首頁 > 關于我們 > 新聞動態 > 公司新聞

啟明星辰態勢感知系統助力某政務網發現挖礦事件

發布時間 2018-06-07

如果說勒索病毒是暴露在大眾視野中的“惡魔”,那么挖礦木馬就是潛藏在陰暗之處的“寄生蟲”。在2017年這個安全事件頻發的年份,除了受到全世界關注的“WannaCry”勒索病毒的出現之外,一大波挖礦木馬也悄然崛起。不同于勒索病毒的明目張膽,挖礦木馬隱蔽在幾乎所有安全性脆弱的角落中,悄悄消耗著計算機的資源。由于其隱蔽性極強,大多數PC用戶和服務器管理員難以發現挖礦木馬的存在,這也導致挖礦木馬數量的持續上漲。


挖礦木馬主要依靠僵尸網絡和網頁挖礦兩種手段進行斂財,僵尸網絡是黑客通過入侵其他計算機植入挖礦木馬,并通過繼續入侵更多計算機,從而建立起龐大的傀儡計算機網絡一起“挖礦”。只要用戶計算機淪為“挖礦苦力”,就會導致計算機使用率飆升,出現卡頓、死機等現象,嚴重影響用戶計算機的正常使用,甚至影響用戶正常的業務系統運行。


近日,啟明星辰泰合北斗安全團隊依托啟明星辰泰合網絡安全態勢感知平臺在某客戶使用過程中便發現一起利用用戶服務器大規模挖礦的安全事件,為用戶解決了長期困擾其業務系統的問題。事件處理的具體流程如下(詳細可參看技術篇):



通過整個事件的梳理,我們總結經驗發現,企業可以從以下幾個方面入手,來應對和防范這類挖礦惡意行為的入侵:


1. 注重資產漏洞掃描和配置弱點核查


有條件的用戶,可以在新資產和新業務上線之前,進行全面的漏洞掃描和配置弱點核查。啟明星辰幫助用戶處理過大量惡意挖礦事件,在對事件的復盤分析中我們發現,很多挖礦木馬并沒有使用很多高級的防查殺技術,也沒有廣泛傳播的蠕蟲屬性,其傳播主要是通過暴露在公網的漏洞和配置弱點,不少中招的礦機主要是因為企業不夠重視正視網絡安全的重要性,沒有及時對系統以及應用打補丁,管理人員的安全意識不足,在上線前沒有做好完善的安全加固工作,導致被挖礦木馬趁虛而入。啟明星辰泰合態勢感知的漏洞感知不僅能調用漏掃設備進行全面漏洞掃描,也具備配置弱點的核查能力,能夠全面感知資產和業務系統的漏洞態勢,幫助用戶及時修補弱點,減少暴露在外的攻擊面,有效防范挖礦木馬入侵。


2. 建立完善的資產庫,并對資產和業務系統進行有效的持續監控


感染了挖礦木馬的服務器通常會導致CPU使用率飆升,某些具備隱藏能力的挖礦木馬可以在管理員登錄后釋放CPU隱藏自身行為,啟明星辰泰合態勢感知的運行態勢可以幫助管理員對業務系統進行全方位細粒度的監控,通過建立有效的運行監控系統,幫助管理員識別礦機并進行處理。


3. 通過建立針對事件和流量的關聯分析策略,設置安全策略基線


啟明星辰泰合態勢感知具有事件分析和流分析能力,通過強大的關聯分析引擎,幫助用戶建立安全策略基線,就能夠挖出隱藏的惡意挖礦行為,并進行及時處理。


4. 建立有效的應急響應手段


在內網爆發了惡意挖礦事件后,需要安全運維人員及時有效的響應,啟明星辰泰合態勢感知提供了整套線上處理工作流和應急響應預案庫供管理員調用,完成安全運維的有效閉環。


技 術 篇

某政務網發現挖礦事件經過


1. 發現可疑事件


某政務網用戶在上線態勢感知平臺后,平臺對接了大量用戶現網的安全設備日志,并派駐了安全分析人員對用戶的現網進行分析,其中,北斗安全分析員在對態勢感知平臺采集到的某些日志樣本進行分析時,發現其中存在短時間內觸發大量可疑的嘗試連接礦池的請求:


(1)通過對態勢感知平臺的接入日志進行安全數據分析,發現內網存在大量嘗試連接礦池的行為報警。利用態勢感知平臺的日志分析能力,將近期的所有告警事件進行過濾。并對過濾出的告警事件進行基于目的地址的統計分析,發現可疑連接中目的地址最多的設備是一個內網地址設備,如下圖所示:




(2)繼續針對該可疑設備進行分析,通過利用態勢感知平臺的事件鉆取功能,繼續針對該目的地址做基于源地址的統計,發現有大量內網地址對其發起了可疑的連接請求,見下圖的分析餅圖:




(3)繼續通過鉆取功能統計這臺可疑設備的訪問目的地址,發現絕大部分可疑連接指向了同一個外網IP,即222.187.232.238。




(4)分析人員通過平臺的威脅情報溯源能力對可疑IP:222.187.232.238進行溯源,發現這是一個已經標注的礦池地址。




(5)通過繼續分析態勢感知平臺采集到的日志詳細信息,發現數據包中包含攻擊者錢包地址等信息。




(6)通過分析其錢包地址,獲取到其錢包詳細信息,至此確定這是一起利用客戶機進行門羅幣挖礦的惡意行為。




(7)在平臺上針對惡意挖礦事件的日志進行一周內的基于源IP地址的統計分析,獲取到信息如下,所有IP均為高度懷疑的被感染挖礦機。




(8)再通過平臺的可視化分析手段-視網膜統計分析功能對源地址與目的地址連接關系進行統計。




由此判斷該機器為這起惡意挖礦事件的跳板機,局域網內其他被感染設備通過這臺設備連接到礦池,至此,分析人員對統計結果進行了導出,形成可疑礦機的地址列表提交給了用戶,接下來,分析人員針對其中的兩臺機器做了詳細分析排查。


2. 驗證排查


對可疑的Linux礦機進行排查


(1)在查看其設備進程時發現一個名為kheiper的進程異常占用CPU。




(2)針對進程查詢此歷史命令,發現在該機器部署上線之初就已經有腳本執行命令, 分析人員使用態勢感知平臺的配置核查對機器進行核查掃描,發現該機器存在大量弱口令等弱點,導致部署上線后迅速被攻破。




(3)繼續對可疑進程進行分析后,在/usr/bin目錄下發現挖礦程序kherper.sh,程序文件里面包含攻擊者礦池地址以及攻擊者錢包地址。確認這是一臺已被感染的挖礦機。




對可疑Windows礦機進行排查


(1)在排查windows設備時,發現當打開任務管理器后,CPU利用率下降為正常水平,但關閉任務管理器后,CPU利用率迅速上升,因此難以通過正常手段找出可疑進程。因此建議用戶利用CSA的監控能力對該設備進行監控,通過運行態勢的監控功能,成功發現其中有一個進程占用比例非常高,并且向外網大量發送45700端口的連接請求。




(2)針對這個可疑進程進行深入分析發現java目錄下有一個隱藏文件夾(SmartMiner),其中包含挖礦程序執行程序(xmrig.exe)。并在配置文件(config.json)中發現礦池地址。至此確認為已感染礦機。




3.結論

 

在確認了挖礦程序樣本后,繼續通過對以上線索的追蹤,發現大量源地址通過內網跳板機對目的地址(222.187.232.9等多個IP)進行礦池連接請求行為,已經確認被植入挖礦程序。分析人員將挖礦事件的應急處理解決方案加入態勢感知平臺案例庫中,并通過預警和工單模塊向相關人員發起了處置流程,幫助用戶對其余設備進行詳細排查并清理挖礦程序成功幫助用戶解決問題。


通過對整個事件我們發現,被感染機器存在多種漏洞和核查弱點,如tomcat框架版本過低,存在注入可能,系統存在弱口令弱點等等,因此,我們也建議用戶在系統上線之前進行全面的漏洞掃描和配置核查掃描,完成系統加固工作,提高安全意識,采用技術手段持續監控和分析內網的安全態勢,并建立完善的應急響應處置流程應對安全事件。

上一篇 下一篇