2018上半年,各種關于區塊鏈的行業資訊、投融資創業、技術和應用探索等集中爆發,成為創業與資本共同追逐的風口。然而,伴隨著區塊鏈技術的不斷發展,區塊鏈領域本身的安全問題逐漸凸顯,與之相關的問題不斷顯現。
區塊鏈安全事件頻發,涉案案值過億屢見不鮮;
盜竊、勒索病毒、挖礦木馬發展成為數字加密貨幣三大安全威脅;
全球范圍內因區塊鏈安全事件損失的金額仍在攀升……
8 月 2 日,騰訊安全聯合知道創宇發布《2018上半年區塊鏈安全報告》,結合知道創宇、騰訊安全聯合實驗室、騰訊云、騰訊電腦管家等提供的大數據,揭秘區塊鏈安全三大根源性問題,并針對如何防御區塊鏈安全風險,建立網絡安全生態提出思路。
區塊鏈安全三大根源問題
基于區塊鏈加密數字貨幣引發的安全問題來源于區塊鏈自身機制安全、生態安全和使用者安全三個方面。
理論上存在的 51% 攻擊已成現實,同時智能合約安全事件、交易延展性攻擊、垃圾交易攻擊等愈加嚴重;交易所、礦池、網站面臨的被盜、被挖礦等常規安全風險;個人管理的賬號和錢包被盜問題等,都亟待解決。
區塊鏈數字貨幣“熱”背后的三大網絡安全威脅
①數字貨幣勒索事件頻發,基礎設施成勒索病毒攻擊重點目標
勒索病毒是 2018 年上半年危害互聯網最嚴重的病毒之一,勒索病毒加密受害者電腦系統,并要求受害者向某些指定的比特幣錢包轉帳,其危害范圍日益擴大,影響到事關國計民生的各個行業。
②挖礦木馬“異軍突起”,成幣圈價值“風向標”
由于挖礦病毒的控制者可以直接通過出售挖到的數字虛擬貨幣牟利,挖礦病毒的影響力空前高漲,成為 2018 年傳播最廣的網絡病毒,且挖礦熱度往往與幣種價格成正比。
值得注意的是,傳統的挖礦方式,如比特幣一般采用顯卡GPU挖礦,黑客難以利用,更多的場景為勒索加密;而自從采用 CryptoNight 算法的如門羅幣等新幣種的出現,挖礦方式有所變化,不再依賴于GPU挖礦,CPU挖礦也成為了可能,于是黑客在入侵了個人 PC 和云主機之后更多會選擇消耗機器 CPU 資源挖礦來直接獲得利益。
根據騰訊安全云鼎實驗室統計,存在通用安全漏洞如永恒之藍的機器成為主要的入侵目標,黑客通常采用批量掃描通用安全問題并入侵植入挖礦程序的方式進行惡意挖礦。一些傳統企業、政府機構等行業的機器被入侵挖礦現象尤為顯著,主要原因是這些行業的云主機由于部分維護人員缺乏安全意識,容易存在漏洞,甚至長期不登錄云主機,更是變相給黑客提供了長期礦機,這些存在安全問題的云主機也是云上挖礦等惡意行為肆意繁衍的溫床。
③數字劫匪“鋌而走險”攻擊交易所,半年獲利約 7 億美元
盜竊行為也同樣可對數字加密貨幣持有者造成大量損失,目前盜取數字加密貨幣大致有入侵交易所、入侵個人用戶、“雙花攻擊”、漏洞攻擊這 4 種,數字加密貨幣交易所被攻擊僅 2018 年上半年就損失了約 7 億美元。
以下為報告原文目錄及全文
原文地址:https://slab.qq.com/news/authority/1754.html
目錄
序言
一、區塊鏈安全事件頻發,案值過億屢見不鮮
1.數字加密貨幣撐起6000億美元的市值
2.區塊鏈安全事件爆發率逐年增加,案值增大
二、區塊鏈安全威脅分類
1.引發區塊鏈數字加密貨幣三大安全問題
2.區塊鏈數字加密貨幣安全事件詳解
2.1因比特幣自身機制而出現的安全事件
2.2因區塊鏈生態系統原因導致的安全事件
2.3區塊鏈使用者面臨的風險
三、區塊鏈數字貨幣“熱”背后的三大網絡安全威脅
1.數字貨幣勒索事件頻發,基礎設施成勒索病毒攻擊重點目標
1.1上半年勒索病毒攻擊特征與三大勒索病毒家族
1.2下半年勒索病毒的傳播趨勢
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
2.1上半年挖礦木馬樣本分析與傳播特征
2.2下半年挖礦木馬的傳播趨勢
3.數字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元
3.1數字加密貨幣交易平臺被攻擊
3.2個人賬號遭入侵
3.3“雙花攻擊”
3.4漏洞攻擊
四、安全建議
序言
2018年,是公認的區塊鏈大年。與區塊鏈有關的討論不僅遍存在于中關村的創業咖啡,更是存在于街頭巷尾、地鐵公交、微博微信,幾乎無處不在。然而,伴隨著區塊鏈技術的不斷發展,區塊鏈領域本身的安全問題逐漸凸顯,與區塊鏈相關的詐騙、傳銷等社會化安全問題日益突出。
隨著區塊鏈的經濟價值不斷升高,促使不法分子利用各種攻擊手段獲取更多敏感數據,“盜竊”、“勒索”、“挖礦”等,借著區塊鏈概念和技術,使區塊鏈安全形勢變得更加復雜。據網絡安全公司Carbon Black的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜,且在全球范圍內因區塊鏈安全事件損失金額還在不斷攀升。
為了護航區塊鏈產業健康發展,6月21日“中國區塊鏈安全高峰論壇”上,中國技術市場協會、騰訊安全、知道創宇、中國區塊鏈應用研究中心等政府指導單位、網絡安全企業、區塊鏈相關機構及媒體等二十余家機構、單位聯合發起“中國區塊鏈安全聯盟”,聯盟成立后著手建立區塊鏈生態良性發展長效機制,著重打擊一切假借區塊鏈名義進行變相傳銷、詐騙等斂財行為。
區塊鏈安全正受到越來越多的關注,除了廣大用戶特別關心的會不會踩雷“空氣幣”,騰訊安全聯合實驗室的關注點還在于圍繞區塊鏈,存在哪些安全風險,以及面對風險怎樣才能避免出現重大損失。基于此,騰訊安全聯合實驗室聯合知道創宇,梳理了2018年上半年圍繞區塊鏈爆發的典型安全事件,并給出防御措施,希望盡可能幫助用戶避開區塊鏈的“雷區”。
一、區塊鏈安全事件頻發,案值過億屢見不鮮
1.數字加密貨幣撐起6000億美元的市值
數字加密貨幣,是按照一定的數學算法,計算出來的一串符號。信仰者認為這串符號,代表一定的價值,可以像貨幣一樣使用。因為其僅存在于計算機中,人們常稱之為“數字加密貨幣”。
不同于由政府發行、并以政府信用做擔保,用于商品流通交換的媒介——法幣。數字加密貨幣,是由某個人或某個組織發行,通過一定算法,找到一串符號,然后宣稱其是“XX幣”。世界上首個數字加密貨幣由日本人中本聰發現,被他稱作比特幣。在比特幣成功取得黑市交易硬通貨的地位之后,引發了數字加密貨幣發行狂潮。至今,全球出現過的數字加密貨幣已超過1600種,是地球上國家總數的8倍多。
這1600多種數字虛擬幣中,存在大量空氣幣,被認為一文不值。但這1600多種數字虛擬幣,在高峰時期,卻撐起了6000億美元的市值。排名前十的加密數字貨幣,占總市場的90%,其中比特幣、以太坊幣分別占總市值的46.66%和20.12%。
關于ICO
一家上市公司發行股票,需要向證券交易場所提交IPO申請,當一種虛擬數字貨幣需要上市發行時,會尋求數字虛擬幣交易所申請ICO。ICO機構并不像IPO機構那樣由各國政府機構依法建立,有強大的財經、政治實力做保障,ICO組織均為民間自發形成的組織或聯盟,類似自由市場。部分ICO機構的實際表現,實際上更接近于跨國詐騙組織。空氣幣在全球范圍內滿天飛,群雄四起的ICO機構功不可沒。
2.區塊鏈安全事件爆發率逐年增加,案值增大
加密數字貨幣一經誕生,安全性就是人們關注的焦點,遺憾的是各類重大安全事件層出不窮。就比如下面這些驚人的案例:
2013年11月,澳大利亞廣播公司報道,當地一位18歲的青年稱,自己運營的比特幣銀行被盜,損失4100個比特幣;
2014年3月,美國數字貨幣交易所Poloniex被盜,損失12.3%的比特幣;
2014年Mt.gox盜幣案——85萬枚,價值120億美元;
2015年1月,Bitstamp交易所盜幣案——1.9萬枚比特幣,當時價值510萬美元;
2015年2月,黑客利用比特兒從冷錢包填充熱錢包的瞬間,將比特兒交易平臺冷錢包中的所有比特幣盜走,總額為7170個比特幣,價值1億美元;
2016年1月1日,Cryptsy交易平臺失竊1.3萬比特幣,價值1.9億美元;
2016年8月1日,全球知名比特幣交易平臺Bitfinex盜幣案——約12萬枚,價值18億美元;
2017年3月1日,韓國比特幣交易所yapizon被盜3831枚比特幣,相當于該平臺總資產的37%,價值5700萬美元;
2017年6月1日,韓國數字資產交易平臺Bithumb被黑客入侵,受損賬戶損失數十億韓元;
2017年7月1日,BTC-e交易所盜幣案——6.6萬枚,價值9.9億美元;
2017年11月22日Tether宣布被黑客入侵,價值3100萬美元的比特幣被盜;
2017年11月23日,Bitfinex發生擠兌3萬比特幣瞬間被提走;
據美國財經網站CNBC報道,網絡安全公司Carbon Black的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜。
二、區塊鏈安全威脅分類
1.引發區塊鏈數字加密貨幣三大安全問題
與數字加密貨幣有關的安全事件為何影響如此嚴重呢?產生安全風險的原因在哪兒?騰訊聯合安全實驗室和知道創宇公司認為:基于區塊鏈加密數字貨幣引發的安全問題來源于區塊鏈自身機制安全、生態安全和使用者安全三個方面。
上述三方面原因造成的經濟損失分別是12.5億、14.2億和0.56億美元。
總的趨勢是,隨著數字虛擬貨幣參與者的增加,各種原因導致的安全事件也顯著增加。
細分來觀察:
區塊鏈自身機制安全問題
?——智能合約的問題
——理論上存在的51%攻擊已成現實
區塊鏈生態安全問題
——交易所被盜(如前所述、觸目驚心)
——交易所、礦池、網站被DDoS
——錢包、礦池面臨DNS劫持風險(劫持數字虛擬幣交易錢包地址的病毒已層出不窮)
——交易所被釣魚、內鬼、錢包被盜、各種信息泄露、賬號被盜等
使用者安全問題
——個人管理的賬號和錢包被盜
——被欺詐、被釣魚、私鑰管理不善,遭遇病毒木馬等。
2.區塊鏈數字加密貨幣安全事件詳解
2.1因比特幣自身機制而出現的安全事件
2018年5月,比特幣黃金(BTG)遭遇51%雙花攻擊,損失1860萬美元。
2017年10月,比特幣網絡遭遇垃圾交易攻擊,導致10%以上的比特幣節點下線。
51%雙花攻擊最為典型,所謂51%攻擊就是有人掌握了全網51%以上的算力之后,就可以像賽跑一樣,搶先完成一個更長的、偽造交易的鏈。比特幣只認最長的鏈。所以偽造的交易也會得到所有節點的認可,假的也隨之變成真的了;“雙花”(Double Spending)從字面上看,就是一筆錢被花出去了兩次。以BTG事件為例,就是黑客臨時控制了區塊鏈之后,不斷地在交易所發起交易和撤銷交易,將一定數量的BTG在多個錢包地址間來回轉,一筆“錢”被花了多次,黑客的地址因此能得到額外的比特幣。
2.2因區塊鏈生態系統原因導致的安全事件
比如交易所面臨的風險,被DDoS攻擊的事件常有發生。還有交易所賬戶被黑客控制,攻擊者控制交易行情,場外套利。
2018年3月,號稱世界第二大交易所的“幣安”被黑客攻擊,大量用戶發現自己賬戶被盜。黑客將被盜賬戶中所持有的比特幣全部賣出,高價買入VIA(維爾幣),致比特幣大跌,VIA暴漲110倍。
2.3區塊鏈使用者面臨的風險
數字虛擬幣錢包,要理解或完全掌握這些交易工具的使用有較高的門檻,要求使用者對計算機、對加密原理、對網絡安全均有較高的認知。然而,許多數字虛擬幣交易參與者并不具有這些能力,非常容易出現安全問題。
2017年7月1日,中原油田某小區居民188.31個比特幣被盜。油田警方幾個月后將位于上海的竊賊戴某抓獲,價值280萬美元;
2017年10月,東莞一名imToken用戶發現100多個ETH(以太坊幣)被盜,最終確認是身邊的朋友盜取他的數字加密貨幣。
三、區塊鏈數字貨幣“熱”背后的三大網絡安全威脅
1.數字貨幣勒索事件頻發,基礎設施成勒索病毒攻擊重點目標
勒索病毒是2018年上半年危害互聯網最嚴重的病毒之一。勒索病毒加密受害者電腦系統,并要求受害者向某些指定的比特幣錢包轉帳,其危害范圍日益擴大,影響到事關國計民生的各個行業。
1.1上半年勒索病毒攻擊特征與三大勒索病毒家族
從受攻擊行業分布上看,傳統工業、互聯網行業、教育行業和政府機構是受勒索病毒攻擊的重災區,醫療行業緊隨其后。醫療由于其行業特殊性,一旦遭受到病毒攻擊導致業務停擺,后果將不堪設想。
觀察2018上半年勒索病毒攻擊系統占比可知,Windows Server版本系統受攻擊次數占比大于普通家用、辦公系統。Windows Server版本系統中Windows Server 2008版本系統受勒索病毒攻擊占比最大,造成該現象的主要原因為企業服務器數據價值一般情況下要遠遠高于普通用戶,中招后更加傾向于繳納勒索贖金,這一特性進一步刺激了攻擊者有針對性地對服務器系統的設備實施攻擊行為。
2018上半年以GlobeImposter,Crysis,GandCrab為首的3大勒索家族展開的攻擊活動占據了網絡勒索事件的絕大部分。此外,Satan家族在2018上半年時段展開的攻擊也有明顯上升,其它老牌家族依然有不同程度的活躍。
Top1:GlobeImposter勒索病毒家族
2018年2月,春節過后不久,包括醫療行業在內的多家國內公共機構的服務器就遭到最新的GlobeImposter家族勒索病毒變種的攻擊,黑客在突破企業防護邊界后釋放并運行勒索病毒,加密破壞數據庫文件,最終導致系統被破壞,正常工作秩序受影響。
該勒索病毒變種將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,并通過郵件來告知受害者付款方式,使其獲利更加容易方便。
Top2:Crysis勒索病毒家族
Crysis家族最早可以追溯到2016年3月,進入2017年后開始針對windows服務器發起持續攻擊。Crysis勒索病毒家族的攻擊模式主要為黑客通過爆破遠程登錄后,手動傳播勒索病毒并執行。
Crysis勒索病毒在2017年5月萬能密鑰被公布之后,消失了一段時間,但在2018上半年中新的變種依然比較活躍。Crysis家族變種也有多種,較為流行的加密后綴多為.arena、.arrow等,并且附加上的后綴中還會帶有受害者id和勒索者聯系郵箱,如1.txt.id-EE5106A8.[decrypthelp@qq.com].arrow。贖金金額需要受害者自行聯系黑客方可獲知。
Top3:GandCrab勒索病毒家族
GandCrab勒索病毒家族堪稱2018年勒索病毒界的“新星”,自1月騰訊御見威脅情報中心捕獲到首次盯上達世幣的勒索病毒GrandCrab起,短短幾個月的時間,GrandCrab歷經四大版本更迭。
第一版本的GandCrab勒索病毒因C&C被海外安全公司與警方合作后控制而登上各大科技媒體頭條,兩個月后GandCrab V2版本勒索病毒出現,勒索軟件作者為了報復安全公司與警方控制了其V1版本的C&C服務器,在V2版本中直接使用了帶有安全公司與警方相關的字符做為其V2版本的C&C服務器,因而又一次登上科技新聞版面。
兩個月后的GandCrab V3版本結合了V1版本與V2版本的代碼隱藏技術,更加隱蔽。GandCrab V3勒索病毒使用CVE-2017-8570漏洞進行傳播,漏洞觸發后會釋放包含“?????”(韓語“你好”)字樣的誘餌文檔。與以往版本的該家族的勒索病毒相比,該版本并沒有直接指明贖金金額,而是要求用戶使用Tor網絡或者Jabber即時通訊軟件與勒索者聯系。
GandCrab V4版本為該家族系列病毒中目前最新迭代版本,相比較以往的版本,V4版本文件加密后綴有了進一步變化(.KRAB),傳播渠道上也有了進一步的擴展,病毒通過軟件供應鏈劫持,破解軟件打包病毒文件,進一步傳播到受害者機器實施勒索攻擊。
此外,4月3號發現“魔鬼”撒旦(Satan)勒索病毒攜“永恒之藍”漏洞卷土重來,變種不斷出現,對企業用戶威脅極大。該病毒會加密中毒電腦的數據庫文件、備份文件和壓縮文件,再用中英韓三國語言向企業勒索0.3個比特幣,該病毒的最新變種除了依賴“永恒之藍”漏洞在局域網內攻擊傳播,還會利用多個新漏洞攻擊,包括JBoss反序列化漏洞(CVE-2017-12149)、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat漏洞(CVE-2017-12615)、Tomcat web管理后臺弱口令爆破、Weblogic WLS組件漏洞(CVE-2017-10271)等等。
1.2下半年勒索病毒的傳播趨勢
(1)勒索病毒與安全軟件的對抗加劇
隨著安全軟件對勒索病毒的解決方案成熟完善,勒索病毒更加難以成功入侵用戶電腦,病毒傳播者會不斷升級對抗技術方案。
(2)勒索病毒傳播場景多樣化
傳統的勒索病毒傳播主要以釣魚郵件為主,勒索病毒更多利用了高危漏洞(如永恒之藍)、魚叉游戲攻擊,或水坑攻擊等方式傳播,大大提高了入侵成功率。以GandCrab為例,該家族勒索病毒傳播同時利用了釣魚郵件、水坑攻擊、網頁掛馬和漏洞利用四種方式。
(3)勒索病毒攻擊目標轉向企業用戶
個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病毒攻擊時,個人用戶往往會放棄數據,恢復系統。而企業用戶在沒有及時備份的情況下,會傾向于支付贖金,挽回數據。因此,已發現越來越多攻擊目標是政府機關、企業、醫院、學校。
(4)勒索病毒更新迭代加快
以GandCrab為例,當第一代的后臺被安全公司入侵之后,隨后在一周內便發布了GandCrab2,現在已升級到3.0版本。病毒早期發布時存在漏洞,使得安全公司可以解密被加密的文件,隨后更新的版本已無法被解密。
(5)勒索贖金提高
隨著用戶安全意識提高、安全軟件防御能力提升,勒索病毒入侵成本越來越高,贖金也有可能隨之提高。上半年某例公司被勒索病毒入侵后,竟被勒索9.5個比特幣。如今勒索病毒的攻擊目標也更加明確,或許接下來在贖金上勒索者會趁火打劫,提高勒索贖金。
(6)勒索病毒加密對象升級
傳統的勒索病毒加密目標基本以文件文檔為主,現在越來越多的勒索病毒會嘗試加密數據庫文件,加密磁盤備份文件,甚至加密磁盤引導區。一旦加密后用戶將無法訪問系統,相對加密而言危害更大,也有可能迫使用戶支付贖金。
(7)勒索病毒黑色產業鏈形成
隨著勒索病毒的不斷涌現,騰訊御見威脅情報中心甚至觀察到一類特殊的產業誕生:勒索代理業務。當企業遭遇勒索病毒攻擊,關鍵業務數據被加密,而理論上根本無法解密時,而勒索代理機構,承接了受害者和攻擊者之間談判交易恢復數據的業務。
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
挖礦病毒發展成為2018年傳播最廣的網絡病毒,且挖礦熱度往往與幣種價格成正比。由于挖礦病毒的控制者可以直接通過出售挖到的數字虛擬貨幣牟利,挖礦病毒的影響力空前高漲,已經完全取代幾年前針對游戲玩家的盜號木馬、針對網購用戶的交易劫持木馬、甚至是用于偷窺受害者家攝像頭的遠程控制木馬。
當受害者電腦運行挖礦病毒時,計算機CPU、GPU資源占用會上升,電腦因此變得卡慢,如果是筆記本電腦,會更容易觀察到異常:比如電腦發燙、風扇轉速增加,電腦噪聲因此增加,電腦運行速度也因此變慢。挖礦年年有,但進入2018年以來,PC端挖礦木馬以前所未有的速度增長,僅上半年爆出挖礦木馬事件45起,比2017年整年爆出的挖礦木馬事件都要多。
2.1上半年挖礦木馬樣本分析與傳播特征
騰訊御見威脅情報中心對數十萬挖礦病毒樣本進行歸類,對挖礦木馬使用的端口號、進程名、礦池地址進行了總結。
挖礦木馬最偏愛的端口號是3333,其次是8008、8080、5555等端口。
木馬最愛的借用的進程名是svchost.exe以及csrss.exe,這兩個名字原本屬于windows系統進程,現被挖礦木馬利用來命名以迷惑用戶。
礦池就是一個開放的、全自動的挖礦平臺,目前挖礦木馬主要通過連接礦池挖礦,礦工將自己的礦機接入礦池,貢獻自己的算力共同挖礦,共享收益。上半年PC端僵尸網絡挖礦應用最廣泛的礦池為f2pool。
與以往挖礦木馬相比,2018上半年挖礦木馬出現新的傳播特征:
(1)瞄準游戲高配機,高效率挖礦
輔助外掛是2018上半年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對電腦性能要求較高,不法分子瞄準游戲玩家電腦,相當于找到了性能“絕佳”的挖礦機器。
2018年1月,騰訊電腦管家曝光tlMiner挖礦木馬隱藏在《絕地求生》輔助程序中進行傳播,單日影響機器量最高可達20萬臺。隨即在3月份配合騰訊守護者計劃安全團隊,協助山東警方快速打擊木馬作者,并在4月初打掉這個鏈條頂端的黑產公司。據統計,該團伙合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現金)、BCD(比特幣鉆石)等各種數字加密貨幣超過2000萬枚,非法獲利逾千萬。
2018年2月,騰訊電腦管家發現一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播,并在2月中下旬通過社交群、網盤等渠道傳播,出現明顯上漲趨勢。
2018年5月,騰訊御見威脅情報中心感知到一款名為“520Miner”的挖礦木馬通過游戲外掛傳播,控制數千臺機器挖了好幾天的礦,最終收獲67枚VIT幣,總價值不到一毛錢人民幣,可以說是史上最能窮折騰的挖礦木馬。
(2)利用網頁掛馬,大范圍傳播
挖礦木馬的傳播渠道不限于通過偽裝成電腦軟件下載,還普遍采用了網頁掛馬這種最高效率的傳播方式。
2018年4月12日,騰訊御見威脅情報中心監測到國內一起大規模的網頁掛馬事件。當天包括多款知名播放器軟件、視頻網站客戶端、常見的工具軟件在內的50余款用戶量千萬級別的電腦軟件遭遇大規模網頁掛馬攻擊。
攻擊者將攻擊代碼通過某廣告聯盟的系統主動分發帶毒頁面,而這個帶毒頁面被內嵌在50余款千萬級別用戶群的常用軟件中,這些用戶的電腦一開機會主動連網下載廣告資源,電腦會因此下載若干個病毒,其中就包括挖礦病毒。騰訊電腦管家當天攔截超過20萬次病毒下載。
此外,騰訊御見威脅情報中心還監測到一款挖礦病毒感染量異常增高,經病毒溯源分析發現,受害者電腦上的挖礦木馬均來自某些打著“人體藝術”旗號的色情網站。
當網民瀏覽這些網站時,由于部分系統存在Flash高危安全漏洞,打開網頁會立刻中毒。之后,受害者電腦便會運行挖礦代碼,電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦,并以此牟利。
(3)入侵控制企業服務器,組建僵尸網絡云上挖礦
隨著各種數字加密貨幣的挖礦難度越來越大,通過普通用戶的個人電腦難以實現利益最大化。而實施短時間內的大范圍挖礦,除了網頁掛馬,最普遍的作法就是控制肉雞電腦組建僵尸網絡挖礦。服務器性能強、24小時在線的特征,吸引更多不法礦工將攻擊目標轉向企業、政府機構、事業單位的服務器實現云上挖礦。
騰訊御見威脅情報中心曾發現一個感染量驚人的“PhotoMiner木馬”,通過入侵感染FTP服務器和SMB服務器暴力破解來擴大傳播范圍。查詢木馬控制的門羅幣錢包地址,發現該木馬控制肉雞電腦挖到8萬枚門羅幣,挖礦累計收益達到驚人的8900萬人民幣,是名副其實的“黃金礦工”。
騰訊安全云鼎實驗室通過對DNS請求的礦池地址進行統計和歸類,發現云上挖礦幣種主要是XMR(門羅幣)、以太幣(ETH)和ETN(以利幣)。對云主機服務器上挖礦木馬最常連接的礦池地址進行了統計,發現xmr.pool.minergate.com使用頻率最高。
其中部分在國內流行的挖礦木馬使用了自建礦池的方式進行挖礦,這主要是出于使用第三方礦池,第三方礦池會收取一定的手續費,而使用自建礦池的方式可以減少這些不必要的費用支出。
通過對數字貨幣的價格走勢和挖礦熱度進行關聯分析,發現挖礦的熱度與幣種價格成正比關系。這也再次驗證,網絡黑產的目標就是追求利益的最大化。觀察ETN(以利幣)的價格走勢,我們可以發現從其從1月中旬開始呈下降趨勢:
而觀察其對應礦池的訪問,發現也是下降趨勢:
通過對歷史捕獲挖礦案例的分析,云上挖礦通常是一種批量入侵方式,而由于其批量入侵的特性,所以利用的也只能是通用安全問題,比如系統漏洞、服務漏洞,而最常見的是永恒之藍、Redis未授權訪問問題、Apache Struts 2漏洞導致企業Web服務器被批量入侵。
攻擊者還擅長使用挖礦木馬生成器、弱口令攻擊字典等攻擊工具入侵服務器,再大量擴散挖礦木馬。
(4)網頁挖礦:在正常網址插入挖礦代碼
由于殺毒軟件的存在,許多挖礦木馬文件一落地到用戶電腦就可能被攔截,不利于擴大挖礦規模,更多攻擊者傾向實施網頁挖礦:通過入侵存在安全漏洞的網站,在網頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網頁,就會淪為礦工。
在挖礦的網站類型中,色情網站占比最高,其次是視頻網站和博客、論壇。用戶在此類網站觀看視頻、閱讀文章,停留時間較長,黑客利用這些網站進行挖礦,可以獲取較高的收益。
在礦池方面最早出現的coinhive礦池占據網頁挖礦中的最大比例,與coinhive同一平臺的authemine礦池占11%;基于coinhive建立的ppoi礦池和cryptoloot礦池分別占比21%、4%。
2.2下半年挖礦木馬的傳播趨勢
數字加密貨幣在2018年上半年持續暴跌,比特幣已從去年年底的2萬美元,跌至現在不足7000美元,“炒幣”熱似在降溫,但這并沒有影響挖礦木馬前進的腳步,畢竟挖礦木馬是靠肉雞挖礦賺錢,勿需投入物理設備,而從最近爆出的挖礦木馬事件中發現,挖礦木馬可選擇的幣種越來越多,設計越來越復雜,隱藏也越來越深,下半年的挖礦將會持續活躍,與殺毒軟件的對抗會愈演愈烈。
(1)全能型挖礦木馬產生,同時帶來多種危害
PC病毒的名字通常包含了病毒的來源、傳播路徑、目的等信息,如“Trojan.StartPage”代表這是一類鎖主頁木馬,“Backdoor.GrayBird”屬于灰鴿子后門病毒,如今在殺軟的強力打擊之下,病毒木馬“棲息地”越來越少,拓展“業務”已成為眾多病毒木馬的首要任務,挖礦木馬也不例外。
上半年出現的“Arkei Stealer”木馬,集竊密、遠控、DDoS、挖礦、盜幣于一體,可謂木馬界“全能”。下半年的挖礦木馬或將集成更多的“業務”,通過各種渠道入侵至用戶機器。
(2)隱藏技術更強,與安全軟件對抗愈加激烈
病毒發展至今,PC機上隱藏技術最強的無疑是B/Rootkit類病毒,這類木馬編寫復雜,各模塊設計精密,可直接感染磁盤引導區或系統內核,其權限視角與殺軟平行,屬于比較難清除的一類病毒。
此類病毒常用于鎖主頁及勒索,而近期發現R/Bookit技術也被應用于挖礦木馬中,使挖礦木馬的隱藏技能提升幾個檔次。下半年數字加密貨幣安全形勢依然嚴峻,挖礦木馬的隱藏對抗或將更加激烈。
3.數字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元
除了勒索病毒造成的損失,盜竊行為也同樣可對數字加密貨幣持有者造成大量損失,從數字加密貨幣誕生初期,數字加密貨幣被盜的新聞就層出不窮。目前盜取數字加密貨幣的方式大致4種:入侵交易所,入侵個人用戶,“雙花攻擊”,漏洞攻擊。
3.1數字加密貨幣交易平臺被攻擊
數字加密貨幣交易所被攻擊,僅2018年上半年就損失了約7億美元。
(1)2018年1月日本最大的數字加密貨幣交易所Coincheck被盜走價值5.34億美元的NEM(新經幣);
(2)2018年3月7日,Binance交易鎖被入侵,此次為大規則通過釣魚獲取用戶賬號并試圖盜幣事件;
(3)2018年4月13日,印度數字加密貨幣交易所CoinSecure被438枚比特幣,疑為內部人員監守自盜;
(4)2018年6月10日,韓國數字加密貨幣交易所Coinrail被攻擊,損失超過5000萬美元;
(5)2018年6月20,韓國數字加密貨幣交易所Bithumb被黑客攻擊,價值3000萬美元的數字加密貨幣被盜,這是Bithumb第三次被黑客攻擊了。
3.2個人賬號遭入侵
(1)通過植入病毒木馬竊取錢包文件
2018年2月騰訊電腦管家發現大量利用Office公式編輯器組件漏洞(CVE-2017-11882)的攻擊樣本,通過下載并運行已被公開源碼的Pony木馬,竊取用戶比特幣錢包文件等敏感信息。
2018年3月,一款基于剪切板劫持的盜幣木馬在國內出現,該木馬使用易語言編寫,通過激活工具、下載站到達用戶機器,木馬會監視用戶剪切板,一旦發現有錢包地址,則替換為木馬的錢包地址,木馬內置30多個錢包地址,且部分錢包已經有盜取記錄。
此外,騰訊御見威脅情報中心分析發現,越來越多的病毒會嘗試劫持數字加密幣交易錢包地址,當受害者在中毒電腦上操作數字加密貨幣轉帳交易時,病毒會迅速將收款錢包地址替換為病毒指定的地址,病毒行為就如同現實中的劫匪。類似病毒在電腦網購普及時也曾經出現,病毒在交易完成的一瞬間,將受害者資金轉入自己指定的交易賬戶。
(2)內部盜取加密貨幣
2018年3月份,北京某互聯網攻擊員工利用職務便利,在公司服務器部署惡意代碼,盜取該公司100個比特幣,目前已經被依法逮捕,這是北京首例比特幣盜竊案。
3.3“雙花攻擊”
“雙花攻擊”是控制某數字加密貨幣網絡51%算力之后,對數字加密貨幣區塊鏈進行攻擊,可實現對已經交易完成的數據進行銷毀,并重新支付,這樣就可獲得雙倍服務。
2018年5月,BTG(比特黃金)交易鏈被黑客攻擊,黑客向交易所充值后迅速提幣,并銷毀提幣記錄,共轉走了38.8萬枚BTG,獲利1.2億人民幣。
3.4漏洞攻擊
2018年4月,BEC智能合約中被爆出數據溢出漏洞,攻擊者共盜取579億枚BEC幣,隨后SMT幣也被爆出類似漏洞。
四、安全建議
區塊鏈技術,仍是眾多互聯網公司乃至國有銀行系統重點研究的領域。區塊鏈的應用并不等同于數字虛擬貨幣,安全專家并不鼓勵人們炒幣,在此對炒幣行為不做贅述。
對于區塊鏈安全來講,從系統架構上,建議相關企業與專業區塊鏈安全研究組織合作,及時發現、修復系統漏洞,避免導致嚴重的大規模資金被盜事件發生;
對于參與數字虛擬幣交易的網民來講,應充分了解可能存在的風險,在電腦端、手機端使用安全軟件,避免掉進網絡釣魚陷阱,避免數字虛擬幣錢包被盜事件發生;
對于普通網民而言,應防止電腦中毒成為被人控制的“礦工”,謹慎使用游戲外掛、破解軟件、視頻網站客戶端破解工具,這些軟件被人為植入惡意程序的概率較大。同時,安裝正規殺毒軟件并及時更新升級,當電腦卡頓、溫度過熱時,使用騰訊電腦管家進行檢查,防止電腦被非法控制,造成不必要的損失;
對于企業網站、服務器資源的管理者,應部署企業級網絡安全防護系統,防止企業服務器被入侵安裝挖礦病毒,防止受到勒索病毒侵害。企業網站應防止被黑,及時修補服務器操作系統、應用系統的安全漏洞,避免企業服務器淪為黑客挖礦的工具,同時也避免因服務器被入侵而導致企業網站的訪客電腦淪為“礦工”。
