2018上半年,各種關于區(qū)塊鏈的行業(yè)資訊、投融資創(chuàng)業(yè)、技術和應用探索等集中爆發(fā),成為創(chuàng)業(yè)與資本共同追逐的風口。然而,伴隨著區(qū)塊鏈技術的不斷發(fā)展,區(qū)塊鏈領域本身的安全問題逐漸凸顯,與之相關的問題不斷顯現(xiàn)。
區(qū)塊鏈安全事件頻發(fā),涉案案值過億屢見不鮮;
盜竊、勒索病毒、挖礦木馬發(fā)展成為數(shù)字加密貨幣三大安全威脅;
全球范圍內(nèi)因區(qū)塊鏈安全事件損失的金額仍在攀升……
8 月 2 日,騰訊安全聯(lián)合知道創(chuàng)宇發(fā)布《2018上半年區(qū)塊鏈安全報告》,結合知道創(chuàng)宇、騰訊安全聯(lián)合實驗室、騰訊云、騰訊電腦管家等提供的大數(shù)據(jù),揭秘區(qū)塊鏈安全三大根源性問題,并針對如何防御區(qū)塊鏈安全風險,建立網(wǎng)絡安全生態(tài)提出思路。
區(qū)塊鏈安全三大根源問題
基于區(qū)塊鏈加密數(shù)字貨幣引發(fā)的安全問題來源于區(qū)塊鏈自身機制安全、生態(tài)安全和使用者安全三個方面。
理論上存在的 51% 攻擊已成現(xiàn)實,同時智能合約安全事件、交易延展性攻擊、垃圾交易攻擊等愈加嚴重;交易所、礦池、網(wǎng)站面臨的被盜、被挖礦等常規(guī)安全風險;個人管理的賬號和錢包被盜問題等,都亟待解決。
區(qū)塊鏈數(shù)字貨幣“熱”背后的三大網(wǎng)絡安全威脅
①數(shù)字貨幣勒索事件頻發(fā),基礎設施成勒索病毒攻擊重點目標
勒索病毒是 2018 年上半年危害互聯(lián)網(wǎng)最嚴重的病毒之一,勒索病毒加密受害者電腦系統(tǒng),并要求受害者向某些指定的比特幣錢包轉帳,其危害范圍日益擴大,影響到事關國計民生的各個行業(yè)。
②挖礦木馬“異軍突起”,成幣圈價值“風向標”
由于挖礦病毒的控制者可以直接通過出售挖到的數(shù)字虛擬貨幣牟利,挖礦病毒的影響力空前高漲,成為 2018 年傳播最廣的網(wǎng)絡病毒,且挖礦熱度往往與幣種價格成正比。
值得注意的是,傳統(tǒng)的挖礦方式,如比特幣一般采用顯卡GPU挖礦,黑客難以利用,更多的場景為勒索加密;而自從采用 CryptoNight 算法的如門羅幣等新幣種的出現(xiàn),挖礦方式有所變化,不再依賴于GPU挖礦,CPU挖礦也成為了可能,于是黑客在入侵了個人 PC 和云主機之后更多會選擇消耗機器 CPU 資源挖礦來直接獲得利益。
根據(jù)騰訊安全云鼎實驗室統(tǒng)計,存在通用安全漏洞如永恒之藍的機器成為主要的入侵目標,黑客通常采用批量掃描通用安全問題并入侵植入挖礦程序的方式進行惡意挖礦。一些傳統(tǒng)企業(yè)、政府機構等行業(yè)的機器被入侵挖礦現(xiàn)象尤為顯著,主要原因是這些行業(yè)的云主機由于部分維護人員缺乏安全意識,容易存在漏洞,甚至長期不登錄云主機,更是變相給黑客提供了長期礦機,這些存在安全問題的云主機也是云上挖礦等惡意行為肆意繁衍的溫床。
③數(shù)字劫匪“鋌而走險”攻擊交易所,半年獲利約 7 億美元
盜竊行為也同樣可對數(shù)字加密貨幣持有者造成大量損失,目前盜取數(shù)字加密貨幣大致有入侵交易所、入侵個人用戶、“雙花攻擊”、漏洞攻擊這 4 種,數(shù)字加密貨幣交易所被攻擊僅 2018 年上半年就損失了約 7 億美元。
以下為報告原文目錄及全文
原文地址:https://slab.qq.com/news/authority/1754.html
目錄
序言
一、區(qū)塊鏈安全事件頻發(fā),案值過億屢見不鮮
1.數(shù)字加密貨幣撐起6000億美元的市值
2.區(qū)塊鏈安全事件爆發(fā)率逐年增加,案值增大
二、區(qū)塊鏈安全威脅分類
1.引發(fā)區(qū)塊鏈數(shù)字加密貨幣三大安全問題
2.區(qū)塊鏈數(shù)字加密貨幣安全事件詳解
2.1因比特幣自身機制而出現(xiàn)的安全事件
2.2因區(qū)塊鏈生態(tài)系統(tǒng)原因?qū)е碌陌踩录?/p>
2.3區(qū)塊鏈使用者面臨的風險
三、區(qū)塊鏈數(shù)字貨幣“熱”背后的三大網(wǎng)絡安全威脅
1.數(shù)字貨幣勒索事件頻發(fā),基礎設施成勒索病毒攻擊重點目標
1.1上半年勒索病毒攻擊特征與三大勒索病毒家族
1.2下半年勒索病毒的傳播趨勢
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
2.1上半年挖礦木馬樣本分析與傳播特征
2.2下半年挖礦木馬的傳播趨勢
3.數(shù)字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元
3.1數(shù)字加密貨幣交易平臺被攻擊
3.2個人賬號遭入侵
3.3“雙花攻擊”
3.4漏洞攻擊
四、安全建議
序言
2018年,是公認的區(qū)塊鏈大年。與區(qū)塊鏈有關的討論不僅遍存在于中關村的創(chuàng)業(yè)咖啡,更是存在于街頭巷尾、地鐵公交、微博微信,幾乎無處不在。然而,伴隨著區(qū)塊鏈技術的不斷發(fā)展,區(qū)塊鏈領域本身的安全問題逐漸凸顯,與區(qū)塊鏈相關的詐騙、傳銷等社會化安全問題日益突出。
隨著區(qū)塊鏈的經(jīng)濟價值不斷升高,促使不法分子利用各種攻擊手段獲取更多敏感數(shù)據(jù),“盜竊”、“勒索”、“挖礦”等,借著區(qū)塊鏈概念和技術,使區(qū)塊鏈安全形勢變得更加復雜。據(jù)網(wǎng)絡安全公司Carbon Black的調(diào)查數(shù)據(jù)顯示,2018年上半年,有價值約11億美元的數(shù)字加密貨幣被盜,且在全球范圍內(nèi)因區(qū)塊鏈安全事件損失金額還在不斷攀升。
為了護航區(qū)塊鏈產(chǎn)業(yè)健康發(fā)展,6月21日“中國區(qū)塊鏈安全高峰論壇”上,中國技術市場協(xié)會、騰訊安全、知道創(chuàng)宇、中國區(qū)塊鏈應用研究中心等政府指導單位、網(wǎng)絡安全企業(yè)、區(qū)塊鏈相關機構及媒體等二十余家機構、單位聯(lián)合發(fā)起“中國區(qū)塊鏈安全聯(lián)盟”,聯(lián)盟成立后著手建立區(qū)塊鏈生態(tài)良性發(fā)展長效機制,著重打擊一切假借區(qū)塊鏈名義進行變相傳銷、詐騙等斂財行為。
區(qū)塊鏈安全正受到越來越多的關注,除了廣大用戶特別關心的會不會踩雷“空氣幣”,騰訊安全聯(lián)合實驗室的關注點還在于圍繞區(qū)塊鏈,存在哪些安全風險,以及面對風險怎樣才能避免出現(xiàn)重大損失。基于此,騰訊安全聯(lián)合實驗室聯(lián)合知道創(chuàng)宇,梳理了2018年上半年圍繞區(qū)塊鏈爆發(fā)的典型安全事件,并給出防御措施,希望盡可能幫助用戶避開區(qū)塊鏈的“雷區(qū)”。
一、區(qū)塊鏈安全事件頻發(fā),案值過億屢見不鮮
1.數(shù)字加密貨幣撐起6000億美元的市值
數(shù)字加密貨幣,是按照一定的數(shù)學算法,計算出來的一串符號。信仰者認為這串符號,代表一定的價值,可以像貨幣一樣使用。因為其僅存在于計算機中,人們常稱之為“數(shù)字加密貨幣”。
不同于由政府發(fā)行、并以政府信用做擔保,用于商品流通交換的媒介——法幣。數(shù)字加密貨幣,是由某個人或某個組織發(fā)行,通過一定算法,找到一串符號,然后宣稱其是“XX幣”。世界上首個數(shù)字加密貨幣由日本人中本聰發(fā)現(xiàn),被他稱作比特幣。在比特幣成功取得黑市交易硬通貨的地位之后,引發(fā)了數(shù)字加密貨幣發(fā)行狂潮。至今,全球出現(xiàn)過的數(shù)字加密貨幣已超過1600種,是地球上國家總數(shù)的8倍多。
這1600多種數(shù)字虛擬幣中,存在大量空氣幣,被認為一文不值。但這1600多種數(shù)字虛擬幣,在高峰時期,卻撐起了6000億美元的市值。排名前十的加密數(shù)字貨幣,占總市場的90%,其中比特幣、以太坊幣分別占總市值的46.66%和20.12%。
關于ICO
一家上市公司發(fā)行股票,需要向證券交易場所提交IPO申請,當一種虛擬數(shù)字貨幣需要上市發(fā)行時,會尋求數(shù)字虛擬幣交易所申請ICO。ICO機構并不像IPO機構那樣由各國政府機構依法建立,有強大的財經(jīng)、政治實力做保障,ICO組織均為民間自發(fā)形成的組織或聯(lián)盟,類似自由市場。部分ICO機構的實際表現(xiàn),實際上更接近于跨國詐騙組織。空氣幣在全球范圍內(nèi)滿天飛,群雄四起的ICO機構功不可沒。
2.區(qū)塊鏈安全事件爆發(fā)率逐年增加,案值增大
加密數(shù)字貨幣一經(jīng)誕生,安全性就是人們關注的焦點,遺憾的是各類重大安全事件層出不窮。就比如下面這些驚人的案例:
2013年11月,澳大利亞廣播公司報道,當?shù)匾晃?8歲的青年稱,自己運營的比特幣銀行被盜,損失4100個比特幣;
2014年3月,美國數(shù)字貨幣交易所Poloniex被盜,損失12.3%的比特幣;
2014年Mt.gox盜幣案——85萬枚,價值120億美元;
2015年1月,Bitstamp交易所盜幣案——1.9萬枚比特幣,當時價值510萬美元;
2015年2月,黑客利用比特兒從冷錢包填充熱錢包的瞬間,將比特兒交易平臺冷錢包中的所有比特幣盜走,總額為7170個比特幣,價值1億美元;
2016年1月1日,Cryptsy交易平臺失竊1.3萬比特幣,價值1.9億美元;
2016年8月1日,全球知名比特幣交易平臺Bitfinex盜幣案——約12萬枚,價值18億美元;
2017年3月1日,韓國比特幣交易所yapizon被盜3831枚比特幣,相當于該平臺總資產(chǎn)的37%,價值5700萬美元;
2017年6月1日,韓國數(shù)字資產(chǎn)交易平臺Bithumb被黑客入侵,受損賬戶損失數(shù)十億韓元;
2017年7月1日,BTC-e交易所盜幣案——6.6萬枚,價值9.9億美元;
2017年11月22日Tether宣布被黑客入侵,價值3100萬美元的比特幣被盜;
2017年11月23日,Bitfinex發(fā)生擠兌3萬比特幣瞬間被提走;
據(jù)美國財經(jīng)網(wǎng)站CNBC報道,網(wǎng)絡安全公司Carbon Black的調(diào)查數(shù)據(jù)顯示,2018年上半年,有價值約11億美元的數(shù)字加密貨幣被盜。
二、區(qū)塊鏈安全威脅分類
1.引發(fā)區(qū)塊鏈數(shù)字加密貨幣三大安全問題
與數(shù)字加密貨幣有關的安全事件為何影響如此嚴重呢?產(chǎn)生安全風險的原因在哪兒?騰訊聯(lián)合安全實驗室和知道創(chuàng)宇公司認為:基于區(qū)塊鏈加密數(shù)字貨幣引發(fā)的安全問題來源于區(qū)塊鏈自身機制安全、生態(tài)安全和使用者安全三個方面。
上述三方面原因造成的經(jīng)濟損失分別是12.5億、14.2億和0.56億美元。
總的趨勢是,隨著數(shù)字虛擬貨幣參與者的增加,各種原因?qū)е碌陌踩录诧@著增加。
細分來觀察:
區(qū)塊鏈自身機制安全問題
?——智能合約的問題
——理論上存在的51%攻擊已成現(xiàn)實
區(qū)塊鏈生態(tài)安全問題
——交易所被盜(如前所述、觸目驚心)
——交易所、礦池、網(wǎng)站被DDoS
——錢包、礦池面臨DNS劫持風險(劫持數(shù)字虛擬幣交易錢包地址的病毒已層出不窮)
——交易所被釣魚、內(nèi)鬼、錢包被盜、各種信息泄露、賬號被盜等
使用者安全問題
——個人管理的賬號和錢包被盜
——被欺詐、被釣魚、私鑰管理不善,遭遇病毒木馬等。
2.區(qū)塊鏈數(shù)字加密貨幣安全事件詳解
2.1因比特幣自身機制而出現(xiàn)的安全事件
2018年5月,比特幣黃金(BTG)遭遇51%雙花攻擊,損失1860萬美元。
2017年10月,比特幣網(wǎng)絡遭遇垃圾交易攻擊,導致10%以上的比特幣節(jié)點下線。
51%雙花攻擊最為典型,所謂51%攻擊就是有人掌握了全網(wǎng)51%以上的算力之后,就可以像賽跑一樣,搶先完成一個更長的、偽造交易的鏈。比特幣只認最長的鏈。所以偽造的交易也會得到所有節(jié)點的認可,假的也隨之變成真的了;“雙花”(Double Spending)從字面上看,就是一筆錢被花出去了兩次。以BTG事件為例,就是黑客臨時控制了區(qū)塊鏈之后,不斷地在交易所發(fā)起交易和撤銷交易,將一定數(shù)量的BTG在多個錢包地址間來回轉,一筆“錢”被花了多次,黑客的地址因此能得到額外的比特幣。
2.2因區(qū)塊鏈生態(tài)系統(tǒng)原因?qū)е碌陌踩录?/strong>
比如交易所面臨的風險,被DDoS攻擊的事件常有發(fā)生。還有交易所賬戶被黑客控制,攻擊者控制交易行情,場外套利。
2018年3月,號稱世界第二大交易所的“幣安”被黑客攻擊,大量用戶發(fā)現(xiàn)自己賬戶被盜。黑客將被盜賬戶中所持有的比特幣全部賣出,高價買入VIA(維爾幣),致比特幣大跌,VIA暴漲110倍。
2.3區(qū)塊鏈使用者面臨的風險
數(shù)字虛擬幣錢包,要理解或完全掌握這些交易工具的使用有較高的門檻,要求使用者對計算機、對加密原理、對網(wǎng)絡安全均有較高的認知。然而,許多數(shù)字虛擬幣交易參與者并不具有這些能力,非常容易出現(xiàn)安全問題。
2017年7月1日,中原油田某小區(qū)居民188.31個比特幣被盜。油田警方幾個月后將位于上海的竊賊戴某抓獲,價值280萬美元;
2017年10月,東莞一名imToken用戶發(fā)現(xiàn)100多個ETH(以太坊幣)被盜,最終確認是身邊的朋友盜取他的數(shù)字加密貨幣。
三、區(qū)塊鏈數(shù)字貨幣“熱”背后的三大網(wǎng)絡安全威脅
1.數(shù)字貨幣勒索事件頻發(fā),基礎設施成勒索病毒攻擊重點目標
勒索病毒是2018年上半年危害互聯(lián)網(wǎng)最嚴重的病毒之一。勒索病毒加密受害者電腦系統(tǒng),并要求受害者向某些指定的比特幣錢包轉帳,其危害范圍日益擴大,影響到事關國計民生的各個行業(yè)。
1.1上半年勒索病毒攻擊特征與三大勒索病毒家族
從受攻擊行業(yè)分布上看,傳統(tǒng)工業(yè)、互聯(lián)網(wǎng)行業(yè)、教育行業(yè)和政府機構是受勒索病毒攻擊的重災區(qū),醫(yī)療行業(yè)緊隨其后。醫(yī)療由于其行業(yè)特殊性,一旦遭受到病毒攻擊導致業(yè)務停擺,后果將不堪設想。
觀察2018上半年勒索病毒攻擊系統(tǒng)占比可知,Windows Server版本系統(tǒng)受攻擊次數(shù)占比大于普通家用、辦公系統(tǒng)。Windows Server版本系統(tǒng)中Windows Server 2008版本系統(tǒng)受勒索病毒攻擊占比最大,造成該現(xiàn)象的主要原因為企業(yè)服務器數(shù)據(jù)價值一般情況下要遠遠高于普通用戶,中招后更加傾向于繳納勒索贖金,這一特性進一步刺激了攻擊者有針對性地對服務器系統(tǒng)的設備實施攻擊行為。
2018上半年以GlobeImposter,Crysis,GandCrab為首的3大勒索家族展開的攻擊活動占據(jù)了網(wǎng)絡勒索事件的絕大部分。此外,Satan家族在2018上半年時段展開的攻擊也有明顯上升,其它老牌家族依然有不同程度的活躍。
Top1:GlobeImposter勒索病毒家族
2018年2月,春節(jié)過后不久,包括醫(yī)療行業(yè)在內(nèi)的多家國內(nèi)公共機構的服務器就遭到最新的GlobeImposter家族勒索病毒變種的攻擊,黑客在突破企業(yè)防護邊界后釋放并運行勒索病毒,加密破壞數(shù)據(jù)庫文件,最終導致系統(tǒng)被破壞,正常工作秩序受影響。
該勒索病毒變種將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,并通過郵件來告知受害者付款方式,使其獲利更加容易方便。
Top2:Crysis勒索病毒家族
Crysis家族最早可以追溯到2016年3月,進入2017年后開始針對windows服務器發(fā)起持續(xù)攻擊。Crysis勒索病毒家族的攻擊模式主要為黑客通過爆破遠程登錄后,手動傳播勒索病毒并執(zhí)行。
Crysis勒索病毒在2017年5月萬能密鑰被公布之后,消失了一段時間,但在2018上半年中新的變種依然比較活躍。Crysis家族變種也有多種,較為流行的加密后綴多為.arena、.arrow等,并且附加上的后綴中還會帶有受害者id和勒索者聯(lián)系郵箱,如1.txt.id-EE5106A8.[decrypthelp@qq.com].arrow。贖金金額需要受害者自行聯(lián)系黑客方可獲知。
Top3:GandCrab勒索病毒家族
GandCrab勒索病毒家族堪稱2018年勒索病毒界的“新星”,自1月騰訊御見威脅情報中心捕獲到首次盯上達世幣的勒索病毒GrandCrab起,短短幾個月的時間,GrandCrab歷經(jīng)四大版本更迭。
第一版本的GandCrab勒索病毒因C&C被海外安全公司與警方合作后控制而登上各大科技媒體頭條,兩個月后GandCrab V2版本勒索病毒出現(xiàn),勒索軟件作者為了報復安全公司與警方控制了其V1版本的C&C服務器,在V2版本中直接使用了帶有安全公司與警方相關的字符做為其V2版本的C&C服務器,因而又一次登上科技新聞版面。
兩個月后的GandCrab V3版本結合了V1版本與V2版本的代碼隱藏技術,更加隱蔽。GandCrab V3勒索病毒使用CVE-2017-8570漏洞進行傳播,漏洞觸發(fā)后會釋放包含“?????”(韓語“你好”)字樣的誘餌文檔。與以往版本的該家族的勒索病毒相比,該版本并沒有直接指明贖金金額,而是要求用戶使用Tor網(wǎng)絡或者Jabber即時通訊軟件與勒索者聯(lián)系。
GandCrab V4版本為該家族系列病毒中目前最新迭代版本,相比較以往的版本,V4版本文件加密后綴有了進一步變化(.KRAB),傳播渠道上也有了進一步的擴展,病毒通過軟件供應鏈劫持,破解軟件打包病毒文件,進一步傳播到受害者機器實施勒索攻擊。
此外,4月3號發(fā)現(xiàn)“魔鬼”撒旦(Satan)勒索病毒攜“永恒之藍”漏洞卷土重來,變種不斷出現(xiàn),對企業(yè)用戶威脅極大。該病毒會加密中毒電腦的數(shù)據(jù)庫文件、備份文件和壓縮文件,再用中英韓三國語言向企業(yè)勒索0.3個比特幣,該病毒的最新變種除了依賴“永恒之藍”漏洞在局域網(wǎng)內(nèi)攻擊傳播,還會利用多個新漏洞攻擊,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat漏洞(CVE-2017-12615)、Tomcat web管理后臺弱口令爆破、Weblogic WLS組件漏洞(CVE-2017-10271)等等。
1.2下半年勒索病毒的傳播趨勢
(1)勒索病毒與安全軟件的對抗加劇
隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案。
(2)勒索病毒傳播場景多樣化
傳統(tǒng)的勒索病毒傳播主要以釣魚郵件為主,勒索病毒更多利用了高危漏洞(如永恒之藍)、魚叉游戲攻擊,或水坑攻擊等方式傳播,大大提高了入侵成功率。以GandCrab為例,該家族勒索病毒傳播同時利用了釣魚郵件、水坑攻擊、網(wǎng)頁掛馬和漏洞利用四種方式。
(3)勒索病毒攻擊目標轉向企業(yè)用戶
個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病毒攻擊時,個人用戶往往會放棄數(shù)據(jù),恢復系統(tǒng)。而企業(yè)用戶在沒有及時備份的情況下,會傾向于支付贖金,挽回數(shù)據(jù)。因此,已發(fā)現(xiàn)越來越多攻擊目標是政府機關、企業(yè)、醫(yī)院、學校。
(4)勒索病毒更新迭代加快
以GandCrab為例,當?shù)谝淮暮笈_被安全公司入侵之后,隨后在一周內(nèi)便發(fā)布了GandCrab2,現(xiàn)在已升級到3.0版本。病毒早期發(fā)布時存在漏洞,使得安全公司可以解密被加密的文件,隨后更新的版本已無法被解密。
(5)勒索贖金提高
隨著用戶安全意識提高、安全軟件防御能力提升,勒索病毒入侵成本越來越高,贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵后,竟被勒索9.5個比特幣。如今勒索病毒的攻擊目標也更加明確,或許接下來在贖金上勒索者會趁火打劫,提高勒索贖金。
(6)勒索病毒加密對象升級
傳統(tǒng)的勒索病毒加密目標基本以文件文檔為主,現(xiàn)在越來越多的勒索病毒會嘗試加密數(shù)據(jù)庫文件,加密磁盤備份文件,甚至加密磁盤引導區(qū)。一旦加密后用戶將無法訪問系統(tǒng),相對加密而言危害更大,也有可能迫使用戶支付贖金。
(7)勒索病毒黑色產(chǎn)業(yè)鏈形成
隨著勒索病毒的不斷涌現(xiàn),騰訊御見威脅情報中心甚至觀察到一類特殊的產(chǎn)業(yè)誕生:勒索代理業(yè)務。當企業(yè)遭遇勒索病毒攻擊,關鍵業(yè)務數(shù)據(jù)被加密,而理論上根本無法解密時,而勒索代理機構,承接了受害者和攻擊者之間談判交易恢復數(shù)據(jù)的業(yè)務。
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
挖礦病毒發(fā)展成為2018年傳播最廣的網(wǎng)絡病毒,且挖礦熱度往往與幣種價格成正比。由于挖礦病毒的控制者可以直接通過出售挖到的數(shù)字虛擬貨幣牟利,挖礦病毒的影響力空前高漲,已經(jīng)完全取代幾年前針對游戲玩家的盜號木馬、針對網(wǎng)購用戶的交易劫持木馬、甚至是用于偷窺受害者家攝像頭的遠程控制木馬。
當受害者電腦運行挖礦病毒時,計算機CPU、GPU資源占用會上升,電腦因此變得卡慢,如果是筆記本電腦,會更容易觀察到異常:比如電腦發(fā)燙、風扇轉速增加,電腦噪聲因此增加,電腦運行速度也因此變慢。挖礦年年有,但進入2018年以來,PC端挖礦木馬以前所未有的速度增長,僅上半年爆出挖礦木馬事件45起,比2017年整年爆出的挖礦木馬事件都要多。
2.1上半年挖礦木馬樣本分析與傳播特征
騰訊御見威脅情報中心對數(shù)十萬挖礦病毒樣本進行歸類,對挖礦木馬使用的端口號、進程名、礦池地址進行了總結。
挖礦木馬最偏愛的端口號是3333,其次是8008、8080、5555等端口。
木馬最愛的借用的進程名是svchost.exe以及csrss.exe,這兩個名字原本屬于windows系統(tǒng)進程,現(xiàn)被挖礦木馬利用來命名以迷惑用戶。
礦池就是一個開放的、全自動的挖礦平臺,目前挖礦木馬主要通過連接礦池挖礦,礦工將自己的礦機接入礦池,貢獻自己的算力共同挖礦,共享收益。上半年PC端僵尸網(wǎng)絡挖礦應用最廣泛的礦池為f2pool。
與以往挖礦木馬相比,2018上半年挖礦木馬出現(xiàn)新的傳播特征:
(1)瞄準游戲高配機,高效率挖礦
輔助外掛是2018上半年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對電腦性能要求較高,不法分子瞄準游戲玩家電腦,相當于找到了性能“絕佳”的挖礦機器。
2018年1月,騰訊電腦管家曝光tlMiner挖礦木馬隱藏在《絕地求生》輔助程序中進行傳播,單日影響機器量最高可達20萬臺。隨即在3月份配合騰訊守護者計劃安全團隊,協(xié)助山東警方快速打擊木馬作者,并在4月初打掉這個鏈條頂端的黑產(chǎn)公司。據(jù)統(tǒng)計,該團伙合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現(xiàn)金)、BCD(比特幣鉆石)等各種數(shù)字加密貨幣超過2000萬枚,非法獲利逾千萬。
2018年2月,騰訊電腦管家發(fā)現(xiàn)一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播,并在2月中下旬通過社交群、網(wǎng)盤等渠道傳播,出現(xiàn)明顯上漲趨勢。
2018年5月,騰訊御見威脅情報中心感知到一款名為“520Miner”的挖礦木馬通過游戲外掛傳播,控制數(shù)千臺機器挖了好幾天的礦,最終收獲67枚VIT幣,總價值不到一毛錢人民幣,可以說是史上最能窮折騰的挖礦木馬。
(2)利用網(wǎng)頁掛馬,大范圍傳播
挖礦木馬的傳播渠道不限于通過偽裝成電腦軟件下載,還普遍采用了網(wǎng)頁掛馬這種最高效率的傳播方式。
2018年4月12日,騰訊御見威脅情報中心監(jiān)測到國內(nèi)一起大規(guī)模的網(wǎng)頁掛馬事件。當天包括多款知名播放器軟件、視頻網(wǎng)站客戶端、常見的工具軟件在內(nèi)的50余款用戶量千萬級別的電腦軟件遭遇大規(guī)模網(wǎng)頁掛馬攻擊。
攻擊者將攻擊代碼通過某廣告聯(lián)盟的系統(tǒng)主動分發(fā)帶毒頁面,而這個帶毒頁面被內(nèi)嵌在50余款千萬級別用戶群的常用軟件中,這些用戶的電腦一開機會主動連網(wǎng)下載廣告資源,電腦會因此下載若干個病毒,其中就包括挖礦病毒。騰訊電腦管家當天攔截超過20萬次病毒下載。
此外,騰訊御見威脅情報中心還監(jiān)測到一款挖礦病毒感染量異常增高,經(jīng)病毒溯源分析發(fā)現(xiàn),受害者電腦上的挖礦木馬均來自某些打著“人體藝術”旗號的色情網(wǎng)站。
當網(wǎng)民瀏覽這些網(wǎng)站時,由于部分系統(tǒng)存在Flash高危安全漏洞,打開網(wǎng)頁會立刻中毒。之后,受害者電腦便會運行挖礦代碼,電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦,并以此牟利。
(3)入侵控制企業(yè)服務器,組建僵尸網(wǎng)絡云上挖礦
隨著各種數(shù)字加密貨幣的挖礦難度越來越大,通過普通用戶的個人電腦難以實現(xiàn)利益最大化。而實施短時間內(nèi)的大范圍挖礦,除了網(wǎng)頁掛馬,最普遍的作法就是控制肉雞電腦組建僵尸網(wǎng)絡挖礦。服務器性能強、24小時在線的特征,吸引更多不法礦工將攻擊目標轉向企業(yè)、政府機構、事業(yè)單位的服務器實現(xiàn)云上挖礦。
騰訊御見威脅情報中心曾發(fā)現(xiàn)一個感染量驚人的“PhotoMiner木馬”,通過入侵感染FTP服務器和SMB服務器暴力破解來擴大傳播范圍。查詢木馬控制的門羅幣錢包地址,發(fā)現(xiàn)該木馬控制肉雞電腦挖到8萬枚門羅幣,挖礦累計收益達到驚人的8900萬人民幣,是名副其實的“黃金礦工”。
騰訊安全云鼎實驗室通過對DNS請求的礦池地址進行統(tǒng)計和歸類,發(fā)現(xiàn)云上挖礦幣種主要是XMR(門羅幣)、以太幣(ETH)和ETN(以利幣)。對云主機服務器上挖礦木馬最常連接的礦池地址進行了統(tǒng)計,發(fā)現(xiàn)xmr.pool.minergate.com使用頻率最高。
其中部分在國內(nèi)流行的挖礦木馬使用了自建礦池的方式進行挖礦,這主要是出于使用第三方礦池,第三方礦池會收取一定的手續(xù)費,而使用自建礦池的方式可以減少這些不必要的費用支出。
通過對數(shù)字貨幣的價格走勢和挖礦熱度進行關聯(lián)分析,發(fā)現(xiàn)挖礦的熱度與幣種價格成正比關系。這也再次驗證,網(wǎng)絡黑產(chǎn)的目標就是追求利益的最大化。觀察ETN(以利幣)的價格走勢,我們可以發(fā)現(xiàn)從其從1月中旬開始呈下降趨勢:
而觀察其對應礦池的訪問,發(fā)現(xiàn)也是下降趨勢:
通過對歷史捕獲挖礦案例的分析,云上挖礦通常是一種批量入侵方式,而由于其批量入侵的特性,所以利用的也只能是通用安全問題,比如系統(tǒng)漏洞、服務漏洞,而最常見的是永恒之藍、Redis未授權訪問問題、Apache Struts 2漏洞導致企業(yè)Web服務器被批量入侵。
攻擊者還擅長使用挖礦木馬生成器、弱口令攻擊字典等攻擊工具入侵服務器,再大量擴散挖礦木馬。
(4)網(wǎng)頁挖礦:在正常網(wǎng)址插入挖礦代碼
由于殺毒軟件的存在,許多挖礦木馬文件一落地到用戶電腦就可能被攔截,不利于擴大挖礦規(guī)模,更多攻擊者傾向?qū)嵤┚W(wǎng)頁挖礦:通過入侵存在安全漏洞的網(wǎng)站,在網(wǎng)頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網(wǎng)頁,就會淪為礦工。
在挖礦的網(wǎng)站類型中,色情網(wǎng)站占比最高,其次是視頻網(wǎng)站和博客、論壇。用戶在此類網(wǎng)站觀看視頻、閱讀文章,停留時間較長,黑客利用這些網(wǎng)站進行挖礦,可以獲取較高的收益。
在礦池方面最早出現(xiàn)的coinhive礦池占據(jù)網(wǎng)頁挖礦中的最大比例,與coinhive同一平臺的authemine礦池占11%;基于coinhive建立的ppoi礦池和cryptoloot礦池分別占比21%、4%。
2.2下半年挖礦木馬的傳播趨勢
數(shù)字加密貨幣在2018年上半年持續(xù)暴跌,比特幣已從去年年底的2萬美元,跌至現(xiàn)在不足7000美元,“炒幣”熱似在降溫,但這并沒有影響挖礦木馬前進的腳步,畢竟挖礦木馬是靠肉雞挖礦賺錢,勿需投入物理設備,而從最近爆出的挖礦木馬事件中發(fā)現(xiàn),挖礦木馬可選擇的幣種越來越多,設計越來越復雜,隱藏也越來越深,下半年的挖礦將會持續(xù)活躍,與殺毒軟件的對抗會愈演愈烈。
(1)全能型挖礦木馬產(chǎn)生,同時帶來多種危害
PC病毒的名字通常包含了病毒的來源、傳播路徑、目的等信息,如“Trojan.StartPage”代表這是一類鎖主頁木馬,“Backdoor.GrayBird”屬于灰鴿子后門病毒,如今在殺軟的強力打擊之下,病毒木馬“棲息地”越來越少,拓展“業(yè)務”已成為眾多病毒木馬的首要任務,挖礦木馬也不例外。
上半年出現(xiàn)的“Arkei Stealer”木馬,集竊密、遠控、DDoS、挖礦、盜幣于一體,可謂木馬界“全能”。下半年的挖礦木馬或?qū)⒓筛嗟?ldquo;業(yè)務”,通過各種渠道入侵至用戶機器。
(2)隱藏技術更強,與安全軟件對抗愈加激烈
病毒發(fā)展至今,PC機上隱藏技術最強的無疑是B/Rootkit類病毒,這類木馬編寫復雜,各模塊設計精密,可直接感染磁盤引導區(qū)或系統(tǒng)內(nèi)核,其權限視角與殺軟平行,屬于比較難清除的一類病毒。
此類病毒常用于鎖主頁及勒索,而近期發(fā)現(xiàn)R/Bookit技術也被應用于挖礦木馬中,使挖礦木馬的隱藏技能提升幾個檔次。下半年數(shù)字加密貨幣安全形勢依然嚴峻,挖礦木馬的隱藏對抗或?qū)⒏蛹ち摇?/p>
3.數(shù)字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元
除了勒索病毒造成的損失,盜竊行為也同樣可對數(shù)字加密貨幣持有者造成大量損失,從數(shù)字加密貨幣誕生初期,數(shù)字加密貨幣被盜的新聞就層出不窮。目前盜取數(shù)字加密貨幣的方式大致4種:入侵交易所,入侵個人用戶,“雙花攻擊”,漏洞攻擊。
3.1數(shù)字加密貨幣交易平臺被攻擊
數(shù)字加密貨幣交易所被攻擊,僅2018年上半年就損失了約7億美元。
(1)2018年1月日本最大的數(shù)字加密貨幣交易所Coincheck被盜走價值5.34億美元的NEM(新經(jīng)幣);
(2)2018年3月7日,Binance交易鎖被入侵,此次為大規(guī)則通過釣魚獲取用戶賬號并試圖盜幣事件;
(3)2018年4月13日,印度數(shù)字加密貨幣交易所CoinSecure被438枚比特幣,疑為內(nèi)部人員監(jiān)守自盜;
(4)2018年6月10日,韓國數(shù)字加密貨幣交易所Coinrail被攻擊,損失超過5000萬美元;
(5)2018年6月20,韓國數(shù)字加密貨幣交易所Bithumb被黑客攻擊,價值3000萬美元的數(shù)字加密貨幣被盜,這是Bithumb第三次被黑客攻擊了。
3.2個人賬號遭入侵
(1)通過植入病毒木馬竊取錢包文件
2018年2月騰訊電腦管家發(fā)現(xiàn)大量利用Office公式編輯器組件漏洞(CVE-2017-11882)的攻擊樣本,通過下載并運行已被公開源碼的Pony木馬,竊取用戶比特幣錢包文件等敏感信息。
2018年3月,一款基于剪切板劫持的盜幣木馬在國內(nèi)出現(xiàn),該木馬使用易語言編寫,通過激活工具、下載站到達用戶機器,木馬會監(jiān)視用戶剪切板,一旦發(fā)現(xiàn)有錢包地址,則替換為木馬的錢包地址,木馬內(nèi)置30多個錢包地址,且部分錢包已經(jīng)有盜取記錄。
此外,騰訊御見威脅情報中心分析發(fā)現(xiàn),越來越多的病毒會嘗試劫持數(shù)字加密幣交易錢包地址,當受害者在中毒電腦上操作數(shù)字加密貨幣轉帳交易時,病毒會迅速將收款錢包地址替換為病毒指定的地址,病毒行為就如同現(xiàn)實中的劫匪。類似病毒在電腦網(wǎng)購普及時也曾經(jīng)出現(xiàn),病毒在交易完成的一瞬間,將受害者資金轉入自己指定的交易賬戶。
(2)內(nèi)部盜取加密貨幣
2018年3月份,北京某互聯(lián)網(wǎng)攻擊員工利用職務便利,在公司服務器部署惡意代碼,盜取該公司100個比特幣,目前已經(jīng)被依法逮捕,這是北京首例比特幣盜竊案。
3.3“雙花攻擊”
“雙花攻擊”是控制某數(shù)字加密貨幣網(wǎng)絡51%算力之后,對數(shù)字加密貨幣區(qū)塊鏈進行攻擊,可實現(xiàn)對已經(jīng)交易完成的數(shù)據(jù)進行銷毀,并重新支付,這樣就可獲得雙倍服務。
2018年5月,BTG(比特黃金)交易鏈被黑客攻擊,黑客向交易所充值后迅速提幣,并銷毀提幣記錄,共轉走了38.8萬枚BTG,獲利1.2億人民幣。
3.4漏洞攻擊
2018年4月,BEC智能合約中被爆出數(shù)據(jù)溢出漏洞,攻擊者共盜取579億枚BEC幣,隨后SMT幣也被爆出類似漏洞。
四、安全建議
區(qū)塊鏈技術,仍是眾多互聯(lián)網(wǎng)公司乃至國有銀行系統(tǒng)重點研究的領域。區(qū)塊鏈的應用并不等同于數(shù)字虛擬貨幣,安全專家并不鼓勵人們炒幣,在此對炒幣行為不做贅述。
對于區(qū)塊鏈安全來講,從系統(tǒng)架構上,建議相關企業(yè)與專業(yè)區(qū)塊鏈安全研究組織合作,及時發(fā)現(xiàn)、修復系統(tǒng)漏洞,避免導致嚴重的大規(guī)模資金被盜事件發(fā)生;
對于參與數(shù)字虛擬幣交易的網(wǎng)民來講,應充分了解可能存在的風險,在電腦端、手機端使用安全軟件,避免掉進網(wǎng)絡釣魚陷阱,避免數(shù)字虛擬幣錢包被盜事件發(fā)生;
對于普通網(wǎng)民而言,應防止電腦中毒成為被人控制的“礦工”,謹慎使用游戲外掛、破解軟件、視頻網(wǎng)站客戶端破解工具,這些軟件被人為植入惡意程序的概率較大。同時,安裝正規(guī)殺毒軟件并及時更新升級,當電腦卡頓、溫度過熱時,使用騰訊電腦管家進行檢查,防止電腦被非法控制,造成不必要的損失;
對于企業(yè)網(wǎng)站、服務器資源的管理者,應部署企業(yè)級網(wǎng)絡安全防護系統(tǒng),防止企業(yè)服務器被入侵安裝挖礦病毒,防止受到勒索病毒侵害。企業(yè)網(wǎng)站應防止被黑,及時修補服務器操作系統(tǒng)、應用系統(tǒng)的安全漏洞,避免企業(yè)服務器淪為黑客挖礦的工具,同時也避免因服務器被入侵而導致企業(yè)網(wǎng)站的訪客電腦淪為“礦工”。
