《亚信安全2021年挖矿病毒专题报告》全景呈现“挖矿病毒”治理路径
近日,《亚信安全2021年挖矿病毒专题报告》正式发布(以下简称《报告》)。《报告》以2021年亚信安全威胁情报与服务运营部门所监测、分析和处置的挖矿病毒事件为基础,对各类挖矿病毒和攻击进行分析梳理与情况总结,并且深度探究未来可能会演化的方向,以此帮助更多用户,以更安全、更高效、更全面的行动做出安全规划,为挖矿病毒治理提供了参考路径。
2021 年挖矿病毒大事件全面回顾
2021全年,亚信安全共拦截挖矿病毒516,443次。《报告》基于此整体梳理了年度典型挖矿病毒及事件,总结其攻击特点及目的发现,有些挖矿病毒为获得利益最大化,攻击企业云服务器;有些挖矿病毒则与僵尸网络合作,快速抢占市场;另外还有些挖矿病毒则在自身技术上有所突破,利用多种漏洞攻击方法,不仅如此,挖矿病毒也在走创新路线,伪造CPU使用率,利用Linux内核Rootkit进行隐秘挖矿等。
图1 2021年挖矿病毒攻击事件回顾
虚拟货币价格上涨将挖矿行为推向高点
2021年,新冠病毒肆虐全球, 经济 由实向虚的转向速度空前之快,自带“避险”光环的虚拟货币在过去的一年中经历了数次大幅增长,其中我们熟知的比特币(BTC)上涨了90%以上,以太坊(ETH)则飙升了540%以上。由于虚拟货币的暴涨,受利益驱使,黑客也瞄准了虚拟货币市场,其利用挖矿脚本来实现流量变现,使得挖矿病毒成为不法分子利用最为频繁的攻击方式之一。
图2 2019年初以来的比特币走势图
挖矿病毒泛滥影响“双碳”目标达成 全面整治初见成效
挖矿病毒不仅给用户带来经济损失,还会带来巨大能源消耗,根据行业研究发现,2021年,我国比特币挖矿年耗电量大约是79.1太瓦时,占全国总耗电量0.95%,其产生的碳排放约0.348亿公吨。若没有政策干预,预计在2024年,我国比特币挖矿年能耗预计将达到峰值296.59太瓦时,产生1.305亿公吨碳排放,约占我国发电的碳排放量的5.41%。
为推动节能减排,在2060年实现碳达峰、碳中和目标,2021年9月,国家发展改革委等10部门联合发布通知,要求全面整治虚拟货币"挖矿"活动。而通过亚信安全从自2016到2021年的数据追踪发现,随着2021年国内挖矿病毒数量有所下降的趋势,已证实我国在2021年全面整治虚拟货币"挖矿"行动有了初步成效。
全面剖析挖矿攻击杀伤链 XDR可建立有效拦截点
为助力国家各单位对虚拟货币“挖矿”活动进行清理整治,亚信安全从本年度挖矿事件入手,通过分析大量的挖矿病毒样本,总结出挖矿病毒杀伤链及技术新趋势,并提供挖矿病毒安全建议。
图3 挖矿病毒杀伤链和亚信安全设立的14个关键监测点
挖矿病毒攻击杀伤链包括侦察跟踪、武器构建、横向渗透、荷载投递、安装植入、远程控制和执行挖矿七个步骤。攻击者首先搜寻目标的弱点,然后使用漏洞和后门制作可以发送的武器载体,将武器包投递到目标机器,然后在受害者的系统上运行利用代码,并在目标位置安装恶意软件,为攻击者建立可远程控制目标系统的路径,最后释放挖矿程序,执行挖矿,攻击者远程完成其预期目标。
针对上述攻击杀伤链,亚信安全设立了14个关键监测点,通过信桅深度威胁发现设备(TDA)、信舱云主机安全(DeepSecurity)、信端病毒防护(OfficeScan)、信端终端检测与响应系统(EDR)、 网络检测与响应(TDA+Spiderflow)、信舷防毒墙(AISEdge)、调查分析威胁狩猎服务等,多维度发现、检测、响应、查杀、恢复和预防挖矿病毒。
报告还包含以下内容的详细分析和建议:
• 漏洞武器和爆破工具是挖矿团伙最擅长使用的入侵武器,而且他们使用新漏洞武器的速度越来越快,这就对防御和安全响应能力提出了更高的要求。
• 因门罗币的匿名性极好,因此受到挖矿团伙青睐,门罗币已经成为挖矿病毒首选货币,“无文件”、“隐写术”等高级逃逸技术盛行,安全对抗持续升级。
• 近年来国内云产业基础设施建设快速发展,政府和企业积极上云,拥有庞大数量工业级硬件的企业云和数据中心将成为挖矿病毒重点攻击目标。
• 挖矿病毒持续挖掘利益最大化“矿机”,通过引入僵尸网络模块并与僵尸网络合作,依靠僵尸网络庞大的感染基数迅速扩张,占领市场,同时提高知名度。
• 挖矿病毒已经获得全面进化,很难通过单一安全产品实现有效的防护,需要结合病毒特性,进行有针对性的多重检测防护。