2018上半年區塊鏈安全報告,告訴你安全問題的三大根源
編者按:本文來自編者按:本文來自編者按:本文來自
編者按:本文來自
騰訊安全聯合實驗室
(ID:txaqlhsys),作者:騰訊安全聯合實驗室,經授權轉載。
2018上半年,各種關於區塊鏈的行業資訊、投融資創業、技術和應用探索等集中爆發,成為創業與資本共同追逐的風口。然而,伴隨著區塊鏈技術的不斷發展,區塊鏈領域本身的安全問題逐漸凸顯,與之相關的問題不斷顯現。
區塊鏈安全事件頻發,涉案案值過億屢見不鮮;
盜竊、勒索病毒、挖礦木馬發展成為數字加密貨幣三大安全威脅;
全球範圍內因區塊鏈安全事件損失的金額仍在攀升……
8 月2 日,騰訊安全聯合知道創宇發布《2018上半年區塊鏈安全報告》,結合知道創宇、騰訊安全聯合實驗室、騰訊雲、騰訊電腦管家等提供的大數據,揭秘區塊鏈安全三大根源性問題,並針對如何防禦區塊鏈安全風險,建立網絡安全生態提出思路。
區塊鏈安全三大根源問題
基於區塊鏈加密數字貨幣引發的安全問題來源於區塊鏈自身機制安全、生態安全和使用者安全三個方面。
理論上存在的51% 攻擊已成現實,同時智能合約安全事件、交易延展性攻擊、垃圾交易攻擊等愈加嚴重;交易所、礦池、網站面臨的被盜、被挖礦等常規安全風險;個人管理的賬號和錢包被盜問題等,都亟待解決。
區塊鏈數字貨幣“熱”背後的三大網絡安全威脅
①數字貨幣勒索事件頻發,基礎設施成勒索病毒攻擊重點目標
勒索病毒是2018 年上半年危害互聯網最嚴重的病毒之一,勒索病毒加密受害者電腦系統,並要求受害者向某些指定的比特幣錢包轉帳,其危害範圍日益擴大,影響到事關國計民生的各個行業。
②挖礦木馬“異軍突起”,成幣圈價值“風向標”
由於挖礦病毒的控制者可以直接通過出售挖到的數字虛擬貨幣牟利,挖礦病毒的影響力空前高漲,成為2018 年傳播最廣的網絡病毒,且挖礦熱度往往與幣種價格成正比。
值得注意的是,傳統的挖礦方式,如比特幣一般採用顯卡GPU挖礦,黑客難以利用,更多的場景為勒索加密;而自從採用CryptoNight 算法的如門羅幣等新幣種的出現,挖礦方式有所變化,不再依賴於GPU挖礦,CPU挖礦也成為了可能,於是黑客在入侵了個人PC 和雲主機之後更多會選擇消耗機器CPU 資源挖礦來直接獲得利益。
目錄
目錄https://slab.qq.com/news/authority/1754.html
目錄
序言
序言
序言
序言
一、區塊鏈安全事件頻發,案值過億屢見不鮮
1.數字加密貨幣撐起6000億美元的市值
2.區塊鏈安全事件爆發率逐年增加,案值增大
二、區塊鏈安全威脅分類
1.引發區塊鏈數字加密貨幣三大安全問題
2.區塊鏈數字加密貨幣安全事件詳解
2.1因比特幣自身機製而出現的安全事件
2.2因區塊鏈生態系統原因導致的安全事件
2.3區塊鏈使用者面臨的風險
三、區塊鏈數字貨幣“熱”背後的三大網絡安全威脅
1.數字貨幣勒索事件頻發,基礎設施成勒索病毒攻擊重點目標
1.1上半年勒索病毒攻擊特徵與三大勒索病毒家族
1.2下半年勒索病毒的傳播趨勢
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
2.1上半年挖礦木馬樣本分析與傳播特徵
2.2下半年挖礦木馬的傳播趨勢
3.數字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元
3.1數字加密貨幣交易平台被攻擊
四、安全建議
序言
序言
序言
序言
2018年,是公認的區塊鏈大年。與區塊鏈有關的討論不僅遍存在於中關村的創業咖啡,更是存在於街頭巷尾、地鐵公交、微博微信,幾乎無處不在。然而,伴隨著區塊鏈技術的不斷發展,區塊鏈領域本身的安全問題逐漸凸顯,與區塊鏈相關的詐騙、傳銷等社會化安全問題日益突出。
隨著區塊鏈的經濟價值不斷升高,促使不法分子利用各種攻擊手段獲取更多敏感數據,“盜竊”、“勒索”、“挖礦”等,藉著區塊鏈概念和技術,使區塊鏈安全形勢變得更加複雜。據網絡安全公司Carbon Black的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜,且在全球範圍內因區塊鏈安全事件損失金額還在不斷攀升。
為了護航區塊鏈產業健康發展,6月21日“中國區塊鏈安全高峰論壇”上,中國技術市場協會、騰訊安全、知道創宇、中國區塊鏈應用研究中心等政府指導單位、網絡安全企業、區塊鏈相關機構及媒體等二十餘家機構、單位聯合發起“中國區塊鏈安全聯盟”,聯盟成立後著手建立區塊鏈生態良性發展長效機制,著重打擊一切假借區塊鏈名義進行變相傳銷、詐騙等斂財行為。
區塊鏈安全正受到越來越多的關注,除了廣大用戶特別關心的會不會踩雷“空氣幣”,騰訊安全聯合實驗室的關注點還在於圍繞區塊鏈,存在哪些安全風險,以及面對風險怎樣才能避免出現重大損失。基於此,騰訊安全聯合實驗室聯合知道創宇,梳理了2018年上半年圍繞區塊鏈爆發的典型安全事件,並給出防禦措施,希望盡可能幫助用戶避開區塊鏈的“雷區” 。
一、區塊鏈安全事件頻發,案值過億屢見不鮮
1.數字加密貨幣撐起6000億美元的市值
數字加密貨幣,是按照一定的數學算法,計算出來的一串符號。信仰者認為這串符號,代表一定的價值,可以像貨幣一樣使用。因為其僅存在於計算機中,人們常稱之為“數字加密貨幣”。
不同於由政府發行、並以政府信用做擔保,用於商品流通交換的媒介——法幣。數字加密貨幣,是由某個人或某個組織發行,通過一定算法,找到一串符號,然後宣稱其是“XX幣”。世界上首個數字加密貨幣由日本人中本聰發現,被他稱作比特幣。在比特幣成功取得黑市交易硬通貨的地位之後,引發了數字加密貨幣發行狂潮。至今,全球出現過的數字加密貨幣已超過1600種,是地球上國家總數的8倍多。
這1600多種數字虛擬幣中,存在大量空氣幣,被認為一文不值。但這1600多種數字虛擬幣,在高峰時期,卻撐起了6000億美元的市值。排名前十的加密數字貨幣,佔總市場的90%,其中比特幣、以太坊幣分別佔總市值的46.66%和20.12%。
關於ICO
一家上市公司發行股票,需要向證券交易場所提交IPO申請,當一種虛擬數字貨幣需要上市發行時,會尋求數字虛擬幣交易所申請ICO。 ICO機構並不像IPO機構那樣由各國政府機構依法建立,有強大的財經、政治實力做保障,ICO組織均為民間自發形成的組織或聯盟,類似自由市場。部分ICO機構的實際表現,實際上更接近於跨國詐騙組織。空氣幣在全球範圍內滿天飛,群雄四起的ICO機構功不可沒。
2.區塊鏈安全事件爆發率逐年增加,案值增大
加密數字貨幣一經誕生,安全性就是人們關注的焦點,遺憾的是各類重大安全事件層出不窮。就比如下面這些驚人的案例:
2013年11月,澳大利亞廣播公司報導,當地一位18歲的青年稱,自己運營的比特幣銀行被盜,損失4100個比特幣;
2014年3月,美國數字貨幣交易所Poloniex被盜,損失12.3%的比特幣;
2014年Mt.gox盜幣案——85萬枚,價值120億美元;
2015年1月,Bitstamp交易所盜幣案——1.9萬枚比特幣,當時價值510萬美元;
2015年2月,黑客利用比特兒從冷錢包填充熱錢包的瞬間,將比特兒交易平台冷錢包中的所有比特幣盜走,總額為7170個比特幣,價值1億美元;
2016年1月1日,Cryptsy交易平台失竊1.3萬比特幣,價值1.9億美元;
2016年8月1日,全球知名比特幣交易平台Bitfinex盜幣案——約12萬枚,價值18億美元;
2017年3月1日,韓國比特幣交易所yapizon被盜3831枚比特幣,相當於該平台總資產的37%,價值5700萬美元;
2017年6月1日,韓國數字資產交易平台Bithumb被黑客入侵,受損賬戶損失數十億韓元;
2017年7月1日,BTC-e交易所盜幣案——6.6萬枚,價值9.9億美元;
2017年11月22日Tether宣布被黑客入侵,價值3100萬美元的比特幣被盜;
2017年11月23日,Bitfinex發生擠兌3萬比特幣瞬間被提走;
據美國財經網站CNBC報導,網絡安全公司Carbon Black的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜。
二、區塊鏈安全威脅分類
1.引發區塊鏈數字加密貨幣三大安全問題
與數字加密貨幣有關的安全事件為何影響如此嚴重呢?產生安全風險的原因在哪兒?騰訊聯合安全實驗室和知道創宇公司認為:基於區塊鏈加密數字貨幣引發的安全問題來源於區塊鏈自身機制安全、生態安全和使用者安全三個方面。
上述三方面原因造成的經濟損失分別是12.5億、14.2億和0.56億美元。
總的趨勢是,隨著數字虛擬貨幣參與者的增加,各種原因導致的安全事件也顯著增加。
細分來觀察:
區塊鏈自身機制安全問題
— —— 智能合約的問題
——理論上存在的51%攻擊已成現實
區塊鏈生態安全問題
—— 交易所被盜(如前所述、觸目驚心)
——交易所、礦池、網站被DDoS
——錢包、礦池面臨DNS劫持風險(劫持數字虛擬幣交易錢包地址的病毒已層出不窮)
——交易所被釣魚、內鬼、錢包被盜、各種信息洩露、賬號被盜等
使用者安全問題
——個人管理的賬號和錢包被盜
——被欺詐、被釣魚、私鑰管理不善,遭遇病毒木馬等。
2.區塊鏈數字加密貨幣安全事件詳解
2.1因比特幣自身機製而出現的安全事件
2018年5月,比特幣黃金(BTG)遭遇51%雙花攻擊,損失1860萬美元。
2017年10月,比特幣網絡遭遇垃圾交易攻擊,導致10%以上的比特幣節點下線。
51%雙花攻擊最為典型,所謂51%攻擊就是有人掌握了全網51%以上的算力之後,就可以像賽跑一樣,搶先完成一個更長的、偽造交易的鏈。比特幣只認最長的鏈。所以偽造的交易也會得到所有節點的認可,假的也隨之變成真的了;“雙花”(Double Spending)從字面上看,就是一筆錢被花出去了兩次。以BTG事件為例,就是黑客臨時控制了區塊鏈之後,不斷地在交易所發起交易和撤銷交易,將一定數量的BTG在多個錢包地址間來迴轉,一筆“錢”被花了多次,黑客的地址因此能得到額外的比特幣。
2.2因區塊鏈生態系統原因導致的安全事件
比如交易所面臨的風險,被DDoS攻擊的事件常有發生。還有交易所賬戶被黑客控制,攻擊者控制交易行情,場外套利。
2018年3月,號稱世界第二大交易所的“幣安”被黑客攻擊,大量用戶發現自己賬戶被盜。黑客將被盜賬戶中所持有的比特幣全部賣出,高價買入VIA(維爾幣),致比特幣大跌,VIA暴漲110倍。
2.3區塊鏈使用者面臨的風險
數字虛擬幣錢包,要理解或完全掌握這些交易工具的使用有較高的門檻,要求使用者對計算機、對加密原理、對網絡安全均有較高的認知。然而,許多數字虛擬幣交易參與者並不具有這些能力,非常容易出現安全問題。
2017年7月1日,中原油田某小區居民188.31個比特幣被盜。油田警方幾個月後將位於上海的竊賊戴某抓獲,價值280萬美元;
2017年10月,東莞一名imToken用戶發現100多個ETH(以太坊幣)被盜,最終確認是身邊的朋友盜取他的數字加密貨幣。
三、區塊鏈數字貨幣“熱”背後的三大網絡安全威脅
1.數字貨幣勒索事件頻發,基礎設施成勒索病毒攻擊重點目標
勒索病毒是2018年上半年危害互聯網最嚴重的病毒之一。勒索病毒加密受害者電腦系統,並要求受害者向某些指定的比特幣錢包轉帳,其危害範圍日益擴大,影響到事關國計民生的各個行業。
1.1上半年勒索病毒攻擊特徵與三大勒索病毒家族
觀察2018上半年勒索病毒攻擊系統佔比可知,Windows Server版本系統受攻擊次數佔比大於普通家用、辦公系統。 Windows Server版本系統中Windows Server 2008版本系統受勒索病毒攻擊佔比最大,造成該現象的主要原因為企業服務器數據價值一般情況下要遠遠高於普通用戶,中招後更加傾向於繳納勒索贖金,這一特性進一步刺激了攻擊者有針對性地對服務器系統的設備實施攻擊行為。
Top1:GlobeImposter勒索病毒家族
2018上半年以GlobeImposter,Crysis,GandCrab為首的3大勒索家族展開的攻擊活動佔據了網絡勒索事件的絕大部分。此外,Satan家族在2018上半年時段展開的攻擊也有明顯上升,其它老牌家族依然有不同程度的活躍。
2018年2月,春節過後不久,包括醫療行業在內的多家國內公共機構的服務器就遭到最新的GlobeImposter家族勒索病毒變種的攻擊,黑客在突破企業防護邊界後釋放並運行勒索病毒,加密破壞數據庫文件,最終導致系統被破壞,正常工作秩序受影響。
Top2:Crysis勒索病毒家族
該勒索病毒變種將加密後的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,並通過郵件來告知受害者付款方式,使其獲利更加容易方便。
Crysis家族最早可以追溯到2016年3月,進入2017年後開始針對windows服務器發起持續攻擊。 Crysis勒索病毒家族的攻擊模式主要為黑客通過爆破遠程登錄後,手動傳播勒索病毒並執行。
Top3:GandCrab勒索病毒家族
Crysis勒索病毒在2017年5月萬能密鑰被公佈之後,消失了一段時間,但在2018上半年中新的變種依然比較活躍。 Crysis家族變種也有多種,較為流行的加密後綴多為.arena、.arrow等,並且附加上的後綴中還會帶有受害者id和勒索者聯繫郵箱,如1.txt.id-EE5106A8.[ decrypthelp @qq.com].arrow。贖金金額需要受害者自行聯繫黑客方可獲知。
Top3:GandCrab勒索病毒家族
GandCrab勒索病毒家族堪稱2018年勒索病毒界的“新星”,自1月騰訊禦見威脅情報中心捕獲到首次盯上達世幣的勒索病毒GrandCrab起,短短幾個月的時間,GrandCrab歷經四大版本更迭。
第一版本的GandCrab勒索病毒因C&C被海外安全公司與警方合作後控製而登上各大科技媒體頭條,兩個月後GandCrab V2版本勒索病毒出現,勒索軟件作者為了報復安全公司與警方控制了其V1版本的C&C服務器,在V2版本中直接使用了帶有安全公司與警方相關的字符做為其V2版本的C&C服務器,因而又一次登上科技新聞版面。
兩個月後的GandCrab V3版本結合了V1版本與V2版本的代碼隱藏技術,更加隱蔽。 GandCrab V3勒索病毒使用CVE-2017-8570漏洞進行傳播,漏洞觸發後會釋放包含“안녕하세요”(韓語“你好”)字樣的誘餌文檔。與以往版本的該家族的勒索病毒相比,該版本並沒有直接指明贖金金額,而是要求用戶使用Tor網絡或者Jabber即時通訊軟件與勒索者聯繫。
GandCrab V4版本為該家族系列病毒中目前最新迭代版本,相比較以往的版本,V4版本文件加密後綴有了進一步變化(.KRAB),傳播渠道上也有了進一步的擴展,病毒通過軟件供應鏈劫持,破解軟件打包病毒文件,進一步傳播到受害者機器實施勒索攻擊。
此外,4月3號發現“魔鬼”撒旦(Satan)勒索病毒攜“永恆之藍”漏洞捲土重來,變種不斷出現,對企業用戶威脅極大。該病毒會加密中毒電腦的數據庫文件、備份文件和壓縮文件,再用中英韓三國語言向企業勒索0.3個比特幣,該病毒的最新變種除了依賴“永恆之藍”漏洞在局域網內攻擊傳播,還會利用多個新漏洞攻擊,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat漏洞(CVE-2017-12615)、Tomcat web管理後台弱口令爆破、Weblogic WLS組件漏洞(CVE-2017-10271)等等。
1.2下半年勒索病毒的傳播趨勢
(1)勒索病毒與安全軟件的對抗加劇
隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案。
(2)勒索病毒傳播場景多樣化
(3)勒索病毒攻擊目標轉向企業用戶
(4)勒索病毒更新迭代加快
個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病毒攻擊時,個人用戶往往會放棄數據,恢復系統。而企業用戶在沒有及時備份的情況下,會傾向於支付贖金,挽回數據。因此,已發現越來越多攻擊目標是政府機關、企業、醫院、學校。
(4)勒索病毒更新迭代加快
以GandCrab為例,當第一代的後台被安全公司入侵之後,隨後在一周內便發布了GandCrab2,現在已升級到3.0版本。病毒早期發佈時存在漏洞,使得安全公司可以解密被加密的文件,隨後更新的版本已無法被解密。
(5)勒索贖金提高
隨著用戶安全意識提高、安全軟件防禦能力提升,勒索病毒入侵成本越來越高,贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵後,竟被勒索9.5個比特幣。如今勒索病毒的攻擊目標也更加明確,或許接下來在贖金上勒索者會趁火打劫,提高勒索贖金。
(6)勒索病毒加密對像升級
傳統的勒索病毒加密目標基本以文件文檔為主,現在越來越多的勒索病毒會嘗試加密數據庫文件,加密磁盤備份文件,甚至加密磁盤引導區。一旦加密後用戶將無法訪問系統,相對加密而言危害更大,也有可能迫使用戶支付贖金。
(7)勒索病毒黑色產業鏈形成
隨著勒索病毒的不斷湧現,騰訊禦見威脅情報中心甚至觀察到一類特殊的產業誕生:勒索代理業務。當企業遭遇勒索病毒攻擊,關鍵業務數據被加密,而理論上根本無法解密時,而勒索代理機構,承接了受害者和攻擊者之間談判交易恢復數據的業務。
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
挖礦病毒發展成為2018年傳播最廣的網絡病毒,且挖礦熱度往往與幣種價格成正比。由於挖礦病毒的控制者可以直接通過出售挖到的數字虛擬貨幣牟利,挖礦病毒的影響力空前高漲,已經完全取代幾年前針對遊戲玩家的盜號木馬、針對網購用戶的交易劫持木馬、甚至是用於偷窺受害者家攝像頭的遠程控制木馬。
當受害者電腦運行挖礦病毒時,計算機CPU、GPU資源佔用會上升,電腦因此變得卡慢,如果是筆記本電腦,會更容易觀察到異常:比如電腦發燙、風扇轉速增加,電腦噪聲因此增加,電腦運行速度也因此變慢。挖礦年年有,但進入2018年以來,PC端挖礦木馬以前所未有的速度增長,僅上半年爆出挖礦木馬事件45起,比2017年整年爆出的挖礦木馬事件都要多。
2.1上半年挖礦木馬樣本分析與傳播特徵
騰訊禦見威脅情報中心對數十萬挖礦病毒樣本進行歸類,對挖礦木馬使用的端口號、進程名、礦池地址進行了總結。
挖礦木馬最偏愛的端口號是3333,其次是8008、8080、5555等端口。
木馬最愛的借用的進程名是svchost.exe以及csrss.exe,這兩個名字原本屬於windows系統進程,現被挖礦木馬利用來命名以迷惑用戶。
礦池就是一個開放的、全自動的挖礦平台,目前挖礦木馬主要通過連接礦池挖礦,礦工將自己的礦機接入礦池,貢獻自己的算力共同挖礦,共享收益。上半年PC端殭屍網絡挖礦應用最廣泛的礦池為f2pool。
與以往挖礦木馬相比,2018上半年挖礦木馬出現新的傳播特徵:
(1)瞄準遊戲高配機,高效率挖礦
輔助外掛是2018上半年挖礦木馬最喜愛的藏身軟件之一。由於遊戲用戶對電腦性能要求較高,不法分子瞄準遊戲玩家電腦,相當於找到了性能“絕佳”的挖礦機器。
2018年1月,騰訊電腦管家曝光tlMiner挖礦木馬隱藏在《絕地求生》輔助程序中進行傳播,單日影響機器量最高可達20萬台。隨即在3月份配合騰訊守護者計劃安全團隊,協助山東警方快速打擊木馬作者,並在4月初打掉這個鏈條頂端的黑產公司。據統計,該團夥合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現金)、BCD(比特幣鑽石)等各種數字加密貨幣超過2000萬枚,非法獲利逾千萬。
2018年2月,騰訊電腦管家發現一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播,並在2月中下旬通過社交群、網盤等渠道傳播,出現明顯上漲趨勢。
2018年5月,騰訊禦見威脅情報中心感知到一款名為“520Miner”的挖礦木馬通過遊戲外掛傳播,控制數千台機器挖了好幾天的礦,最終收穫67枚VIT幣,總價值不到一毛錢人民幣,可以說是史上最能窮折騰的挖礦木馬。
(2)利用網頁掛馬,大範圍傳播
挖礦木馬的傳播渠道不限於通過偽裝成電腦軟件下載,還普遍採用了網頁掛馬這種最高效率的傳播方式。
2018年4月12日,騰訊禦見威脅情報中心監測到國內一起大規模的網頁掛馬事件。當天包括多款知名播放器軟件、視頻網站客戶端、常見的工具軟件在內的50餘款用戶量千萬級別的電腦軟件遭遇大規模網頁掛馬攻擊。
攻擊者將攻擊代碼通過某廣告聯盟的系統主動分髮帶毒頁面,而這個帶毒頁面被內嵌在50餘款千萬級別用戶群的常用軟件中,這些用戶的電腦一開機會主動連網下載廣告資源,電腦會因此下載若干個病毒,其中就包括挖礦病毒。騰訊電腦管家當天攔截超過20萬次病毒下載。
此外,騰訊禦見威脅情報中心還監測到一款挖礦病毒感染量異常增高,經病毒溯源分析發現,受害者電腦上的挖礦木馬均來自某些打著“人體藝術”旗號的色情網站。
當網民瀏覽這些網站時,由於部分系統存在Flash高危安全漏洞,打開網頁會立刻中毒。之後,受害者電腦便會運行挖礦代碼,電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦,並以此牟利。
(3)入侵控制企業服務器,組建殭屍網絡雲上挖礦
隨著各種數字加密貨幣的挖礦難度越來越大,通過普通用戶的個人電腦難以實現利益最大化。而實施短時間內的大範圍挖礦,除了網頁掛馬,最普遍的作法就是控制肉雞電腦組建殭屍網絡挖礦。服務器性能強、24小時在線的特徵,吸引更多不法礦工將攻擊目標轉向企業、政府機構、事業單位的服務器實現雲上挖礦。
騰訊禦見威脅情報中心曾發現一個感染量驚人的“PhotoMiner木馬”,通過入侵感染FTP服務器和SMB服務器暴力破解來擴大傳播範圍。查詢木馬控制的門羅幣錢包地址,發現該木馬控制肉雞電腦挖到8萬枚門羅幣,挖礦累計收益達到驚人的8900萬人民幣,是名副其實的“黃金礦工”。
騰訊安全雲鼎實驗室通過對DNS請求的礦池地址進行統計和歸類,發現雲上挖礦幣種主要是XMR(門羅幣)、以太幣(ETH)和ETN(以利幣)。對雲主機服務器上挖礦木馬最常連接的礦池地址進行了統計,發現xmr.pool.minergate.com使用頻率最高。
其中部分在國內流行的挖礦木馬使用了自建礦池的方式進行挖礦,這主要是出於使用第三方礦池,第三方礦池會收取一定的手續費,而使用自建礦池的方式可以減少這些不必要的費用支出。
通過對數字貨幣的價格走勢和挖礦熱度進行關聯分析,發現挖礦的熱度與幣種價格成正比關係。這也再次驗證,網絡黑產的目標就是追求利益的最大化。觀察ETN(以利幣)的價格走勢,我們可以發現從其從1月中旬開始呈下降趨勢:
而觀察其對應礦池的訪問,發現也是下降趨勢:
通過對歷史捕獲挖礦案例的分析,雲上挖礦通常是一種批量入侵方式,而由於其批量入侵的特性,所以利用的也只能是通用安全問題,比如係統漏洞、服務漏洞,而最常見的是永恆之藍、Redis未授權訪問問題、Apache Struts 2漏洞導致企業Web服務器被批量入侵。
攻擊者還擅長使用挖礦木馬生成器、弱口令攻擊字典等攻擊工具入侵服務器,再大量擴散挖礦木馬。
(4)網頁挖礦:在正常網址插入挖礦代碼
由於殺毒軟件的存在,許多挖礦木馬文件一落地到用戶電腦就可能被攔截,不利於擴大挖礦規模,更多攻擊者傾向實施網頁挖礦:通過入侵存在安全漏洞的網站,在網頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網頁,就會淪為礦工。
在挖礦的網站類型中,色情網站佔比最高,其次是視頻網站和博客、論壇。用戶在此類網站觀看視頻、閱讀文章,停留時間較長,黑客利用這些網站進行挖礦,可以獲取較高的收益。
在礦池方面最早出現的coinhive礦池佔據網頁挖礦中的最大比例,與coinhive同一平台的authemine礦池佔11%;基於coinhive建立的ppoi礦池和cryptoloot礦池分別佔比21%、4% 。
2.2下半年挖礦木馬的傳播趨勢
數字加密貨幣在2018年上半年持續暴跌,比特幣已從去年年底的2萬美元,跌至現在不足7000美元,“炒幣”熱似在降溫,但這並沒有影響挖礦木馬前進的腳步,畢竟挖礦木馬是靠肉雞挖礦賺錢,勿需投入物理設備,而從最近爆出的挖礦木馬事件中發現,挖礦木馬可選擇的幣種越來越多,設計越來越複雜,隱藏也越來越深,下半年的挖礦將會持續活躍,與殺毒軟件的對抗會愈演愈烈。
(1)全能型挖礦木馬產生,同時帶來多種危害
PC病毒的名字通常包含了病毒的來源、傳播路徑、目的等信息,如“Trojan.StartPage”代表這是一類鎖主頁木馬,“Backdoor.GrayBird”屬於灰鴿子後門病毒,如今在殺軟的強力打擊之下,病毒木馬“棲息地”越來越少,拓展“業務”已成為眾多病毒木馬的首要任務,挖礦木馬也不例外。
上半年出現的“Arkei Stealer”木馬,集竊密、遠控、DDoS、挖礦、盜幣於一體,可謂木馬界“全能”。下半年的挖礦木馬或將集成更多的“業務”,通過各種渠道入侵至用戶機器。
(2)隱藏技術更強,與安全軟件對抗愈加激烈
病毒發展至今,PC機上隱藏技術最強的無疑是B/Rootkit類病毒,這類木馬編寫複雜,各模塊設計精密,可直接感染磁盤引導區或系統內核,其權限視角與殺軟平行,屬於比較難清除的一類病毒。
此類病毒常用於鎖主頁及勒索,而近期發現R/Bookit技術也被應用於挖礦木馬中,使挖礦木馬的隱藏技能提升幾個檔次。下半年數字加密貨幣安全形勢依然嚴峻,挖礦木馬的隱藏對抗或將更加激烈。
3.數字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元
除了勒索病毒造成的損失,盜竊行為也同樣可對數字加密貨幣持有者造成大量損失,從數字加密貨幣誕生初期,數字加密貨幣被盜的新聞就層出不窮。目前盜取數字加密貨幣的方式大致4種:入侵交易所,入侵個人用戶,“雙花攻擊”,漏洞攻擊。
3.1數字加密貨幣交易平台被攻擊
數字加密貨幣交易所被攻擊,僅2018年上半年就損失了約7億美元。
(1)2018年1月日本最大的數字加密貨幣交易所Coincheck被盜走價值5.34億美元的NEM(新經幣);
(2)2018年3月7日,Binance交易鎖被入侵,此次為大規則通過釣魚獲取用戶賬號並試圖盜幣事件;
(3)2018年4月13日,印度數字加密貨幣交易所CoinSecure被438枚比特幣,疑為內部人員監守自盜;
(4)2018年6月10日,韓國數字加密貨幣交易所Coinrail被攻擊,損失超過5000萬美元;
(5)2018年6月20,韓國數字加密貨幣交易所Bithumb被黑客攻擊,價值3000萬美元的數字加密貨幣被盜,這是Bithumb第三次被黑客攻擊了。
3.2個人賬號遭入侵
(1)通過植入病毒木馬竊取錢包文件
2018年2月騰訊電腦管家發現大量利用Office公式編輯器組件漏洞(CVE-2017-11882)的攻擊樣本,通過下載並運行已被公開源碼的Pony木馬,竊取用戶比特幣錢包文件等敏感信息。
2018年3月,一款基於剪切板劫持的盜幣木馬在國內出現,該木馬使用易語言編寫,通過激活工具、下載站到達用戶機器,木馬會監視用戶剪切板,一旦發現有錢包地址,則替換為木馬的錢包地址,木馬內置30多個錢包地址,且部分錢包已經有盜取記錄。
此外,騰訊禦見威脅情報中心分析發現,越來越多的病毒會嘗試劫持數字加密幣交易錢包地址,當受害者在中毒電腦上操作數字加密貨幣轉帳交易時,病毒會迅速將收款錢包地址替換為病毒指定的地址,病毒行為就如同現實中的劫匪。類似病毒在電腦網購普及時也曾經出現,病毒在交易完成的一瞬間,將受害者資金轉入自己指定的交易賬戶。
(2)內部盜取加密貨幣
2018年3月份,北京某互聯網攻擊員工利用職務便利,在公司服務器部署惡意代碼,盜取該公司100個比特幣,目前已經被依法逮捕,這是北京首例比特幣盜竊案。
3.3“雙花攻擊”
“雙花攻擊”是控制某數字加密貨幣網絡51%算力之後,對數字加密貨幣區塊鏈進行攻擊,可實現對已經交易完成的數據進行銷毀,並重新支付,這樣就可獲得雙倍服務。
2018年5月,BTG(比特黃金)交易鏈被黑客攻擊,黑客向交易所充值後迅速提幣,並銷毀提幣記錄,共轉走了38.8萬枚BTG,獲利1.2億人民幣。
3.4漏洞攻擊
2018年4月,BEC智能合約中被爆出數據溢出漏洞,攻擊者共盜取579億枚BEC幣,隨後SMT幣也被爆出類似漏洞。
四、安全建議
區塊鏈技術,仍是眾多互聯網公司乃至國有銀行系統重點研究的領域。區塊鏈的應用並不等同於數字虛擬貨幣,安全專家並不鼓勵人們炒幣,在此對炒幣行為不做贅述。
對於區塊鏈安全來講,從系統架構上,建議相關企業與專業區塊鏈安全研究組織合作,及時發現、修復系統漏洞,避免導致嚴重的大規模資金被盜事件發生;
