由亚信安全梳理的《2021年度挖矿病毒专题报告》(简称《报告》)显示,在过去的一年,挖矿病毒攻击事件频发,亚信安全共拦截挖矿病毒516443次。从2021年1月份开始,挖矿病毒有减少趋势,5月份开始,拦截数量逐步上升,6月份达到本年度峰值,拦截次数多达177880次。通过对数据进行分析发现,6月份出现了大量挖矿病毒变种,因此导致其数据激增。
不仅老病毒变种频繁,新病毒也层出不穷。比如,有些挖矿病毒为获得利益最大化,攻击企业云服务器;有些挖矿病毒则与僵尸网络合作,快速抢占市场;还有些挖矿病毒在自身技术上有所突破,利用多种漏洞攻击方法。不仅如此,挖矿病毒也在走创新路线,伪造CPU使用率,利用Linux内核Rootkit进行隐秘挖矿等。
从样本数据初步分析来看,截止到2021年底,一共获取到的各个家族样本总数为12477248个。其中,Malxmr家族样本总共收集了约300万个,占比高达67%,超过了整个挖矿家族收集样本数量的一半;Coinhive家族样本一共收集了约84万个,占比达到18%;Toolxmr家族样本一共收集了约64万个,占比达到14%。排名前三位的挖矿病毒占据了整个挖矿家族样本个数的99%。
挖矿病毒主要危害有哪些?
一是能源消耗大,与节能减排相悖而行。
虽然挖矿病毒单个耗电量不高,能耗感知性不强,但挖矿病毒相比于专业“挖矿”,获得同样算力价值的前提下,耗电量是后者的500倍。
二是降低能效,影响生产。
挖矿病毒最容易被感知到的影响就是机器性能会出现严重下降,影响业务系统的正常运行,严重时可能出现业务系统中断或系统崩溃。直接影响企业生产,给企业带来巨大经济损失。
三是失陷主机沦为肉鸡,构建僵尸网络。
挖矿病毒往往与僵尸网络紧密结合,在失陷主机感染挖矿病毒的同时,可能已经成为黑客控制的肉鸡电脑,黑客利用失陷主机对网内其他目标进行攻击,这些攻击包括内网横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板、将失陷主机作为分发木马的下载服务器或C&C服务器等。
四是失陷主机给企业带来经济及名誉双重损失。
失陷主机在感染挖矿病毒同时,也会被安装后门程序,远程控制软件等。这些后门程序长期隐藏在系统中,达到对失陷主机的长期控制目的,可以向主机中投放各种恶意程序,盗取服务器重要数据,使受害企业面临信息泄露风险。不仅给而企业带来经济损失,还会带来严重的名誉损失。
2021年挖矿病毒家族分布
挖矿病毒如何进入系统而最终获利?
挖矿病毒攻击杀伤链包括:侦察跟踪、武器构建、横向渗透、荷载投递、安装植入、远程控制和执行挖矿七个步骤。
通俗地说,可以这样理解:
攻击者首先搜寻目标的弱点
↓
使用漏洞和后门制作可以发送的武器载体,将武器包投递到目标机器
↓
在受害者的系统上运行利用代码,并在目标位置安装恶意软件,为攻击者建立可远程控制目标系统的路径
↓
释放挖矿程序,执行挖矿,攻击者远程完成其预期目标。
图片来源网络
挖矿病毒攻击手段不断创新,呈现哪些新趋势?
●漏洞武器和爆破工具是挖矿团伙最擅长使用的入侵武器,他们使用新漏洞武器的速度越来越快,对防御和安全响应能力提出了更高要求;
●因门罗币的匿名性极好,已经成为挖矿病毒首选货币。同时“无文件”“隐写术”等高级逃逸技术盛行,安全对抗持续升级;
●国内云产业基础设施建设快速发展,政府和企业积极上云,拥有庞大数量工业级硬件的企业云和数据中心将成为挖矿病毒重点攻击目标;
●为提高挖矿攻击成功率,一方面挖矿病毒采用了Windows和Linux双平台攻击;另一方面则持续挖掘利益最大化“矿机”,引入僵尸网络模块,使得挖矿病毒整体的攻击及传播能力得到明显的提升。
用户如何做好日常防范?
1、优化服务器配置并及时更新
开启服务器防火墙,服务只开放业务端口,关闭所有不需要的高危端口。比如,137、138、445、3389等。
关闭服务器不需要的系统服务、默认共享。
及时给服务器、操作系统、网络安全设备、常用软件安装最新的安全补丁,及时更新 Web 漏洞补丁、升级Web组件,防止漏洞被利用,防范已知病毒的攻击。
2、强口令代替弱密码
设置高复杂度密码,并定期更换,多台主机不使用同一密码。
设置服务器登录密码强度和登录次数限制。
在服务器配置登录失败处理功能,配置并启用结束会话、限制非法登录次数和当登录次数链接超时自动退出等相关防范措施。
3、增强网络安全意识
加强所有相关人员的网络安全培训,提高网络安全意识。
不随意点击来源不明的邮件、文档、链接,不要访问可能携带病毒的非法网站。
若在内部使用U盘,需要先进行病毒扫描查杀,确定无病毒后再完全打开使用。
(策划:李政葳 制作:黎梦竹)
长城“最隐秘的暗门”现身******
本报记者 韩梅
近日,天津大学建筑学院教授张玉坤团队宣布,河北省秦皇岛市明长城段发现一处突门实物遗存。作为长城暗门家族中最隐秘的一员,突门生动地传承着中国古代长城建筑、军事以及文化智慧。
首次构建暗门“家族图谱”
“近几年,我们在明长城全线调研中首次构建了暗门的‘家族图谱’,并发现了其中最隐秘的类型——突门。”团队成员、天津大学建筑学院特聘研究员、博士生导师李哲介绍,发现突门的长城段位于秦皇岛附近,是2000多年前史书有关突门记载的首次实物发现。
突门作为一种古代防御设施,早在2000多年前的春秋战国时期就有类似设施的记载,《墨子·备突》篇中对突门做了专门的著述,暗门(突门)“藏于九地之下为暗,动于九天之上为突”。此后,唐、宋、明,甚至清代学者都有记述,但现代相关研究论文却寥寥无几,一直没有发现对应的实物。突门是所有暗门中最为秘密的出口,外面用一层砖砌上,从外面看和城墙一样,让敌人无法分辨。突门没有被击破的时候,完全是隐蔽状态,打仗时一旦需要出兵制敌,里面的士兵可以迅速击碎表层墙,就跟鸡蛋破壳一样,士兵破墙而出,侧面夹击敌人,甚至可以把火炮从突门推出来击退敌人。
已确认明长城有220处暗门遗存
长城的门洞就其规模而言,可以分为三类,其中较大型的是“关”,属于古代连通塞外与内地的重要地理门户,一般设有重兵屯集防守,如居庸关、黄崖关等;中等是“口”(边口),如慕田峪口、张家口等;最小的即为“暗门”。所谓“暗门”,顾名思义,就是伪装隐藏起来、不公开的门。其所以设置乃是攻防需要。“由于历史的原因,长城上的暗门遗存较少,且散落暗处,不为人知,甚至被忽视和误解。”李哲说。
团队2003年启动对长城的研究,2004年起开始将无人机低空信息采集技术应用其中。2018年年底启动长城全线实景三维图像采集工程。4年多来,跨越10省区对明长城全线进行无盲区数字化测绘,用无人机拍摄的200余万张照片,制作完成平均厘米级精准的三维数据库,终于将明长城内外构造清晰明了地呈现在世人眼前。
暗门洞口一般宽0.6至1.6米,高1.5至2.5米,其中最窄的仅容单人、最宽的可通马匹对行;从结构上,暗门可分为石或木质过梁式和砖或石质拱券式。
时至今日,暗门实物遗存已甄别130余处,其中绝大多数为砖石遗址,集中分布于京津冀晋的蓟镇、真保镇、宣府镇、大同镇等区段。陕甘宁青明长城因夯土结构不易保存,目前仅发现2处暗门;此外依靠古代舆图整理出西部段41处暗门。许多暗门没有专属名称及门匾装饰,在已确认的220处暗门遗存中约一半属于此类。
封锁下的隐秘通道
“长城暗门(突门)的发现和挖掘,说明长城除了作为防御入侵的‘边墙’,还有另外一个身份——封锁下的隐秘通道,体现了中国古代朴素辩证的思维方式和深厚博大的规划思想,突门的发现和挖掘使得墨子时代的军事智慧有了实物传承。”张玉坤接受记者采访时说。
“暗门为人们开启了积极防御的新认知,打破了以往视长城为保守、封闭性象征的认识局限。”张玉坤说,沿着长城广泛分布、功能丰富、式样完备的暗门家族及其背后的巧思设计表明,即使是在宏大繁巨的军事工程体系建设中,古代中国人仍然执着于对政治局势、战争规律、防卫环境的细致把握,并将其贯彻于精密的工程设计之中,展现出惊人的统筹能力和严谨的实干精神。
长城国家文化公园建设对长城文化景观资源的挖掘与阐释、利用的深度与广度提出了更高的要求。团队对暗门功能、类型、分布的深入分析有助于原真性解读长城各类设施及整个防御体系的建设意图和运作机制,从整体视角撬动一系列新的遗址价值认知,引领长城文化景观资源的深度挖掘。
暗门看似细枝末节,但却能够牵引出多层次的长城历史认知。这说明无论是长城文保管理还是文化园建设,应保持对遗址细节的敬畏,立足于对长城遗存进行全面系统观察研究。
(文图:赵筱尘 巫邓炎)