谁动了我的金矿:深扒黑产挖矿进阶之路

2018 年 1 月 29 日 宅客频道 深扒黑产的

宅客频道编者按:随着虚拟货币的兴起和增值,越来越多的人加入“矿工”行列,搞起了挖矿事业。1月23日,宅客频道曾就挖矿木马进行盘点,发文吃鸡、蹭网、看片片,揭秘 8 大奇葩挖矿木马敛财之道。有利益的地方就有黑产的存在,在代币这块大蛋糕上,黑产从业者是如何操作的,手法有哪些不同?

近日,宅客频道对某安全公司发出特别约稿邀请,该公司网络安全研究人员对挖矿黑产进行了深入分析,为我们展示了黑产挖矿的进阶之路。


入侵服务器、网站

首先介绍一下黑客们入侵服务器、网站进行挖矿,方式如:弱口令爆破服务器、web渗透网站进行挖矿。 

现在,黑客们的思路已经不执着于在服务端挖矿的方式了,web 也成为了他们的攻击目标,黑客通过入侵网站在其web页面嵌入js代码,当你访问这个网页的时候,你就为黑客们干活了。

 如果哪一天你的 CPU 突然跑满了,你的电脑变得卡顿了,指不定就是你成了别人的矿工。

下图是访问挖门罗币的网站造成 CPU 急剧上升的情况。 

通过fofa查询语法:body="coinhive.com/lib/captcha.min.js",可以发现全网有挖矿脚本的网站。 

当然,现在的防护软件对挖矿的脚本进行了查杀,但是依旧有不少经过 js 变形的挖矿脚本未能识别出来,进一步收集到其特征即可发现其他受害的网站。


新蛋糕的沦陷-- IOT 设备挖矿篇

随着 BTC 的暴涨, 整个匿名数字货币水涨船高,其匿名,安全,无法追踪的特性, 给网络黑产滋生带来了春天, 从今年5月的 SambaCry 漏洞后,大量野外利用攻击 IoT 设备进行 CPU 算力货币挖掘 (XMR 门罗币 ),IoT 设备的数量优势,以及漏洞修复推送不及时等原因,让其成为挖矿黑产里的新贵。

2017年是中国物联网安全的元年, IoT 的安全问题频繁的被披露。3月份大华摄像头漏洞,4月份的思科路由器漏洞,6月份海康摄像头漏洞,再到TP-Link路由器命令注入漏洞、D-link dir系列路由器漏洞,直至 12 月的华为路由器 0day 漏洞造成的 Satori 僵尸网络。

从Mirai到 IoT_reaper 再到 IoT 挖矿,黑客对于 IoT的利用趋于成熟。而生产厂商对于安全的概念依旧模糊,抛开 IoT 设备碎片化、固件升级麻烦的问题,厂商的安全响应也是几近于无。

黑客只需要很简单的几个步骤就能控制一台 IoT 设备,比如:

1、弱口令、默认口令(一些设备简单的密码,或者使用厂商初始的密码导致黑客不费力的登录)

2、未验证授权问题(黑客可以未授权访问到后台的配置页面、管理页面。直接对路由器的流量进行了重定向。)

3、硬编码问题(一些重要的 key 泄露导致了设备沦陷)

4、一些 0day漏洞

一旦黑客控制了你的路由器就可以控制了你的出口流量,那么只需要重定向或者污染你的流量, 让你访问包含类似门罗币挖矿脚本的页面,即可让你成为矿工。

 另一种是直接控制路由器系统,你可以用qemu交叉编译你的挖矿脚本至于路由器中挖矿。


虽然路由器的算力不如一些服务器和矿机,但是基数较大,一旦控制的数量一多也是非常可怕的。在fofa中我们可以看到,D-link850系列固件的路由器有102242条匹配结果。 


进阶的黑客--docker 挖矿篇

大数据、云、人工智能……互联网新时代的产物,让人们的生活变得不可思议。

然而安全技术的发展肯定在其他互联网技术之后,先有了某项产品,再有这款产品的漏洞。

docker 的发明给让大数据的发展如虎添翼,于是容器集群管理平台也应运而生。

(docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。)

 当前主流的容器集群管理技术,包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。

但是由于开发兄弟们的安全意识不够,错误的配置导致了很多未授权访问漏洞的产生。

利用fofa给出Mesos的查询规则,body="ng-app=\"mesos\""||body="/static/css/mesos.css"

可以看到全网有471条记录,其中存在未授权访问的约20%。一个容器集群平台控制的容器数量庞大,用来挖矿那是再好不过了~:) 于是对三种主流的容器进行验证并完成poc如下:

以Mesos为例,根据官方文档,Mesos master 默认监听 5050 端口。 比较有用的一个 API 是 /flags,可以查看系统的配置情况,包括是否开启权限认证。

Mesos从1.2 版开始才有了 exec 进入容器的功能,我们可以安装一个命令工具连接容器从而控制容器。

docker容器是用原生的go语言编写的,于是我们在github上可以找到许多成型的挖矿脚本:https://github.com/derekchiang/Mesos-Bitcoin-Miner/ 只需简单的配置和编译就可以进行挖矿。


必杀技--矿机挖矿篇

黑客当真就这么厉害么?当然不止,随着代币价格的提升,越来越多的挖矿设备--矿机被生产。

黑客可以分析矿机漏洞、弱口令控制在互联网上其他矿民的矿机进行挖矿。

目前在互联上未被披露,在fofa上检索的语法,如蚂蚁矿机:app="antminer",在fofa有6778个结果 。

我们在选取一台存在漏洞的矿机查看,可以看到用户的钱包地址,密码都可以看到。 

黑客可以将别人的钱包地址改为自己的,然后... 至此,FOFA 对市面上流行矿机品牌型号进行整理如下:

烤猫USB矿机 、Avalon3模组 、比特币提取卡(0.05btc) 、Avalon2模组 、比特花园刀片矿机 、Avalon4模组 、比特币杂志 、烤猫USB矿机(50个USB送专用HUB) 、Bitfury单板矿机36GH/s团购 、烤猫BOX现货 、Avalon4模组 、新比特币提取卡(0.05btc) 、Avalon2代芯片 、比特花园刀片 、Avalon1代芯片 、贝壳250G矿机 、阿杰200G 、Avalon 3模 、蚂蚁矿机 、Avalon1代USB 、彩贝蚂蚁机箱 、多彩USB矿 、Avalon2 单模组 、iMiner USB 、多彩USB 、龙矿T级 、阿杰T级 、多彩USB控制器 、Avalon2-2U整机 、阿杰2代 、Avalon三代芯片 、彩贝T机 、Gridseed矿机 、阿杰avalon3代 、龙矿莱特币矿机 、Avalon3 1.2T套装 、蚂蚁S2 、Avalon3 整机 、井天莱特币矿机 、小强USB矿机 、银鱼莱特币矿机 、花园AM1.2T套装 、小强Rocket Box 、小强矿机R3 、小强比特币矿机 、宙斯莱特币矿机 、宙斯芯片 、U盘莱特币矿机 、蚂蚁电源开关 、蚂蚁S3++ 、银鱼51ASIC版 、龙矿1.5T 、烤猫原厂管子 、Avalon usb 矿机 、烤猫棱镜1.4T 、蚂蚁S4 、Avalon4.1单模组 、蚂蚁C1 、蚂蚁S5 、Avalon4 28nm 样片A3222 、蚂蚁矿机U3 、蚂蚁电源APW3 1600W 、AvalonMiner 6.0 、Dr Series Ver2达世币矿机 、蒙自石榴 、Baikal X11 Mini 、Baikal X11 900M 、Dr3 达世币矿机 、显卡挖矿机 、翼比特 E9矿机 、iBeLink 10.8G X11矿机 、Dr100 达世币矿机。

并提取部分查询规则。

纵观黑客们对挖矿产业的技术迭代如下:


攻防永远不对称,黑客永远在最前沿的战场牟利,谨以此文让朋友们了解黑客对虚拟货币的攻击、牟利手法,并防患于未然。

此文为网络安全研究人员投稿,宅客频道编辑。

蓝字查看更多精彩内容


探索篇

  暗网【上】|  暗网【下

草榴社区 程序媛以图搜图

心脏滴血 撞库攻击 | 黑客猎人

刷票 | 人肉 | 炸群 | 内鬼

恶性病毒怼天怼地怼对手


真相篇

这是一场针对高级知识分子的裸聊诈骗

打“农药”刷金币:我的队友原来是个机器人

黑客犯罪团伙"隐匿者"被扒皮,竟然是中国人

iPhone充电器可以当监听器?我到某宝试了下

当俄罗斯黑客遇到老虎机 发家致富

一个自动挖掘工具,能找到比核武器更可怕的漏洞

“老婆,开门”,隔壁老王带来的恐惧

无人机越狱? 资深女黑客一怒“打飞机”

自从安了智能门锁,家里闹妖精?

中国安全圈真实薪资曝光


人物篇


道哥:重回阿里的29个月

黑客老王:一个人的黑客史

吴石:站在0和1之间的男人

黑客衰大:45天攻入姑娘的心

黑客段子手“呆子不开口”

“特斯拉破解第一人”刘健皓

唐青昊:虚拟世界的越狱者

MOSEC:盘古团队的野心优雅

让周鸿祎“三顾茅庐” 的 黑客 MJ

美女黑客张婉桥的“爱丽丝奇遇记”

TK教主和玄武实验室的几个小故事

世界上最坚固的门轰塌后,如何再建

这个黑客在体内植入9块芯片后……

更多精彩正在整理中……


---

“喜欢就赶紧关注我们”

宅客『Letshome』

雷锋网旗下业界报道公众号。

专注先锋科技领域,讲述黑客背后的故事。

长按下图二维码并识别关注


登录查看更多
0

相关内容

黑客(Hacker,台湾译作「骇客」)广义上指在计算机科学,编程以及设计领域有高度理解力的人。 然而,人们通常对黑客一词的理解都是取其狭义的涵义,即信息安全领域的黑客: 未经许可入侵他人系统并窃取数据信息等的可以视为 黑帽黑客,也可取侩客 cracker 的涵义。
而主要从事安全检测,系统调试,技术研究的安全从业者可称为 白帽黑客
还有一种存在称为「脚本小子」,往往冒充黑客也常被人误认为是「黑客」,其实是利用一些现有的工具或者程序达到入侵或破解等目的,然而其知识储备以及对技术的理解力却完全不符合广义黑客的标准,甚至不及狭义黑客标准。
异质信息网络分析与应用综述,软件学报-北京邮电大学
【复旦大学-SP2020】NLP语言模型隐私泄漏风险
专知会员服务
24+阅读 · 2020年4月20日
【浙江大学】人脸反欺诈活体检测综述
专知会员服务
31+阅读 · 2020年4月15日
知识图谱更新技术研究及其应用,复旦大学硕士论文
专知会员服务
103+阅读 · 2019年11月4日
TensorFlow 2.0 学习资源汇总
专知会员服务
66+阅读 · 2019年10月9日
复旦大学邱锡鹏老师《神经网络与深度学习》书册最新版
工行基于MySQL构建分布式架构的转型之路
炼数成金订阅号
15+阅读 · 2019年5月16日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
终于有人把云计算、大数据和人工智能讲明白了
Python开发者
3+阅读 · 2018年6月13日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
有了场景和画像才懂用户
互联网er的早读课
6+阅读 · 2017年8月26日
Adversarial Metric Attack for Person Re-identification
Relational recurrent neural networks
Arxiv
8+阅读 · 2018年6月28日
Arxiv
5+阅读 · 2015年9月14日
VIP会员
相关资讯
工行基于MySQL构建分布式架构的转型之路
炼数成金订阅号
15+阅读 · 2019年5月16日
“黑客”入门学习之“windows系统漏洞详解”
安全优佳
8+阅读 · 2019年4月17日
Linux挖矿病毒的清除与分析
FreeBuf
14+阅读 · 2019年4月15日
基于Web页面验证码机制漏洞的检测
FreeBuf
7+阅读 · 2019年3月15日
DiscuzX 3.4 Phar反序列化漏洞
黑客工具箱
8+阅读 · 2019年1月4日
终于有人把云计算、大数据和人工智能讲明白了
Python开发者
3+阅读 · 2018年6月13日
我是一个爬虫
码农翻身
12+阅读 · 2018年6月4日
有了场景和画像才懂用户
互联网er的早读课
6+阅读 · 2017年8月26日
Top
微信扫码咨询专知VIP会员