雷鋒網編者按:隨著虛擬貨幣的興起和增值,越來越多的人加入 " 礦工 " 行列,搞起瞭挖礦事業。1 月 23 日,雷鋒網曾就挖礦木馬進行盤點,發文吃雞、蹭網、看片片,揭秘 8 大奇葩挖礦木馬斂財之道。有利益的地方就有黑產的存在,在代幣這塊大蛋糕上,黑產從業者是如何操作的,手法有哪些不同?近日,宅客頻道對某安全公司發出特別約稿邀請,該公司網絡安全研究人員就挖礦黑產進行瞭深入分析,為我們展示瞭黑產挖礦的進階之路。
入侵服務器、網站
首先介紹一下黑客們入侵服務器、網站進行挖礦,方式如:弱口令爆破服務器、web 滲透網站進行挖礦。
現在,黑客們的思路已經不執著於在服務端挖礦的方式瞭,web 也成為瞭他們的攻擊目標,黑客通過入侵網站在其 web 頁面嵌入 js 代碼,當你訪問這個網頁的時候,你就為黑客們幹活瞭。
如果哪一天你的 CPU 突然跑滿瞭,你的電腦變得卡頓瞭,指不定就是你成瞭別人的礦工。
下圖是訪問挖門羅幣的網站造成 CPU 急劇上升的情況。
通過 fofa 查詢語法:body="coinhive.com/lib/captcha.min.js",可以發現全網有挖礦腳本的網站。
當然,現在的防護軟件對挖礦的腳本進行瞭查殺,但是依舊有不少經過 js 變形的挖礦腳本未能識別出來,進一步收集到其特征即可發現其他受害的網站。
新蛋糕的淪陷 -- IOT 設備挖礦篇
隨著 BTC 的暴漲, 整個匿名數字貨幣水漲船高,其匿名,安全,無法追蹤的特性, 給網絡黑產滋生帶來瞭春天, 從今年 5 月的 SambaCry 漏洞後,大量野外利用攻擊 IoT 設備進行 CPU 算力貨幣挖掘 ( XMR 門羅幣 ) ,IoT 設備的數量優勢 , 以及漏洞修復推送不及時等原因,讓其成為挖礦黑產裡的新貴。
2017 年是中國物聯網安全的元年, IoT 的安全問題頻繁的被披露。3 月份大華攝像頭漏洞,4 月份的思科路由器漏洞,6 月份海康攝像頭漏洞,再到 TP-Link 路由器命令註入漏洞、D-link dir 系列路由器漏洞,直至 12 月的華為路由器 0day 漏洞造成的 Satori 僵屍網絡。
從 Mirai 到 IoT_reaper 再到 IoT 挖礦,黑客對於 IoT 的利用趨於成熟。而生產廠商對於安全的概念依舊模糊,拋開 IoT 設備碎片化、固件升級麻煩的問題,廠商的安全響應也是幾近於無。
黑客隻需要很簡單的幾個步驟就能控制一臺 IoT 設備,比如:
1、弱口令、默認口令(一些設備簡單的密碼,或者使用廠商初始的密碼導致黑客不費力的登錄)
2、未驗證授權問題(黑客可以未授權訪問到後臺的配置頁面、管理頁面。直接對路由器的流量進行瞭重定向。)
3、硬編碼問題(一些重要的 key 泄露導致瞭設備淪陷)
4、一些 0day 漏洞
一旦黑客控制瞭你的路由器就可以控制瞭你的出口流量,那麼隻需要重定向或者污染你的流量, 讓你訪問包含類似門羅幣挖礦腳本的頁面,即可讓你成為礦工。
另一種是直接控制路由器系統,你可以用 qemu 交叉編譯你的挖礦腳本至於路由器中挖礦。
雖然路由器的算力不如一些服務器和礦機,但是基數較大,一旦控制的數量一多也是非常可怕的。
在 fofa 中我們可以看到,D-link850 系列固件的路由器有 102242 條匹配結果。
進階的黑客 --docker 挖礦篇
大數據、雲、人工智能……互聯網新時代的產物,讓人們的生活變得不可思議。
然而安全技術的發展肯定在其他互聯網技術之後,先有瞭某項產品,再有這款產品的漏洞。
docker 的發明給讓大數據的發展如虎添翼,於是容器集群管理平臺也應運而生。
(docker 是一個開源的應用容器引擎,讓開發者可以打包他們的應用以及依賴包到一個可移植的容器中,然後發佈到任何流行的 Linux 機器上,也可以實現虛擬化。)
當前主流的容器集群管理技術,包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。
但是由於開發兄弟們的安全意識不夠,錯誤的配置導致瞭很多未授權訪問漏洞的產生。
利用 fofa 給出 Mesos 的查詢規則,body="ng-app="mesos""||body="/static/css/mesos.css"
可以看到全網有 471 條記錄,其中存在未授權訪問的約 20%。一個容器集群平臺控制的容器數量龐大,用來挖礦那是再好不過瞭 ~:) 於是對三種主流的容器進行驗證並完成 poc 如下:
以 Mesos 為例,根據官方文檔,Mesos master 默認監聽 5050 端口。 比較有用的一個 API 是 /flags,可以查看系統的配置情況,包括是否開啟權限認證。
Mesos 從 1.2 版開始才有瞭 exec 進入容器的功能,我們可以安裝一個命令工具連接容器從而控制容器。
docker 容器是用原生的 go 語言編寫的,於是我們在 github 上可以找到許多成型的挖礦腳本:https://github.com/derekchiang/Mesos-Bitcoin-Miner/ 隻需簡單的配置和編譯就可以進行挖礦。
必殺技 -- 礦機挖礦篇
黑客當真就這麼厲害麼?當然不止,隨著代幣價格的提升,越來越多的挖礦設備 -- 礦機被生產。
黑客可以分析礦機漏洞、弱口令控制在互聯網上其他礦民的礦機進行挖礦。
目前在互聯上未被披露,在 fofa 上檢索的語法,如螞蟻礦機:app="antminer",在 fofa 有 6778 個結果 。
我們在選取一臺存在漏洞的礦機查看,可以看到用戶的錢包地址,密碼都可以看到。
黑客可以將別人的錢包地址改為自己的,然後 ... 至此,FOFA 對市面上流行礦機品牌型號進行整理如下:
烤貓 USB 礦機 、Avalon3 模組 、比特幣提取卡(0.05btc) 、Avalon2 模組 、比特花園刀片礦機 、Avalon4 模組 、比特幣雜志 、烤貓 USB 礦機 ( 50 個 USB 送專用 HUB ) 、Bitfury 單板礦機 36GH/s 團購 、烤貓 BOX 現貨 、Avalon4 模組 、新比特幣提取卡(0.05btc) 、Avalon2 代芯片 、比特花園刀片 、Avalon1 代芯片 、貝殼 250G 礦機 、阿傑 200G 、Avalon 3 模 、螞蟻礦機 、Avalon1 代 USB 、彩貝螞蟻機箱 、多彩 USB 礦 、Avalon2 單模組 、iMiner USB 、多彩 USB 、龍礦 T 級 、阿傑 T 級 、多彩 USB 控制器 、Avalon2-2U 整機 、阿傑 2 代 、Avalon 三代芯片 、彩貝 T 機 、Gridseed 礦機 、阿傑 avalon3 代 、龍礦萊特幣礦機 、Avalon3 1.2T 套裝 、螞蟻 S2 、Avalon3 整機 、井天萊特幣礦機 、小強 USB 礦機 、銀魚萊特幣礦機 、花園 AM1.2T 套裝 、小強 Rocket Box 、小強礦機 R3 、小強比特幣礦機 、宙斯萊特幣礦機 、宙斯芯片 、U 盤萊特幣礦機 、螞蟻電源開關 、螞蟻 S3++ 、銀魚 51ASIC 版 、龍礦 1.5T 、烤貓原廠管子 、Avalon usb 礦機 、烤貓棱鏡 1.4T 、螞蟻 S4 、Avalon4.1 單模組 、螞蟻 C1 、螞蟻 S5 、Avalon4 28nm 樣片 A3222 、螞蟻礦機 U3 、螞蟻電源 APW3 1600W 、AvalonMiner 6.0 、Dr Series Ver2 達世幣礦機 、蒙自石榴 、Baikal X11 Mini 、Baikal X11 900M 、Dr3 達世幣礦機 、顯卡挖礦機 、翼比特 E9 礦機 、iBeLink 10.8G X11 礦機 、Dr100 達世幣礦機。
並提取部分查詢規則。
縱觀黑客們對挖礦產業的技術迭代如下:
攻防永遠不對稱,黑客永遠在最前沿的戰場牟利,謹以此文讓朋友們瞭解黑客對虛擬貨幣的攻擊、牟利手法,並防患於未然。
此文為雷鋒網特別約稿,未經同意請勿轉載。
