谁动了我的金矿:深扒黑产挖矿进阶之路
|
副标题[/!--empirenews.page--]
雷锋网(公众号:雷锋网)编者按:随着虚拟货币的兴起和增值,越来越多的人加入“矿工”行列,搞起了挖矿事业。 1 月 23 日,雷锋网曾就挖矿木马进行盘点,发文吃鸡、蹭网、看片片,揭秘 8 大奇葩挖矿木马敛财之道。有利益的地方就有黑产的存在,在代币这块大蛋糕上,黑产从业者是如何操作的,手法有哪些不同?近日,宅客频道对某安全公司发出特别约稿邀请,该公司网络安全研究人员就挖矿黑产进行了深入分析,为我们展示了黑产挖矿的进阶之路。 入侵服务器、网站首先介绍一下黑客们入侵服务器、网站进行挖矿,方式如:弱口令爆破服务器、web渗透网站进行挖矿。 现在,黑客们的思路已经不执着于在服务端挖矿的方式了,web 也成为了他们的攻击目标,黑客通过入侵网站在其web页面嵌入js代码,当你访问这个网页的时候,你就为黑客们干活了。 如果哪一天你的 CPU 突然跑满了,你的电脑变得卡顿了,指不定就是你成了别人的矿工。 下图是访问挖门罗币的网站造成 CPU 急剧上升的情况。
通过fofa查询语法:body="coinhive.com/lib/captcha.min.js",可以发现全网有挖矿脚本的网站。 当然,现在的防护软件对挖矿的脚本进行了查杀,但是依旧有不少经过 js 变形的挖矿脚本未能识别出来,进一步收集到其特征即可发现其他受害的网站。 新蛋糕的沦陷-- IOT 设备挖矿篇随着 BTC 的暴涨, 整个匿名数字货币水涨船高,其匿名,安全,无法追踪的特性, 给网络黑产滋生带来了春天, 从今年 5 月的 SambaCry 漏洞后,大量野外利用攻击 IoT 设备进行 CPU 算力货币挖掘 (XMR 门罗币 ),IoT 设备的数量优势,以及漏洞修复推送不及时等原因,让其成为挖矿黑产里的新贵。 2017 年是中国物联网安全的元年, IoT 的安全问题频繁的被披露。 3 月份大华摄像头漏洞, 4 月份的思科路由器漏洞, 6 月份海康摄像头漏洞,再到TP-Link路由器命令注入漏洞、D-link dir系列路由器漏洞,直至 12 月的华为路由器 0day 漏洞造成的 Satori 僵尸网络。
从Mirai到 IoT_reaper 再到 IoT 挖矿,黑客对于 IoT的利用趋于成熟。而生产厂商对于安全的概念依旧模糊,抛开 IoT 设备碎片化、固件升级麻烦的问题,厂商的安全响应也是几近于无。 黑客只需要很简单的几个步骤就能控制一台 IoT 设备,比如:
一旦黑客控制了你的路由器就可以控制了你的出口流量,那么只需要重定向或者污染你的流量, 让你访问包含类似门罗币挖矿脚本的页面,即可让你成为矿工。 另一种是直接控制路由器系统,你可以用qemu交叉编译你的挖矿脚本至于路由器中挖矿。
虽然路由器的算力不如一些服务器和矿机,但是基数较大,一旦控制的数量一多也是非常可怕的。 在fofa中我们可以看到,D-link850 系列固件的路由器有 102242 条匹配结果。
进阶的黑客--docker 挖矿篇大数据、云、人工智能……互联网新时代的产物,让人们的生活变得不可思议。 然而安全技术的发展肯定在其他互联网技术之后,先有了某项产品,再有这款产品的漏洞。 docker 的发明给让大数据的发展如虎添翼,于是容器集群管理平台也应运而生。 (docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。) 当前主流的容器集群管理技术,包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。 但是由于开发兄弟们的安全意识不够,错误的配置导致了很多未授权访问漏洞的产生。 利用fofa给出Mesos的查询规则,body="ng-app="mesos""||body="/static/css/mesos.css"
可以看到全网有 471 条记录,其中存在未授权访问的约20%。一个容器集群平台控制的容器数量庞大,用来挖矿那是再好不过了~:) 于是对三种主流的容器进行验证并完成poc如下:
(编辑:衡阳站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
