雷锋网编者按:随着虚拟货币的衰亡和增值,越来越多的人参加“矿工”行列,搞起了挖矿事业。1月23日,雷锋网 (大众号:雷锋网) 曾就挖矿木马停止清点,发文 吃鸡、蹭网、看片片,揭秘 8 大奇葩挖矿木马敛财之道 。有利益的中央就有黑产的存在,在代币这块大蛋糕上,黑产从业者是如何操作的,手法有哪些不同?近日,宅客频道对某平安公司收回特别约稿约请,该公司网络平安研讨人员就挖矿黑产停止了深化剖析,为我们展现了黑产挖矿的进阶之路。
入侵效劳器、网站
首先引见一下黑客们入侵效劳器、网站停止挖矿,方式如:弱口令爆破效劳器、web浸透网站停止挖矿。
如今,黑客们的思绪曾经 不执着于在效劳端挖矿的方式了,web 也成为了他们的攻击目的 ,黑客经过入侵网站在其web页面嵌入js代码,当你拜访这个网页的时分,你就为黑客们干活了。
假如哪一天你的 CPU 忽然跑满了,你的电脑变得卡顿了,指不定就是你成了他人的矿工。
下图是拜访挖门罗币的网站形成 CPU 急剧上升的状况。
经过fofa查询语法:body="coinhive.com/lib/captcha.min.js",可以发现全网有挖矿脚本的网站。
当然, 如今的防护软件对挖矿的脚本停止了查杀,但是照旧有不少经过 js 变形的挖矿脚本未能辨认出来, 进一步搜集到其特征即可发现其他受益的网站。
新蛋糕的陷落-- IOT 设备挖矿篇
随着 BTC 的暴跌, 整个匿名数字货币水涨船高,其匿名,平安,无法追踪的特性, 给网络黑产繁殖带来了春天, 从往年5月的 SambaCry 破绽后,少量野外应用攻击 IoT 设备停止 CPU 算力货币发掘 (XMR 门罗币 ), IoT 设备的数量优势,以及破绽修复推送不及时等缘由,让其成为挖矿黑产里的新贵。
2017年是中国物联网平互联网电子商务和移动商务消费渠道的普及,使得支付市场将在不久的将来继续呈现更加美好的增长前景。安的元年, IoT 的平安成绩频繁的被披露。3月份大华摄像头破绽,4月份的思科路由器破绽,6月份海康摄像头破绽,再到TP-link路由器命令注入破绽、D-link dir系列路由器破绽,直至 12 月的华为路由器 0day 破绽形成的 Satori 僵尸网络。
从Mirai到 IoT_reaper 再到 IoT 挖矿, 黑客关于 IoT的应用趋于成熟。而消费厂商关于平安的概念照旧模糊,抛开 IoT 设备碎片化、固件晋级费事的成绩,厂商的平安呼应也是几近于无。
黑客只需求很复杂的几个步骤就能控制一台 IoT 设备,比方:
1、弱口令、默许口令(一些设备复杂的密码,或许运用厂商初始的密码招致黑客不费力的登录)
2、未验证受权成绩(黑客可以未受权拜访到后台的配置页面、管理页面。直接对路由器的流量停止了重定向。)
3、硬编码成绩(一些重要的 key 泄露招致了设备陷落)
4、一些 0day破绽
一旦黑客控制了你的路由器就可以控制了你的出口流量,那么只需求重定向或许净化你的流量, 让你拜访包括相似门罗币挖矿脚本的页面,即可让你成为矿工。
另一种是直接控制路由器零碎,你可以用qemu穿插编译你的挖矿脚本至于路由器中挖矿。
虽然路由器的算力不如一些效劳器和矿机,但是基数较大,一旦控制的数量一多也是十分可怕的。
在fofa中我们可以看到,D-link850系列固件的路由器有102242条婚配后果。
进阶的黑客--docker 挖矿篇
大数据、云、人工智能……互联网新时代的产物,让人们的生活变得不可思议。
但是平安技术的开展一定在其他互联网技术之后,先有了某项产品,再有这款产品的破绽。
docker 的创造给让大数据的开展如虎添翼,于是容器集群管理平台也应运而生。
(docker 是一个开源的使用容器引擎,让开发者可以打包他们的使用以及依赖包到一个可移植的容器中,然后发布就任何盛行的 Linux 机器上,也可以完成虚拟化。)
以后主流的容器集群管理技术,包括 Docker 官方的 Docker Swarm、Apache 的 Mesos 和 Google 的 Kubernetes。
但是由于开发兄弟们的平安认识不够,错误的配置招致了很多未受权拜访破绽的发生。
应用fofa给出Mesos的查询规则,body="ng-app="mesos""||body="/static/css/mesos.css"
可以看到全网有471条记载,其中存在未受权拜访的约20%。一个容器集群平台控制的容器数量庞大,用来挖矿那是再好不过了~:) 于是对三种主流的容器停止验证并完成poc如下:
以Mesos为例, 依据官方文档,Mesos master 默许监听 5050 端口。 比拟有用的一个 API 是 /flags,可以检查零碎的配置状况,包括能否开启权限认证。
Mesos从1.2 版开端才有了 exec 进入容器的功用,我们可以装置一个命令工具衔接容器从而控制容器。
docker容器是用原生的go言语编写的,于是我们在github上可以找到许多成型的挖矿脚本:https://github.com/derekchiang/Mesos-Bitcoin-Miner/ 只需复杂的配置和编译就可以停止挖矿。
必杀技--矿机挖矿篇
黑客当真就这么凶猛么?当然不止,随着代币价钱的提升,越来越多的挖矿设备--矿机被消费。
黑客可以剖析矿机破绽、弱口令控制在互联网上其他矿民的矿机停止挖矿。
目前在互联上未被披露,在fofa上检索的语法,如蚂蚁矿机:app="antminer",在fofa有6778个后果 。
我们在选取一台存在破绽的矿机检查,可以看到用户的钱包地址,密码都可以看到。
黑客可以将他人的钱包地址改为本人的,然后... 至此,FOFA 对市面下流行矿机品牌型号停止整理如下:
烤猫USB矿机 、Avalon3模组 、比特币提取卡(0.05btc) 、Avalon2模组 、比特花园刀片矿机 、Avalon4模组 、比特币杂志 、烤猫USB矿机(50个USB送公用HUB) 、Bitfury单板矿机36GH/s团购 、烤猫BOX现货 、Avalon4模组 、新比特币提取卡(0.05btc) 、Avalon2代芯片 、比特花园刀片 、Avalon1代芯片 、贝壳250G矿机 、阿杰200G 、Avalon 3模 、蚂蚁矿机 、Avalon1代USB 、彩贝蚂蚁机箱 、多彩USB矿 、Avalon2 单模组 、iMiner USB 、多彩USB 、龙矿T级 、阿杰T级 、多彩USB控制器 、Avalon2-2U零件 、阿杰2代 、Avalon三代芯片 、彩贝T机 、Gridseed矿机 、阿杰avalon3代 、龙矿莱特币矿机 、Avalon3 1.2T套装 、蚂蚁S2 、Avalon3 零件 、井天莱特币矿机 、小强USB矿机 、银鱼莱特币矿机 、花园AM1.2T套装 、小强Rocket Box 、小强矿机R3 、小强比特币矿机 、宙斯莱特币矿机 、宙斯芯片 、U盘莱特币矿机 、蚂蚁电源开关 、蚂蚁S3++ 、银鱼51ASIC版 、龙矿1.5T 、烤猫原厂管子 、Avalon usb 矿机 、烤猫棱镜1.4T 、蚂蚁S4 、Avalon4.1单模组 、蚂蚁C1 、蚂蚁S5 、Avalon4 28nm 样片A3222 、蚂蚁矿机U3 、蚂蚁电源APW3 1600W 、AvalonMiner 6.0 、Dr Series Ver2达世币矿机 、蒙自石榴 、Baikal X11 Mini 、Baikal X11 900M 、Dr3 达世币矿机 、显卡挖矿机 、翼比特 E9矿机 、iBelink 10.8G X11矿机 、Dr100 达世币矿机。
并提取局部查询规则。
纵观黑客们对挖矿产业的技术迭代如下:
攻防永远不对称,黑客永远在最前沿的战场牟利,谨以此文让冤家们理解黑客对虚拟货币的攻击、牟利手法,并防患于已然。
此文为雷锋网特别约稿,未经赞同请勿转载。
。
