Fintech年终特惠
您正在使用IE低版浏览器,为了您的雷锋网账号安全和更好的产品体验,强烈建议使用更快更安全的浏览器
网络安全 正文
发私信给郭佳
发送

0

谁动了我的金矿:深扒黑产挖矿进阶之路

本文作者:郭佳 2018-01-29 11:46
导语:谨以此文让大家了解黑客对虚拟货币的攻击、牟利手法,并防患于未然。

雷锋网编者按:随着虚拟货币的兴起和增值,越来越多的人加入“矿工”行列,搞起了挖矿事业。1月23日,雷锋网曾就挖矿木马进行盘点,发文吃鸡、蹭网、看片片,揭秘 8 大奇葩挖矿木马敛财之道。有利益的地方就有黑产的存在,在代币这块大蛋糕上,黑产从业者是如何操作的,手法有哪些不同?近日,宅客频道对某安全公司发出特别约稿邀请,该公司网络安全研究人员就挖矿黑产进行了深入分析,为我们展示了黑产挖矿的进阶之路。

入侵服务器、网站

首先介绍一下黑客们入侵服务器、网站进行挖矿,方式如:弱口令爆破服务器、web渗透网站进行挖矿。 

现在,黑客们的思路已经不执着于在服务端挖矿的方式了,web 也成为了他们的攻击目标,黑客通过入侵网站在其web页面嵌入js代码,当你访问这个网页的时候,你就为黑客们干活了。

 如果哪一天你的 CPU 突然跑满了,你的电脑变得卡顿了,指不定就是你成了别人的矿工。

下图是访问挖门罗币的网站造成 CPU 急剧上升的情况。 

谁动了我的金矿:深扒黑产挖矿进阶之路

通过fofa查询语法:body="coinhive.com/lib/captcha.min.js",可以发现全网有挖矿脚本的网站。 

当然,现在的防护软件对挖矿的脚本进行了查杀,但是依旧有不少经过 js 变形的挖矿脚本未能识别出来,进一步收集到其特征即可发现其他受害的网站。

新蛋糕的沦陷-- IOT 设备挖矿篇

随着 BTC 的暴涨, 整个匿名数字货币水涨船高,其匿名,安全,无法追踪的特性, 给网络黑产滋生带来了春天, 从今年5月的 SambaCry 漏洞后,大量野外利用攻击 IoT 设备进行 CPU 算力货币挖掘 (XMR 门罗币 ),IoT 设备的数量优势,以及漏洞修复推送不及时等原因,让其成为挖矿黑产里的新贵。

2017年是中国物联网安全的元年, IoT 的安全问题频繁的被披露。3月份大华摄像头漏洞,4月份的思科路由器漏洞,6月份海康摄像头漏洞,再到TP-Link路由器命令注入漏洞、D-link dir系列路由器漏洞,直至 12 月的华为路由器 0day 漏洞造成的 Satori 僵尸网络。

谁动了我的金矿:深扒黑产挖矿进阶之路

从Mirai到 IoT_reaper 再到 IoT 挖矿,黑客对于 IoT的利用趋于成熟。而生产厂商对于安全的概念依旧模糊,抛开 IoT 设备碎片化、固件升级麻烦的问题,厂商的安全响应也是几近于无。

黑客只需要很简单的几个步骤就能控制一台 IoT 设备,比如:

1、弱口令、默认口令(一些设备简单的密码,或者使用厂商初始的密码导致黑客不费力的登录)

2、未验证授权问题(黑客可以未授权访问到后台的配置页面、管理页面。直接对路由器的流量进行了重定向。)

3、硬编码问题(一些重要的 key 泄露导致了设备沦陷)

4、一些 0day漏洞

一旦黑客控制了你的路由器就可以控制了你的出口流量,那么只需要重定向或者污染你的流量, 让你访问包含类似门罗币挖矿脚本的页面,即可让你成为矿工。

 另一种是直接控制路由器系统,你可以用qemu交叉编译你的挖矿脚本至于路由器中挖矿。

谁动了我的金矿:深扒黑产挖矿进阶之路

虽然路由器的算力不如一些服务器和矿机,但是基数较大,一旦控制的数量一多也是非常可怕的。
在fofa中我们可以看到,D-link850系列固件的路由器有102242条匹配结果。 

谁动了我的金矿:深扒黑产挖矿进阶之路

进阶的黑客--docker 挖矿篇

大数据、云、人工智能……互联网新时代的产物,让人们的生活变得不可思议。

然而安全技术的发展肯定在其他互联网技术之后,先有了某项产品,再有这款产品的漏洞。

docker 的发明给让大数据的发展如虎添翼,于是容器集群管理平台也应运而生。

(docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。)

 当前主流的容器集群管理技术,包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。

但是由于开发兄弟们的安全意识不够,错误的配置导致了很多未授权访问漏洞的产生。
利用fofa给出Mesos的查询规则,body="ng-app=\"mesos\""||body="/static/css/mesos.css"

谁动了我的金矿:深扒黑产挖矿进阶之路

可以看到全网有471条记录,其中存在未授权访问的约20%。一个容器集群平台控制的容器数量庞大,用来挖矿那是再好不过了~:) 于是对三种主流的容器进行验证并完成poc如下:

谁动了我的金矿:深扒黑产挖矿进阶之路

 以Mesos为例,根据官方文档,Mesos master 默认监听 5050 端口。 比较有用的一个 API 是 /flags,可以查看系统的配置情况,包括是否开启权限认证。

谁动了我的金矿:深扒黑产挖矿进阶之路Mesos从1.2 版开始才有了 exec 进入容器的功能,我们可以安装一个命令工具连接容器从而控制容器。

谁动了我的金矿:深扒黑产挖矿进阶之路

docker容器是用原生的go语言编写的,于是我们在github上可以找到许多成型的挖矿脚本:https://github.com/derekchiang/Mesos-Bitcoin-Miner/ 只需简单的配置和编译就可以进行挖矿。

必杀技--矿机挖矿篇

黑客当真就这么厉害么?当然不止,随着代币价格的提升,越来越多的挖矿设备--矿机被生产。

黑客可以分析矿机漏洞、弱口令控制在互联网上其他矿民的矿机进行挖矿。

目前在互联上未被披露,在fofa上检索的语法,如蚂蚁矿机:app="antminer",在fofa有6778个结果 。

谁动了我的金矿:深扒黑产挖矿进阶之路

我们在选取一台存在漏洞的矿机查看,可以看到用户的钱包地址,密码都可以看到。 

谁动了我的金矿:深扒黑产挖矿进阶之路

黑客可以将别人的钱包地址改为自己的,然后... 至此,FOFA 对市面上流行矿机品牌型号进行整理如下:

烤猫USB矿机 、Avalon3模组 、比特币提取卡(0.05btc) 、Avalon2模组 、比特花园刀片矿机 、Avalon4模组 、比特币杂志 、烤猫USB矿机(50个USB送专用HUB) 、Bitfury单板矿机36GH/s团购 、烤猫BOX现货 、Avalon4模组 、新比特币提取卡(0.05btc) 、Avalon2代芯片 、比特花园刀片 、Avalon1代芯片 、贝壳250G矿机 、阿杰200G 、Avalon 3模 、蚂蚁矿机 、Avalon1代USB 、彩贝蚂蚁机箱 、多彩USB矿 、Avalon2 单模组 、iMiner USB 、多彩USB 、龙矿T级 、阿杰T级 、多彩USB控制器 、Avalon2-2U整机 、阿杰2代 、Avalon三代芯片 、彩贝T机 、Gridseed矿机 、阿杰avalon3代 、龙矿莱特币矿机 、Avalon3 1.2T套装 、蚂蚁S2 、Avalon3 整机 、井天莱特币矿机 、小强USB矿机 、银鱼莱特币矿机 、花园AM1.2T套装 、小强Rocket Box 、小强矿机R3 、小强比特币矿机 、宙斯莱特币矿机 、宙斯芯片 、U盘莱特币矿机 、蚂蚁电源开关 、蚂蚁S3++ 、银鱼51ASIC版 、龙矿1.5T 、烤猫原厂管子 、Avalon usb 矿机 、烤猫棱镜1.4T 、蚂蚁S4 、Avalon4.1单模组 、蚂蚁C1 、蚂蚁S5 、Avalon4 28nm 样片A3222 、蚂蚁矿机U3 、蚂蚁电源APW3 1600W 、AvalonMiner 6.0 、Dr Series Ver2达世币矿机 、蒙自石榴 、Baikal X11 Mini 、Baikal X11 900M 、Dr3 达世币矿机 、显卡挖矿机 、翼比特 E9矿机 、iBeLink 10.8G X11矿机 、Dr100 达世币矿机。

并提取部分查询规则。

纵观黑客们对挖矿产业的技术迭代如下:

谁动了我的金矿:深扒黑产挖矿进阶之路

攻防永远不对称,黑客永远在最前沿的战场牟利,谨以此文让朋友们了解黑客对虚拟货币的攻击、牟利手法,并防患于未然。

此文为雷锋网(公众号:雷锋网)特别约稿,未经同意请勿转载。

雷锋网特约稿件,未经授权禁止转载。详情见转载须知

谁动了我的金矿:深扒黑产挖矿进阶之路
分享:

文章点评:

表情
最新文章
为了您的账户安全,请验证邮箱
您的邮箱还未验证,完成可获20积分哟!
请验证您的邮箱
立即验证
完善账号信息
您的账号已经绑定,现在您可以设置密码以方便用邮箱登录
立即设置 以后再说
请填写申请人资料
姓名
电话
邮箱
微信号
作品链接
个人简介