易引起用户的怀疑， 这也是黑客选择这些非法网站部署网页挖矿的原因之一，用户一旦进入此类网站, JS脚本就会自动执行，并占用大量的CPU资源以挖取门罗币，致使电脑出现 卡顿。3 .软件捆绑下载传播在一般情况下，激活工具、破解软件 游

34、戏外挂以及盗版游戏等来历不明的 下载站点是感染挖矿木马的温床。攻击者通过捆绑下载方式植入恶意挖矿程序， 当用户下载执行激活工具、破解软件 游戏外挂以及盗版游戏时，将执行恶意程 序，在后台进行挖矿恶意活动。这些站点通常有着很高的下载需求，大量用户通 过搜索引擎进入这些带毒网站，并且可能将其提供到各大技术论坛，形成二次传 播的情况，造成广泛的影响。4 .通过僵尸网络进行分发攻击者会选择组建一个规模庞大的挖矿僵尸网络进行恶意活动，并通过各种 方式入侵目标设备，例如网页挂马 MySQL数据库弱口令爆破等方法传播僵尸 程序，这些僵尸程序一般内置蠕虫模块，使受害机器成为新的攻击源，从而迅速 传播爆发，并通

35、过多个主机组成僵尸网络。攻击者可以在控制端中通过僵尸网络 下发指令到受害主机，执行分发挖矿木马等恶意操作。目前，这种构建僵尸网络 下发挖矿木马的方法已成为挖矿黑产团伙的主要手段。5 .通过漏洞传播通常，企业可能会提供对外的网站服务，但其服务器操作系统却存在仍未修 补的漏洞，给了攻击者可乘之机。漏洞利用一直是挖矿木马用作传播感染的重要 手段，其通过配备各种可利用的通用漏洞对目标网络资产进行扫描，如果设备未 及时修补漏洞，将很有可能导致入侵事件的发讣。在众多类型的漏洞当中，最受挖矿木马欢迎的是Web应用漏洞，因为其适 用性广，利用代码编写简单，可快速配备到各种攻击组件当中，例如最常见的 Weblo

36、gic反序列化漏洞和redis未授权访问漏洞。另外，一些技术能力较强的僵 尸网络那么会在其攻击模块中集成多个漏洞探测模块，例如永恒之蓝 weblogicx MySQL、ThinkPHPx redis、Confluence 等漏洞。以下表格是2021年常被挖矿木马利用的漏洞列表。表：2021年常被挖矿木马利用的漏洞列表漏洞类型漏洞编号CVE-2017-0143相关的恶意挖矿攻击家族MsraMiner, WannaMiner, CoinMiner v buleheroCVE-2017-0144EtemalBlue （永恒之蓝）系列漏洞 CVE-2017-0145CVE-2017-0146CVE-2

37、017-0148X msl7-0102 .通过非法网页进行传播263 .软件捆绑下载传播264 .通过僵尸网络进行分发 275 .通过漏洞传播276 .利用软件供应链感染传播 297 .通过浏览器插件传播298 . 容器镜像污染309 .利用移动存储介质传播30五、恶意挖矿趋势解析 311 .虚拟货币价格激增，通过各种手段提高挖掘效率312 .黑吃黑，黑产组织争夺挖矿资源313 .利用工业控制系统进行挖矿32六 防范建议33七、总结34关于 CNCERT34关于杭州安恒信息技术股份 34Weblogic web服务漏洞MinerGuardWebLogic Fusion中间件远程代码 执行漏洞C

38、VE-2019-2725buleheroWebLogic XML Decoder 反序列化 漏洞CVE-2017-10271RunMiner、MinerGuard v ibusWeblogic RCE 漏洞CVE-2020-14882LemonDuck、zOMiner、kworkerdsWeblogic任忌义件上传漏洞CVE-2018-2894ibusConfluence RCE 漏洞CVE-2021-26084kerberods zOMiner、iducker、h2miner、 kwroksminerx 8220Minerx mirai BillGatesConfluence未授权RCE漏洞

39、CVE-2019-3396H2MinerThinkPHP web服务漏洞bulehero v MinerGuard x ibusThinkPHP 5 漏洞CNVD-2018-24942buleHeroThinkPHP 5. X RCE 漏洞H2Miner GuardMinerPHPUnit RCE 漏洞CVE-2017-9841H2MinerElasticSearch RCE 漏洞CVE-2015-1427MinerGuardElasticSearch未授权访问漏洞CVE-2014-3120MinerGuard v CryptoSinkHadoop Yarn未授权访问漏洞systemdMine

40、rv 8220Miner MinerGuardDocker未授权访问漏洞等多个 web服务漏洞8220Minerx TeamTNTSpring RCE 漏洞CVE-2018-1273MinerGuardjava反序列化漏洞ibusJenkins RCE 漏洞CVE-2019-1003000ImposterMinerredis未授权访问漏洞ibus、MinerGuard H2MinerSSH免密登录漏洞SysupdataMinerSupervisord RCE 漏洞CVE-2017-11610H2MinerDrupal框架漏洞CVE-2018-7600MinerGuardStruts2 RCE

41、漏洞CVE-2017-5638BuleHeroRedis 4. x/5. x主从同步命令执行 漏洞CNVD-2019-21763H2MinerWindows打印机远程代码执行漏 洞 PrintNightmareCVE-2021-34527紫狐文件管理器插件中的文件上传漏 洞CVE-2020-25213H2minerAtlassian Jira未授权模板注入漏洞CVE-2019-11581WatchBogExim邮件服务器RCE漏洞CVE-2019-10149WatchBogApache Solr Deserialization RCE 漏洞CVE-2019-0192WatchBogWindow

42、s 内核漏洞 BlueKeepCVE-2019-0708WatchBogSaltStack RCE 漏洞CVE-2020-1165KCVE-2020-11652H2Miner.利用软件供应链感染传播供应链感染可在短时间内获得大量的计算机资源，而备受黑产青睐，例如近 日发Th的“恶意NPM软件包携带挖矿恶意软件”平安事件就证明了通过开源软 件包存储库进行软件供应链攻击的有效性，事实上在这之前就发Th过多起类似的 平安事件，例如2021年6月初研究人员就曾在PyPI软件包仓库中发现恶意挖矿 程序。6 .通过浏览器插件传播攻击者通过将恶意插件伪装成正常的Chrome浏览器插件，上传到插件商店 供用户

43、使用，而该插件实那么上被内置了恶意代码，当用户下载安装后，将执行挖 矿等恶意操作。例如之前就曾有一款超过10万人下载的浏览器插件被发现存在 恶意代码，插件名为Archive Poster,原本的功能是协助用户在社交平台汤不热 (Tumblr)上进行多账号协作，该恶意插件会劫持电脑资源去挖掘虚拟货币 Monero,背地里却在未经用户同意的情况下，利用Coinhive软件开始挖矿作业。谷歌浏览器Chrome具备丰富的插件功能，有来自世界各地开发者提供的丰 富的扩展程序或应用，极大地方便了用户的使用，但由于浏览器插件的平安性一 直没有引起重视，导致滥用浏览器插件进行恶意活动的平安事件仍在不断发Th。

44、7 .容器镜像污染随着云原Th容器的应用越来越流行，黑产团伙也将目光瞄向了这个领域。在 云容器当中，最为著名的是Docker Hub公共容器镜像仓库，黑产团伙并没有放 过这个机会，他们利用Docker Hub上传恶意挖矿镜像，污染容器镜像，当用户 下载执行镜像时，将导致其docker主机被感染，攻击者还会通过容器服务器的 漏洞传播蠕虫病毒，以尽可能地感染更多的docker主机，并执行挖矿程序进行 牟利。由于攻击者可以制造多个恶意镜像扩大污染源，导致实际上的感染和影响范 围比预想的还要广泛，例如专门针对云容器的TNTteam黑产挖矿团伙就经常使 用这种方法作为其感染手段。这种容器镜像污染的攻击方

45、式所造成的下载传播量 通常能达数十万，甚至数百万以上，给云原Th环境造成严重的污染。8 .利用移动存储介质传播在2015年就出现了通过USB设备和其他可移动媒体传播挖矿程序的攻击案 例，例如著名的Lemon Duck挖矿团伙就曾利用CVE-2017-8464快捷方式漏洞作 为感染传播的途径。通过将恶意的Windows*.Ink快捷方式文件和恶意DLL文件 一起植入文件夹中，当使用解析.Ink快捷方式文件翻开驱动器时，快捷方式将执 行恶意的DLL组件，从而触发CVE-2017-8464LNK远程执行代码漏洞，导致 可移动USB驱动器和网络驱动器被感染。在用户不知道移动介质已被感染的情况下，很可能

46、会将受感染的设备携带到 其他不联网的环境中，导致原本平安的环境被病毒渗透，从而扩大内部感染范围， 并影响工作环境的正常运作。五、恶意挖矿趋势解析1 .虚拟货币价格激增，通过各种手段提高挖掘效率攻击者会尝试使用各种技术以提高挖矿效率，例如研究人员发现的一个 Golang蠕虫挖矿木马就使用了一种新策略提升挖矿效率。这个挖矿木马通过特定型号的寄存器(MSR)驱动程序来禁用硬件预取器。 硬件预取器是一种新的技术，处理器会根据内核过去的访问行为来预取数据，处 理器(CPU)通过使用硬件预取器，将指令从主内存存储到二级缓存中。然而， 在多核处理器上，使用硬件预取会造成功能受损，并导致系统性能整体下降。 XMRig需要依赖机器的处理能力来挖掘Monero币，禁用MSR能够有效阻止系 统性能下降，从而提升挖矿效率。文中描述的这种挖矿方式虽然