“《2020挖矿木马年度报告》：对比云上攻击加剧 漏洞利用速度惊人”

本篇文章1688字，读完约4分钟

资料来源:国际在线

近来，加密货币市场可谓火热。 根据数字资产交易网站crypto的调查，截至2021年1月，全球共有1亿000万加密货币客户。 各种数字加密货币价格暴涨是推动顾客数量增长的主要推动力。 然而，随着客户数量的增加，数字货币也备受黑产垂涎，过去一年开采木马上升趋势突出。

在这样的背景下，腾讯安全近日发布了《开采木马年度报告》(以下简称《报告》)，以腾讯安全产品获取的安全事件预警订单数据为基础，成为攻击源、入侵优势、漏洞利用优先、持续运行的手段 《报告》指出，受优势驱动，开采集团正在加快新漏洞武器的使用速度，开采集团与僵尸互联网勾结的情况也越来越多。

新活跃开采的木马家族喜欢攻击linux服务器

根据《报告》，dtlminer、h2miner、guardminer是年度排名前三的开采木马家族，另外还有z0miner、系统Miner、wachtdogminer、8220miner等。

入侵方法包括利用漏洞进行攻击、爆破攻击、僵尸互联网渠道攻击等。 攻击者可以通过远程代码执行漏洞( rce )直接向后台服务器远程注入操作系统命令和恶意代码，控制后台系统。 weblogic cve-2019-2725是年开采的木马最常用的rce漏洞。 另外，利用各种非法访问漏洞也是开采木马的主要攻击路径之一。

据《报告》报道，多个开采木马在发布时将与系统弱密码进行比较，以进行爆破攻击。 根据腾讯安全年云上的安全报告，默认的客户名称、端口名称被爆破攻击的次数达到了数十亿次。 常见的木马爆破攻击服务类型有ssh、mssql、redis等。

利用僵尸互联网渠道逐一发布也成为挖矿木马喜好的传播手段之一，挖矿木马本身也构建了僵尸互联网。 具备僵尸互联网特点的挖矿木马top3仍是dtlminer、h2miner、guardminer等老牌僵尸互联网，但年新活跃的挖矿木马家族经常攻击linux服务器。

比云上的攻击增长更快，开采集团和僵尸互联网相互勾结

《报告》指出，开采的木马比云层上的攻击增长更快。 未来，许多互联网组件的安全漏洞层出不穷，在优势的推动下，开采集团使用新型漏洞武器的速度也越来越快。 目前，老开采僵尸互联网依然活跃，新僵尸互联网层出不穷，开采集团与僵尸互联网相互勾结的情况越来越多。 许多庞杂的安全态势对政企机构提出了巨大的挑战。

挖掘木马不仅会明显降低服务器性能，影响服务器业务系统的正常运行，还可能使服务器成为黑客控制的食肉电脑，对其他目标发起攻击。 攻击者成功入侵，往往获得服务器的完全权限，只要攻击者愿意，都有可能窃取服务器数据，受害公司面临新闻泄露的风险。 更严重的是，攻击者还可能在服务器上安装后门、服务和规划任务，以实现对丢失的主机的强健、长时间的控制。

加强密码、许可认证和组件更新，对开采木马采取三项措施

与日益猖獗的开采木马攻击相比，《报告》建议政企机构从多方面采取措施，保障服务器安全。 首先，为常见的主机访问入口(如linux服务器的ssh服务、windows sql server等)设置强大的登录密码，以抵抗弱密码的爆破攻击。 然后，对redis、hadoop yarn、docker、xxl-job、postgres等APP应用程序添加许可认证，控制访问对象。 如果部署了经常暴露高风险漏洞的服务器组件(如weblogic、apache struts、apache flink和thinkphp )，请立即更新为最新版本，并将其更新为组件的官方网站和大型安全制造商

另外，腾讯安全与当前安全形势相比，可以构建全面完善的处理方案，帮助政企单位建立多层纵深防御体系，全面拦截被开采木马的攻击威胁。 腾讯主机安全系统和云防火墙( cfw )支持对已开采的木马程序及其使用的rce漏洞、非法访问漏洞进行调查，并支持基于密码的爆破攻击检测，从而实现了云终端的 讯云安全运营中心可以为用户提供漏洞信息、威胁发现、事件处置、基线合规、泄漏监测、风险可视化等能力。 政府部门可以通过引进适当的安全产品来拦截开采木马攻击，奠定安全基础。