背景
上云是整个世界的趋势,且一般情况下由于上云和传统环境的差别,上云后管理会比较混乱,这为攻击者带来了可乘之机。尽管 GPU 挖矿是高效的最佳选择,但云上基础设施几乎无限的机器资源也使得攻击者利用 CPU 挖矿变得可行。攻击者主要通过规模化实现利润的最大化,这也是这些挖矿组织拼命扩张规模、不同的挖矿组织间需要激烈地争夺资源的原因。在提到加密货币时,人们首先想到的是比特币。但实际上由于各种原因,攻击者常常都是挖掘门罗币的。
与其他类型的犯罪不同,挖矿即使很快被发现并清除掉,也能够利用失陷主机在几个小时内的算力获取利益。很多人觉得挖矿不疼不痒,相比其他类型的攻击威胁,在应对时没有给予重视。必须知道的是,如果攻击者能够利用云主机进行挖矿,那很有可能也可以进行其他恶意活动,如数据泄露、加密勒索等。即使挖矿团伙自己不动手,也有可能是要将失陷主机出售给其他犯罪团伙,在等待出售期间利用失陷主机挖矿赚点外快。必须要记住,挖矿可能仅仅只是个开始而已。
资源消耗
在云上挖矿会导致 CPU 使用率快速拉升,资源的占用会对其上部署的服务产生影响。而且单个云主机每月的电费就会从 20 美元攀升至 130 美元,运营成本提升了 600%。
当然,网络通信也会产生一部分开销,尽管与 CPU 资源的消耗相比少了太多。
典型挖矿团伙
通过活跃时间、攻击复杂度、利用漏洞数量与在社交媒体上的影响力四部分对典型挖矿团伙进行衡量。
Outlaw
2018 年 11 月,Outlaw 被公开披露。通过构建 IRC 僵尸网络利用失陷主机进行 DDoS 攻击或者门罗币挖矿等。
Outlaw 一路走来变化不大,整体 TTP 只有微调。这也恰恰说明了攻击的有效性,甚至 C&C 地址使用时间也很长。2019 年到 2020 年都在使用 5.255.86.125,到了 2021 年转为使用 45.9.148.99,直到现在还在使用后者。
Outlaw 使用的 Perl Shellbot 来源于 Kippo 僵尸网络在 2013 年的 TEAMUL MaLaSorTe。但目前并没有证据证明,Outlaw 与 Kippo 有任何关系。
TeamTNT
2020 年,活跃的 TeamTNT 开始进入分析人员的视野。该组织不仅进行挖矿,还会窃取其他服务的凭据,如 Amazon Web 密钥与 Ngrok Token。
TeamTNT 在社交媒体上非常活跃,会在 Twitter 上指出安全厂商的错误归因,也会表扬那些研究做的很好的研究人员。
TeamTNT 称它们只是想要通过挖矿获利来做“好事”,为自己树立一个罗宾汉的形象。
过去,TeamTNT 是快速迭代更新的,最新的攻击中已经开始使用 Rootkit。不过在 2021 年年底,TeamTNT 宣布停止运营并停用了 Twitter 账户。
Kinsing
Kinsing 在 2021 年异常活跃,总是第一时间应用新披露的漏洞利用。2021 年 12 月 11 日,仅仅两天 Kinsing 就将 Log4j 漏洞更新到武器库中。
过去的 Kinsing 对隐蔽性与竞争性不甚在意,但现在已经有所转变。在 Kinsing 与 8220 共同入侵的主机上,Kinsing 几乎立刻移除了 8220。数日内,8220 入侵了该主机 7 次,但最长只持续了 13 分钟,而 Kinsing 的运营从未中断。
8220
8220 的攻击完全没有减弱的痕迹,2021 的活跃程度大概是 2020 年的十倍。不过其攻击方式没有根本性的改变。
Kek
Kek 的更新迭代速度始终是名列前茅的,攻击者甚至将 Python 脚本的混淆工具通过名为 Kek Security 的用户发布在 Pastebin 上。
资源竞争
8220 与 Kinsing 的竞争是异常激烈的。如下所示,红色为 Kinsing、蓝色为 8220,二者在一台机器上、一天之内反复争夺控制权:
除了对控制权的争夺,在舆论阵地上也寸土不让。此前 TeamTNT 还在 Twitter 上抨击 Watchdog 对其进行模仿。
失陷数量演化
从全景来看,Kinsing 的攻击十分稳定,平均每天都有数十个受害者加入僵尸网络中。
Kinsing 与 8220 的规模是最大的,每个月会有两千余个失陷主机。
TeamTNT 的声浪很大,但实际感染的数量较少,TeamTNT 一个月的感染量与 Kinsing 一天几乎持平。
Outlaw 处于中间梯队,不上不下,每个月有数百个失陷主机。
尽管 Kek 是云上挖矿的新玩家,但进步极快。
IOC
Outlaw
45.9.148.12545.9.148.12945.9.148.9945.9.148.11745.9.148.5845.9.148.57debian-package.center
TeamTNT
gulf.moneroocean.streamKinsing
194.145.227.21194.38.20.199185.154.53.14045.129.2.107185.87.48.183212.22.77.79185.221.154.20845.156.23.210185.156.179.225193.164.150.9995.181.179.88195.3.146.11893.189.46.8194.38.20.242194.38.20.166
8220
209.141.40.190212.114.52.24194.5.249.24104.168.71.13289.41.182.160Bash.givemexyz.inXmr.givemexyz.inPwn.givemexyz.inC4k-rx0.pwndns.pwC4k-irc.pwndns.pwa.oracleservice.topb.oracleservice.top80.71.158.96192.210.200.6691.198.77.78
Kek
104.237.202.4136.144.41.164195.133.40.24192.210.163.201Cocknet.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
点击阅读原文可查看趋势科技原版报告。
原文始发于微信公众号(威胁棱镜):云上典型挖矿团伙浮沉
