企业动态

    有人的地方就有江湖。武侠江湖中有侠客、剑客；安全江湖内有黑客、红客、极客……不会代码、没有神技的小编靠着娴熟的叨法，自封了一个名号——

    第8叨

    武侠世界中的绝顶高手们，最害怕什么？

    ——他们身怀绝技，不怕光明正大的比试，就怕暗地里用毒伤人。正所谓“明枪易躲，暗箭难防。”

    《天龙八部》顶尖高手萧峰，被阿紫下毒后，被辽国关押。《射雕英雄传》的四绝之北丐洪七公，先是中毒后打不过梅超风，后是被欧阳锋暗算中毒差点没命。《绝代双骄》中天下无敌的燕南天，身中剧毒成了活死人。《风云》中的战力天花板“无名”，总是因中毒惨败。就连《雪山飞狐》中的胡一刀也是死于暗地下毒。

    明处的敌人不可怕，暗处的敌人才最可怕。暗地下毒，是江湖最唾弃的行为。名门正派多数耻于用毒，相反，邪魔歪道，往往喜欢使毒、用暗器，如星宿派、白驼山、五毒教等等。

    在网络安全江湖，有一个人人喊打的“顽瘴痼疾”，就是挖矿病毒。这个流派的家族成员非常庞杂，看似没有像勒索病毒那样经常做一些“惊世骇俗”的攻击事件，但却分布广泛，擅长潜伏，消耗宝贵的算力和电力资源，危害很大。

    危害有多大？用数字来吧，一个比特币=三口之家一年的电费！每年国内消耗在比特币“挖矿”上的电力就接近1000亿度，超过深圳全市一年用电量！

    安全叨客经过对挖矿病毒这个神秘家族，长期的摸排研究和调查之后，根据其武功招数和套路，将其分为了四大门派。

    门派一：隔空传毒派

    代表：WannaMiner挖矿家族、PowerGhost挖矿家族WannaMiner挖矿家族其最早活跃于2017年9月，借助PowerShell和WMI等脚本工具实现无文件攻击。而PowerGhost恶意软件是一个powershell脚本，主要在大型企业内网进行传播，并且挖矿采用无文件的方式进行，因此杀软很难查杀到挖矿程序。

    这两个挖矿家族所用的武功招数，和《天龙八部》西夏一品堂使用的“悲酥清风”，非常类似。在杏子林大战中，丐帮群侠全部中了“悲酥清风”，倒无一幸免，要是没有段誉和阿朱相救，险些全军覆没。

    悲酥清风和其他武侠里面的毒药大不相同，不用下在饭菜或者涂抹到兵器上。而是直接挥发扩散在空气里，加上无色无味的特点，若非提前预防，根本难以察觉。类似的还有《倚天屠龙记》中的十香软筋散。

    WannaMiner挖矿家族和PowerGhost挖矿家族均擅长使用无文件攻击，没有恶意文件载体，给查杀带来极大的难度。

    图片来源：电视剧《倚天屠龙记》

    克敌之道：和隔空投毒类似，无文件攻击的核心在于可以直接将攻击代码写入到目标的内存中，而不用在磁盘上写入恶意文件。但无论如何隔空传送，毒素“走五官通七窍”，总会留下蛛丝马迹。对此，我们可以在服务器上部署椒图服务器安全管理系统，在办公电脑上部署的天擎终端安全管理系统。这二者均采用了内存指令集的检测技术，可深入内存检测恶意代码的行为，从而摆脱了传统反病毒引擎对文件和漏洞特征的依赖，对无文件攻击有非常好的防护效果。

    门派二：隐遁藏形派

    代表：SystemdMiner挖矿家族SystemdMiner在2019年被首次发现，起初因其组件以systemd-命名而得名，但后来它们渐渐开弃用，特点是本身的C2服务器设置在暗网中，通过暗网代理服务进行通信。

    隐遁藏形是东瀛忍术重要武功。忍术是在日本一种用来进行间谍活动的技术，忍术的训练包括伪装、逃跑、隐藏、格斗、地理、医学和爆破等。在电影和文艺作品中，忍者被描述成具有神秘力量的隐形战士。在各种武侠剧中，中原武林人士面对善于隐身、神出鬼没的日本忍者，往往屡遭暗算，损失惨重。

    SystemdMiner挖矿家族，深谙忍术的精髓，善隐遁藏形，屡屡逃出安全人员的抓获。

    克敌之道：SystemdMiner如同一个隐藏在“暗网”中的杀手，你不知道从哪就射出来一发毒箭。对付这样的敌人，你就得多张一双“眼睛”。奇安信天眼就如同网络空间中的“眼睛”，具备极佳的视野，并且可以把视野内所有网络行为都以日志的形式记录下来。它包括传感器、文件威胁鉴定器（即沙箱系统）、分析平台三大产品设备组件，再搭配邮件威胁检测系统、DNS威胁检测系统等，可以准确检测挖矿木马的文件写入、非法外连、横向移动等等所有动向。无论攻击者从哪里进来、以什么样的方式进来、进来之后都干了点什么，天眼都能看得清清楚楚。

    门派：控人心智派

    成员：MyKings挖矿家族、NSAGluptebaMiner挖矿家族、H2Miner挖矿团伙MyKings是一个由多个子僵尸网络构成的多重僵尸网络，2017年4月底以来，该僵尸网络一直积极地扫描互联网上1433及其他多个端口，传播挖矿程序、僵尸程序在内的多种恶意代码。今年10月14日，研究报告披露，MyKings运营者在比特币、以太坊和狗狗币等20多种加密货币上攫取了至少2400万美元NSAGluptebaMiner挖矿家族，利用永恒之蓝漏洞传播cloudnet.exe木马，构建僵尸网络，同时还会安装驱动程序对木马组件进行保护。H2Miner挖矿团伙是一个linux下的挖矿僵尸网络，并且利用多种漏洞进行传播。

    僵尸网络这个名字，是为了更形象地让人们认识到这类危害的特点：众多的计算机在不知不觉中如同中国古老传说中的僵尸群一样被人驱赶和指挥着，成为被人利用的一种工具。事实上，苗疆蛊术、南洋降头术也有类似的操控人心智的方法，一旦中招，后果不可设想。

    克敌之道：挖矿僵尸网络的特点在于数量繁多、分布广泛，很难一次性将所有“肉鸡（指被僵尸网络控制的主机）”通通消灭。而且一旦被攻击者控制了心智，成为“僵尸大军”中的一员，那计算机很可能不仅仅要当免费的“矿工”，还有可能是垃圾邮件“快递员”或者发起DDoS攻击的“街溜子”。但是，奇安信发布的补天挖矿态势监测响应平台（CMSA）能够从发现、评估、清除三个阶段，帮助客户对“挖矿”行为进行全面、闭环式的监测分析和研判处置。在发现威胁阶段，基于补天CMSA平台提供的威胁情报信息，有针对性对区域内组织、资产的“挖矿”行为进行评估，掌握行为态势。在协助评估阶段，依托威胁情报信息，协助对区域、组织、资产的挖矿事件提供事件简介、终端数量、时间分析、趋势分析、所属企业/单位、地理位置等报告。在助力清除阶段，可以配合下发监管处置，持续跟踪事件结果，接入应急响应处理，从而完成事件闭环。

    门派：蛮力破门派

    代表：PhotoMiner挖矿家族、NSAFtpMiner挖矿家族这两个门派的擅长招数是暴力破解，PhotoMiner是一个活跃已久的挖矿病毒家族，主要使用暴破FTP和SMB的弱口令进行传播。NSAFtpMiner挖矿家族是2018年9月发现的一个挖矿木马家族，主要利用密码字典暴破1433端口登录以及永恒之蓝漏洞ms17-010攻击。

    图片来源：搜狐号@二次元西柚酱

    暴力破解，非常吻合唐门暗器的“暴雨梨花针”。“暴雨梨花针”被称为暗器之王，可以连续发射二十七枚梨花针,威力巨大，实现饱和式攻击，非常霸道。PhotoMiner、NSAFtpMiner挖矿家族，就是实现暴力破解达到目标。

    克敌之道：穷则迂回穿插，富则火力覆盖。蛮力破门派并不喜欢使用“巧劲”，而是靠写满各类口令的密码词典，借助算力穷尽猜想，直到破解出目标端口、账户的登录口令。对付这种以量取胜的攻击者，除了使用更加复杂的口令以外，最好的方法就是拥有比他更为霸道的力量。在这个方面，奇安信智慧防火墙能够充当网络边界上的一道“防守大闸”，它的秘诀在于采用了第四代SecOS安全操作系统，可在大流量、高并发的场景下依旧保持着高性能，将暴露在互联网的高危端口全部保护在自己的身后，任你多少枚暴雨梨花针也难以穿透我的盾牌。

    总而言之言而总之，挖矿病毒特征变化非常快，或许还有许多尚未发现的挖矿家族，并不在上述四大门派之列，因此很难通过一个招数实现有效的防护。为了帮助大家提前洞悉各大挖矿门派的动向，奇安信威胁情报中心推出了“明文挖矿专项情报”计划，每日免费提供1W+条热点挖矿IOC明文情报数据，助力实现对挖矿木马的精准检测。

    奇安信近期发布的《企业针对“挖矿”行为开展专项整治的建议与方案》，囊括了上述所有克敌制胜的招数，从“挖矿”病毒的监测、分析、处置、溯源的闭环处置等进行规划和设计，贯穿“边界-网络-主机服务器-终端”，形成了非常有针对性的专项整治工具。