近日,《亞信安全2021年挖礦病毒專題報告》正式發布(以下簡稱《報告》)。《報告》以2021年亞信安全威脅情報與服務運營部門所監測、分析和處置的挖礦病毒事件為基礎,對各類挖礦病毒和攻擊進行分析梳理與情況總結,并且深度探究未來可能會演化的方向,以此幫助更多用戶,以更安全、更高效、更全面的行動做出安全規劃,為挖礦病毒治理提供了參考路徑。
2021 年挖礦病毒大事件全面回顧
2021全年,亞信安全共攔截挖礦病毒516,443次。《報告》基于此整體梳理了年度典型挖礦病毒及事件,總結其攻擊特點及目的發現,有些挖礦病毒為獲得利益最大化,攻擊企業云服務器;有些挖礦病毒則與僵尸網絡合作,快速搶占市場;另外還有些挖礦病毒則在自身技術上有所突破,利用多種漏洞攻擊方法,不僅如此,挖礦病毒也在走創新路線,偽造CPU使用率,利用Linux內核Rootkit進行隱秘挖礦等。
圖1 2021年挖礦病毒攻擊事件回顧
虛擬貨幣價格上漲將挖礦行為推向高點
2021年,新冠病毒肆虐全球,經濟由實向虛的轉向速度空前之快,自帶“避險”光環的虛擬貨幣在過去的一年中經歷了數次大幅增長,其中我們熟知的比特幣(BTC)上漲了90%以上,以太坊(ETH)則飆升了540%以上。由于虛擬貨幣的暴漲,受利益驅使,黑客也瞄準了虛擬貨幣市場,其利用挖礦腳本來實現流量變現,使得挖礦病毒成為不法分子利用最為頻繁的攻擊方式之一。
圖2 2019年初以來的比特幣走勢圖
挖礦病毒泛濫影響“雙碳”目標達成 全面整治初見成效
挖礦病毒不僅給用戶帶來經濟損失,還會帶來巨大能源消耗,根據行業研究發現,2021年,我國比特幣挖礦年耗電量大約是79.1太瓦時,占全國總耗電量0.95%,其產生的碳排放約0.348億公噸。若沒有政策干預,預計在2024年,我國比特幣挖礦年能耗預計將達到峰值296.59太瓦時,產生1.305億公噸碳排放,約占我國發電的碳排放量的5.41%。
為推動節能減排,在2060年實現碳達峰、碳中和目標,2021年9月,國家發展改革委等10部門聯合發布通知,要求全面整治虛擬貨幣"挖礦"活動。而通過亞信安全從自2016到2021年的數據追蹤發現,隨著2021年國內挖礦病毒數量有所下降的趨勢,已證實我國在2021年全面整治虛擬貨幣"挖礦"行動有了初步成效。
全面剖析挖礦攻擊殺傷鏈 XDR可建立有效攔截點
為助力國家各單位對虛擬貨幣“挖礦”活動進行清理整治,亞信安全從本年度挖礦事件入手,通過分析大量的挖礦病毒樣本,總結出挖礦病毒殺傷鏈及技術新趨勢,并提供挖礦病毒安全建議。
圖3 挖礦病毒殺傷鏈和亞信安全設立的14個關鍵監測點
挖礦病毒攻擊殺傷鏈包括偵察跟蹤、武器構建、橫向滲透、荷載投遞、安裝植入、遠程控制和執行挖礦七個步驟。攻擊者首先搜尋目標的弱點,然后使用漏洞和后門制作可以發送的武器載體,將武器包投遞到目標機器,然后在受害者的系統上運行利用代碼,并在目標位置安裝惡意軟件,為攻擊者建立可遠程控制目標系統的路徑,最后釋放挖礦程序,執行挖礦,攻擊者遠程完成其預期目標。
針對上述攻擊殺傷鏈,亞信安全設立了14個關鍵監測點,通過信桅深度威脅發現設備(TDA)、信艙云主機安全(DeepSecurity)、信端病毒防護(O?ceScan)、信端終端檢測與響應系統(EDR)、 網絡檢測與響應(TDA+Spiderflow)、信舷防毒墻(AISEdge)、調查分析威脅狩獵服務等,多維度發現、檢測、響應、查殺、恢復和預防挖礦病毒。
報告還包含以下內容的詳細分析和建議:
• 漏洞武器和爆破工具是挖礦團伙最擅長使用的入侵武器,而且他們使用新漏洞武器的速度越來越快,這就對防御和安全響應能力提出了更高的要求。
• 因門羅幣的匿名性極好,因此受到挖礦團伙青睞,門羅幣已經成為挖礦病毒首選貨幣,“無文件”、“隱寫術”等高級逃逸技術盛行,安全對抗持續升級。
• 近年來國內云產業基礎設施建設快速發展,政府和企業積極上云,擁有龐大數量工業級硬件的企業云和數據中心將成為挖礦病毒重點攻擊目標。
• 挖礦病毒持續挖掘利益最大化“礦機”,通過引入僵尸網絡模塊并與僵尸網絡合作,依靠僵尸網絡龐大的感染基數迅速擴張,占領市場,同時提高知名度。
• 挖礦病毒已經獲得全面進化,很難通過單一安全產品實現有效的防護,需要結合病毒特性,進行有針對性的多重檢測防護。
