挖礦病毒持續泛濫 制造業成重災區 亞信安全發布2019 年挖礦病毒半年報告
責編:gltian |2019-11-07 10:11:31近期湖南一起利用挖礦病毒謀取暴利的案件被破獲,涉案金額過億元。犯罪分子開發的挖礦病毒,通過漏洞攻擊、買通內部人員等方式植入到網吧電腦中,以獲取巨額利益。這樣的“卡頓”在近年來大肆泛濫,不光影響著個人用戶,更對各企業及行業用戶產生不可估量的嚴重后果。
盡管挖礦病毒在2018年隨著數字貨幣的大跌有所收斂,但是隨著2019 年上半年比特幣價格上漲,挖礦病毒又有泛濫的跡象。對此,亞信安全發布了《2019 年挖礦病毒半年報告》,其中指出,挖礦病毒的傳播數量與Wannamine4.0等“明星”病毒的流行關系很大,黑客更傾向于攻擊制造業、能源、快速消費品等網絡安全相對薄弱的企事業單位。
挖礦病毒是否會爆發,這些“明星”說了算
從亞信安全披露的挖礦病毒半年整體態勢來看,挖礦病毒的攔截次數與流行的挖礦病毒是否得到遏制息息相關:自上半年開始,“驅動人生”病毒以及 Wannamine4.0 挖礦病毒爆發,挖礦病毒的攔截次數快速上升到超過2000次,而隨著這兩種病毒得到有效遏制,挖礦病毒的攔截次數也銳減到之前的1/3。
【圖】2019 年上半年挖礦病毒攔截數量
那么,這兩款病毒究竟有什么“魔力”呢。首先 “驅動人生”病毒,從 2 月份開始不斷更新,持續與殺毒軟件進行對抗。最新發現攻擊模塊不再由此前植入的母體 PE 文件進行釋放,而是由 PowerShell 后門進行下載,并同步下載PowerShell 腳本攻擊模塊,導致已感染的機器對其他機器發起攻擊;而WannaMine 挖礦病毒的傳播機制與 WannaCry 勒索病毒一致,其利用“永恒之藍”漏洞進行傳播,在局域網內通過 SMB 快速橫向擴散。該病毒模塊多,感染面廣,具備免殺功能,查殺難度高。
此外,在挖礦病毒活躍家族 TOP10 中,WORM_COINMINER 居首位,其攔截次數占到總攔截次數的 43%,其次是 COINMINER_COINHIVE 和 COINMINER_MALXMR 病毒,分別占到總攔截次數的12%和9%。
【圖】2019年挖礦病毒家族半年活躍TOP 10
據報告分析,挖礦病毒傳播量之所以和少數幾款病毒高度相關,是因為挖礦病毒伴隨著極高的利潤,不法分子往往會在地下黑市選擇效率最高、免殺功能最好的挖礦病毒。同時,挖礦病毒帶來的高利潤也讓不法分子更有動力對于這些病毒進行持續更新,并采用持續性攻擊、收買內部人員等方式進行傳播,防范難度很高。
中國成為挖礦病毒第二多的國家,制造業深受其害
在挖礦病毒的全球分布上,印度 63%位居榜首,其次是中國和泰國。從中我們可以發現一個很顯著的特點:挖礦病毒青睞于人口眾多的發展中國家與地區,其背后一個重要原因在于,這些國家與地區有較多的PC保有量,而且網絡安全防護意識與能力普遍較差,因此成為不法分子的重點攻擊對象。
這一特點同樣體現于挖礦病毒的行業分布上,不法分子更傾向于攻擊制造業、能源、快速消費品等網絡安全相對薄弱的企事業單位。值得注意的是,制造業占據所有行業的 47%。對于制造業來說,流竄的挖礦病毒不僅可能導致設備運行緩慢,而且還可能影響重要業務與數據的安全性。
【圖】2019年挖礦病毒半年行業分布 TOP 10
漏洞攻擊,最常見傳播手段
2019 年,挖礦病毒采用的傳播手段和其它病毒類似,其最常使用的攻擊手段是漏洞攻擊及弱口令暴力破解攻擊。其中,漏洞利用攻擊更是成為挖礦病毒最青睞的傳播手段,利用的漏洞包括“永恒之藍”等 Windows 系統漏洞,以及各類服務器組件漏洞,這種攻擊特點為速度快,針對存在漏洞的機器攻擊成功率高。
弱口令爆破也是挖礦病毒很常見的一個傳播方式,不法分子會針對特定端口,利用大量的“弱口令密碼表”嘗試爆破使用弱口令的系統,繼而控制電腦執行挖礦。此外,無文件攻擊這種新型、高風險傳播方式也嶄露頭角,其利用 PowerShell 申請的內存空間中直接完成惡意代碼的下載、解密和執行,全程無文件落地,所以更容易逃脫安全軟件的偵測。
對于挖礦病毒的防范,報告也給出了明確的建議,用戶不要下載來歷不明的軟件,而是盡量到正規網站下載應用程序,以防被挖礦病毒滲透。此外,用戶最好采用高強度的密碼、阻止向 445 端口進行連接、關閉不必要的文件共享,并打全系統和應用程序補丁程序。目前,亞信安全服務器深度安全防護系統Deep Security、深度威脅發現設備 TDA與深度威脅安全網關Deep Edge等產品已經可以有效封堵流行的挖礦病毒。
除此之外,亞信安全還發布了挖礦病毒發展趨勢預測:
- 隨著數字貨幣價格的上漲,可以預見將有更多的挖礦病毒活躍;
- 由于挖礦病毒隱蔽性高、成本低、收入高等特點,更多的黑客會參與到挖礦病毒的制作和傳播;
- 黑客團體在戰術上將有所改變,其將更多地把挖礦病毒作為一種商業模式來運作,會持續運行和改進挖礦病毒技術;
- 大型已知挖礦病毒家族仍會持續出現變種,而新的挖礦病毒也會不斷出現。
##
關于亞信安全
亞信安全是中國網絡安全行業領跑者,以安全數字世界為愿景,旨在護航產業互聯網。亞信安全是云安全、身份安全、終端安全、態勢感知、高級威脅治理、威脅情報技術領導者,同時是5G、云計算、物聯網、大數據、工控、移動六大安全場景引領者。在國內擁有2個獨立研發中心,2,000人安全專業團隊。欲了解更多,請訪問: http://www.asiainfo-sec.com
更多媒體垂詢,敬請聯絡:
| 亞信安全劉婷婷
電話:010- 58256889 電子郵件: liutt5@aisainfo-sec.com |
謀信傳媒雷遠方
電話:010-67588241 |