|
1. 背景 2. 通貨価格曲線と主要なセキュリティインシデント
2.1 ワナクライ
2.2 最初の上昇
2.3 変動と衰退
2.4 第二の上昇 3. 2019年のマイニング型トロイの木馬感染の傾向
3.1 サンプル収量
3.2 地域分布
3.3 業界分布
3.4 アクティブファミリー
3.5 主な侵入方法 4. 2019年のマイニングトロイの木馬の技術的特徴
4.1 伝播特性
4.2 悪意のあるコードの実行
4.3 持続的な攻撃 5. マイニングトロイの木馬の防御と除去の提案
5.1 防衛計画
5.2 廃棄に関する提案 6. マイニングトロイの木馬の今後の動向
6.1 「エターナルブルー」の脆弱性
6.2 BlueKeep の脆弱性
6.3 ボットネット 参考リンク
2019年8月、国は深圳の中国の特色ある社会主義の実験モデル区の建設を支援する意見を発表し、深圳におけるデジタル通貨研究やモバイル決済などの革新的なアプリケーションの開発を支援すると言及した。業界関係者は、デジタル通貨の研究を行うことがデジタル経済にプラスの役割を果たすと考えています。
ビットコインは2009年に誕生し、それから10年が経ちました。 2014年に誕生したモネロも5年目を迎えた。ビットコインやモネロに代表されるデジタル暗号通貨は近年徐々に一般に知られるようになり、多くの人がデジタル通貨取引を利用して利益を上げています。
デジタル経済の活発な発展に伴い、デジタル資産のセキュリティ問題も引き続き発生しています。デジタル通貨の基本原則によれば、特定の金融機関の発行に依存せず、特定のアルゴリズムに基づいており、大量の計算を通じて生成されるため、「マイニング」はデジタル暗号通貨を取得する最も基本的な方法となります。 「マイニング」を通じてより多くのコインを獲得する唯一の方法は、計算能力を高めることなので、計算機器の購入に多額の資金を投資する必要があります。
ハッカーは常に、お金を投資することなく莫大な利益を得ることを望んでいるので、「他人のコンピューターを制御してマイニング計算を実行する」というアイデアが自然に生まれ、それが「マイニングトロイの木馬」という概念です。 「マイニング型トロイの木馬」の最も古い出現時期は現時点では特定できませんが、2017 年初頭から大規模に普及し始めました。
ハッカーは、多数のコンピュータに侵入して制御し、マイニング プログラムを埋め込んだ後、コンピュータの CPU または GPU リソースを使用して大量の計算を実行し、デジタル暗号通貨を取得します。同時に、ほとんどのブラック産業は、ダークウェブ上で違法データやデジタル兵器を販売する際の取引通貨としてビットコインを使用しており、デジタル暗号通貨がブラック産業やグレー産業の流通媒体となり、マイニング産業の継続的な繁栄をもたらしています。 2017 年に発生して以来、マイニング型トロイの木馬は徐々にサイバー世界における大きな脅威の 1 つになってきました。
マイニングプロセスのCPU使用率
本レポートでは、まずビットコインの価格変動曲線をタイムラインとして、期間中に発生した主なセキュリティインシデントを紹介し、次に2019年のマイニングトロイの木馬の全体的な傾向と技術的特徴をまとめ、一般的な防御と除去の提案とターゲットを絞った防御と除去の提案を提供します。最後に、マイニングトロイの木馬の将来の傾向を予測します。
2. 通貨価格曲線と主要なセキュリティインシデント ビットコインの価格とセキュリティインシデント
2017年から2019年までのビットコインの価格曲線と主要なセキュリティインシデントを観察すると、この期間中に「通貨の価格が高水準で急激に変動し、セキュリティインシデントが絶え間なく発生した」ことがわかります。最も影響力のある攻撃のいくつかは次のとおりです。
2017 年 5 月 12 日、WannaCry ワームが MS17-010 の脆弱性を通じて世界中に広がり、多数の企業のコンピューターに感染しました。ワームはコンピュータに感染すると、そのコンピュータに脅迫ウイルスを埋め込み、大量のコンピュータ ファイルを暗号化し、被害者にファイルの復元の身代金としてビットコインを要求します。 WannaCry ワームの発生後 6 か月間 (2017 年 5 月から 2017 年 12 月)、ビットコインの価格は爆発的に上昇し、1,000 ドル/BTC から 17,000 ドル/BTC に上昇しました。
WannaCry の後しばらくの間、他のランサムウェア ウイルスが「EternalBlue」の脆弱性を利用して大規模に拡散することはありませんでしたが、マイニング型トロイの木馬はそこに「ビジネス チャンス」を見出しました。 2017年後半以降、「EternalBlue」を利用して攻撃を行うマイニング型トロイの木馬が続々と登場しています。最初に発見されたのは、大規模なボットネット MyKings でした。
2.2.1 マイキングス
Mykings ボットネットは、これまでに発見されたボットネットの中で最も複雑なものの 1 つです。その主な攻撃機能は、「EternalBlue」の脆弱性を悪用して、MsSQL、RDP、Telnet などのサービスのパスワードを解読し、侵害されたホストにマイニング モジュールとリモート コントロール モジュールを埋め込み、スキャン攻撃モジュールを使用してワームのような方法で拡散することです。
2017年4月以降、MyKingsの拡散は爆発的に増加し始めましたが、これは「EternalBlue」の脆弱性を突いた攻撃によるものでした。ボットネットにMoneroマイニングマシンをインストールし、サーバーのリソースをマイニングに使用することで、MyKingsのMoneroウォレットは100万人民元以上を稼ぎました。
2.2.2 ゾンビボーイ
2017 年 12 月、Tencent Yujian Threat Intelligence Center はマイニング型トロイの木馬を検出しました。 PDB ファイル内にプレーンテキスト文字列「C:\Users\ZombieBoy\Documents\Visual Studio 2017\Projects\nc\Release\nc.pdb」が見つかりました。 「ZombieBoy」というキーワードでオンライン検索したところ、「Eternal Blue」の脆弱性を悪用するツールが見つかりました。ハッカーがこのツールを改変してマイニング型トロイの木馬を拡散させたのではないかと推測しています。その特徴に基づいて、私たちはそれを ZombieBoyMiner と名付けました。 Yujian バックエンドの統計によると、このトロイの木馬はピーク時に 70,000 台以上のコンピューターに感染しました。 脆弱性悪用ツール ZombieBoy ZombieBoyMinerが登場した当時(2017年12月)、ビットコインの価格は最高値に達していましたが、その後変動し、下落し始めました。その後、2018 年 3 月には、「EternalBlue」の脆弱性を悪用して大規模な攻撃を仕掛ける別のマイニングワームウイルス「WannaMiner」が発見されました。
2.3.1 ワナマイナー
WannaMiner トロイの木馬は、感染したマシンを強力なボットネットに構築し、イントラネット内での自己更新をサポートします。最終的な目標は、採掘を通じて利益を上げることです。イントラネット内での伝播中に SMB を介してカーネルを攻撃するため、企業イントラネット内の多数のマシンでブルー スクリーンが発生する可能性があります。統計によると、WannaMiner マイニングワームは 30,000 台以上のマシンに感染しています。
WannaMiner の攻撃プロセスは次のとおりです。 WannaMiner 攻撃プロセス
2.3.2 ブルヒーロー
2018年8月には「最強の脆弱性攻撃」を持つマイニングワームウイルス「BuleHero」が登場した。 Yujian Threat Intelligence Center の継続的な追跡結果によると、BuleHero は「EternalBlue」の脆弱性に加えて、次の脆弱性を利用して攻撃を行っていました。
LNK 脆弱性 CVE-2017-8464
Tomcat の任意のファイルアップロードの脆弱性 CVE-2017-12615
Apache Struts2 リモートコード実行脆弱性 CVE-2017-5638
WebLogic デシリアライゼーションの任意のコード実行の脆弱性 CVE-2018-2628、CVE-2019-2725
Drupal リモートコード実行脆弱性 CVE-2018-7600
Apache Solr リモートコード実行脆弱性 CVE-2019-0193
THinkphpV5 の脆弱性 CNDV-2018-24942
上記の脆弱性に加え、最新バージョンの BuleHero では、浙江省杭州市警察が 2019 年 9 月 20 日に発表した「PHPStudy」バックドア事件で明らかになった php_xmlrpc.dll モジュールの脆弱性も利用しています。
「PHPStudy」バックドアエクスプロイト
2.3.3 DTLマイナー
2018 年 12 月、DTLMiner (Eternal Blue Downloader) マイニングトロイの木馬が発生しました。ハッカーが企業のサーバーに侵入し、特定のソフトウェアのアップグレード構成ファイルを変更したため、そのソフトウェアをインストールしたユーザーがアップグレード中にトロイの木馬ファイルをダウンロードするようになりました。トロイの木馬は実行後、「EternalBlue」の脆弱性を悪用してイントラネット内で急速に拡散し、わずか 2 時間で 10 万人のユーザーが攻撃を受けました。
DTLMiner はボットネットを構築した後、侵害されたマシンに Monero マイニング プログラムを埋め込み、マイニングを行いました。 DTLMiner は初期段階で短期間に大量のマシンに感染し、その後も更新が続けられ、MsSQL ブラスト、IPC$ ブラスト、RDP ブラスト、Lnk 脆弱性の悪用などの攻撃手法が追加され、2019 年も活発に活動しています。
アップグレードコンポーネントの脆弱性を悪用した攻撃声明
2.3.4 「不可視性」
DTLMiner に続いて、2019 年 3 月初旬に「Hidden Shadow」というマイニング トロイの木馬が登場しました。このトロイの木馬は、機能的なネットワーク ディスクとイメージ ストレージを多用して自身を隠し、NSA の兵器を搭載してローカル エリア ネットワーク内で水平方向に拡散する能力を備えています。 「Hidden Shadow」が利用する公共サービスは以下の通りです。
「見えない人々」が利用する公共サービス 「Hidden」マイニングトロイの木馬の出現と同時に、ビットコインの価格は再び上昇を始めました。 2019年3月から2019年6月にかけて、ビットコインの価格は1BTCあたり4,000ドルから12,000ドルに上昇しました。
ソディノキビ
2019年6月、ビットコインの価格が再び高値に回復したとき、Sodinokibiランサムウェアが発生しました。このランサムウェアは、2019 年 4 月末に初めて登場しました。初期には Web サービス関連の脆弱性を利用して拡散しており、有名な GandCrab ランサムウェアに似ています。現時点では、GandCrabは運営を停止すると発表しており、sodinokibiはGandCrabの流通チャネルをほぼ完全に継承しています。
6月頃、Sodinokibiランサムウェアは税務当局や司法機関を装い、フィッシング詐欺メールを利用して拡散し始めた。システムのデフォルト設定ではファイル拡張子が表示されないため、doc 文書を装った EXE ウイルスが誤って文書として識別され、ダブルクリックで開かれることがよくあります。 文書を装ったSodinokibランサムウェア
2019年6月以降、ビットコインの価格はゆっくりと下落し始めました。 2019 年後半には、重大な影響を及ぼす新しいマイニング型トロイの木馬ファミリーは出現しませんでした。
3. 2019年のマイニング型トロイの木馬感染の傾向 テンセント・セキュリティの玉江脅威情報センターの統計によると、2019年のマイニング型トロイの木馬攻撃は「増加→減少→安定」の傾向を示した。データによると、マイニング型トロイの木馬は2019年上半期に非常に活発に活動し、ピーク時には1日あたり10万件を超える攻撃サンプルが検出されました。攻撃の傾向は5月以降鈍化し、1日あたり6万件にまで減少し、その後は安定しました。全体的に、マイニング型トロイの木馬はホストとサーバーの両方で多数の感染を引き起こしており、企業が直面する最も深刻なセキュリティ上の脅威の 1 つとなっています。 2019 年のマイニングトロイの木馬の日々の生産傾向 地域分布の観点から見ると、マイニング型トロイの木馬は2019年に全国に分布し、最も深刻な感染地域は広東省、浙江省、北京市、江蘇省でした。 2019年のマルウェア感染の地域分布 業界分布で見ると、2019 年にマイニング型トロイの木馬による被害が最も大きかった業界は、インターネット、製造、科学研究および技術サービス、不動産でした。 2019年にマイニングトロイの木馬の影響を受けた業界の分布 2019 年に最も活発な 3 つのマイニング トロイの木馬ファミリは、WannaMiner、MyKings、DTLMiner (EternalBlue ダウンローダー トロイの木馬) でした。 MyKings は古いボットネット ファミリですが、WannaMiner と DTLMiner はそれぞれ 2018 年の初めと終わりに登場しました。 2019年には、これらのファミリーによって2万人以上のユーザーが感染しました。これらに共通する特徴は、「EternalBlue」の脆弱性を悪用してワームのように拡散し、さまざまな執拗な攻撃手法を使用しているため、完全に排除することが困難であることです。 2019 年に最も活発なマイニングトロイの木馬のトップリスト 2019 年、トロイの木馬をマイニングする侵入方法のトップ 3 は、脆弱性攻撃、弱いパスワード ブラスト、ボットネットの使用でした。マイニング型トロイの木馬はより多くのコンピューティング リソースを取得する必要があるため、一般的な脆弱性や弱いパスワードを悪用したり、多数のマシンを制御するボットネットを通じて大規模に拡散したりすることを好みます。 マイニングトロイの木馬の主な侵入方法
3.5.1 脆弱性攻撃の種類 マイニング型トロイの木馬が使用する最も一般的な脆弱性の種類は、Windows システムの脆弱性 (「EternalBlue」) であり、次に WebLogic 関連コンポーネントの脆弱性と Apache 関連コンポーネントの脆弱性が続きます。攻撃でよく使用される脆弱性には、次の CVE 番号が含まれます。
MS17-010「エターナルブルー」CVE-2017-0143
WebLogic デシリアライゼーションの任意のコード実行の脆弱性 CVE-2017-10271、CVE-2018-2628、CVE-2019-2725
Apache Struts2 リモートコード実行脆弱性 CVE-2017-5638
Apache Solr リモートコード実行脆弱性 CVE-2019-0193
Apache Tomcat リモートコード実行脆弱性 CVE-2017-12615
マイニングトロイの木馬の主な脆弱性攻撃の種類
3.5.2 ブルート フォース攻撃の種類 マイニング型トロイの木馬の主なブルート フォース攻撃の種類は SQL ブルート フォース (MsSQL および MySQL を含む) であり、IPC$ と SSH がそれに続きます。一部の IT 管理者のセキュリティ意識の欠如により、多くのデータベースやリモート ログイン サービスでは弱いパスワードが設定されています。 SplashDataが発表した2019年の最悪のパスワードトップ5は、「123456」、「123456789」、「qwerty」、「password」、「1234567」です。これらのパスワードは、ブルートフォース攻撃におけるハッカーの第一選択肢でもあります。
マイニングトロイの木馬は、多数の単純なパスワードを含む組み込み辞書を自動的に照合するため、このような弱いパスワードを簡単に解読してシステムに侵入することができます。 マイニングトロイの木馬の主なブラスト攻撃の種類 4. 2019年のマイニングトロイの木馬の技術的特徴 4.1.1 サプライチェーン感染
2018年末に登場したDTLMinerは、既存のソフトウェアのアップグレード機能を利用してトロイの木馬を配布する、サプライチェーン感染の典型的な事例です。ハッカーはバックグラウンド構成ファイルにトロイの木馬のダウンロード リンクを挿入し、ソフトウェアのアップグレード時にトロイの木馬ファイルがダウンロードされるようにします。ソフトウェア自体のユーザー数が膨大であるため、トロイの木馬は短期間で多数のマシンに感染する可能性があります。 DTLMiner によって改ざんされた設定ファイル
4.1.2 クロスプラットフォーム攻撃マイニングトロイの木馬は、通常のコンピュータを制御するものから主に企業のホストを制御するものへと変化し、Windows マイニングのみを制御するものから複数のプラットフォームの混合感染へと変化してきました。 2019年、Tencent Yujian Threat Intelligence Centerは、「Agwl」、「Lolita Gang」、「WannaMine」、「Satan」など、Linuxを標的としたマイニング型トロイの木馬をいくつか発見しました。
2019年3月、サタンウイルスの最新亜種が出現しました。この亜種ウイルスは、Windows および Linux システムを無差別に攻撃し、影響を受けたコンピューターに、ビットコインを脅迫するランサムウェア ウイルスと、モネロを採掘するマイニング トロイの木馬を埋め込みました。
サタンウイルスのクロスプラットフォーム攻撃
我々は、ブラック業界が利益を最大化するために、マイニング型トロイの木馬をランサムウェア、リモートコントロールバックドア、クリップボード泥棒、DDOS、その他のトロイの木馬とパッケージ化し、ハイブリッド攻撃を行うことも発見しました。以下は、2019 年に流行した 7 つのウイルス ファミリと、攻撃で埋め込まれるウイルスの種類です。
複数のウイルスの複合攻撃
4.1.3 ソーシャルネットワーク
2019 年 12 月、Yujian Threat Intelligence Center は、ソーシャル エンジニアリング詐欺を通じて拡散されたマイニング型トロイの木馬である LaofuMiner を発見しました。攻撃者は、リモートコントロールトロイの木馬プログラムを「速報ニュース」「ポルノコンテンツ」「個人情報」「詐欺手法」などのファイル名に偽装し、ソーシャルネットワークを通じて標的のコンピュータに送信しました。被害者がファイルをダブルクリックして表示すると、「Big Bad Wolf」リモート コントロール トロイの木馬が直ちにインストールされました。次に、攻撃者はリモート コントロール トロイの木馬を使用して感染したコンピューターを制御し、マイニング トロイの木馬をダウンロードします。これにより、感染したコンピューターはマイナーになります。
フィッシング攻撃で使用されるファイル名の一部は次のとおりです。
LaofuMiner が使用するフィッシング ファイル
4.1.4 VNCの悪用
2019年3月、Phorpiexボットネットは、広く使用されているリモート管理ツール「VNC」のデフォルトポート5900に対してブルートフォース攻撃を開始し、高価値サーバーにGandCrab 5.2ランサムウェアをダウンロードして実行し、重要なシステムデータを暗号化して恐喝を実行しました。デジタル通貨取引を行うコンピュータがハッキングされた場合、デジタル通貨ウォレットをハイジャックするトロイの木馬が実行され、金銭が盗まれることになります。攻撃を受けたコンピュータが単なる普通のコンピュータであれば、Monero マイニングトロイの木馬が埋め込まれ、Phorpiex によって制御されるマイナーコンピュータになります。
Phorpiex が VNC サービスを攻撃 4.1.5 感染性ウイルス
2019年4月、感染性ウイルスSalityが、既存のP2Pネットワークを利用して、仮想通貨取引の盗難や乗っ取りを目的としたトロイの木馬「Clipboard Thief」を拡散していることが発見されました。
Sality は、ローカル ハード ドライブ、リムーバブル ストレージ デバイス、リモート共有ディレクトリ上の実行可能ファイルに感染する可能性があります。また、リムーバブルドライブやリモート共有ドライブの自動再生機能を使用して感染し、感染したシステムに「Clipboard Thief」トロイの木馬をダウンロードして実行することもできます。
Sality は実行可能ファイルのエントリ ポイントを変更し、元のファイル コードをウイルス コードに置き換えます。これにより、感染したすべてのプログラムは起動時にウイルス機能を実行します。 Sality 感染した実行ファイル
「クリップボード泥棒」トロイの木馬は、クリップボードの内容の文字形式の特性に基づいて Ethereum または Bitcoin ウォレット アドレスを判別し、クリップボードの内容を指定されたウォレットに置き換えます。この時点でユーザーがお金を貼り付けて転送すると、デジタル資産はハッカーのポケットに入ることになります。
「クリップボード泥棒」トロイの木馬がウォレットアドレスを置き換える 4.2.1 パワーシェル
2019 年 4 月 3 日、DTLMiner は Powershell で PE イメージを反射的に読み込み、「ファイルレス」方式でマイニング プログラムを実行しました。この方法では、悪意のあるコードを Powershell.exe プロセスで直接実行し、実行のために「ホワイト プロセス」に挿入するため、マイニング コードの検出と削除が困難になる可能性があります。また、大規模に「ファイルレス」形式の実行を使用するマイニング型トロイの木馬が発見されたのも今回が初めてです。
DTLMiner は、感染したシステムにスケジュールされたタスクをインストールし、暗号化された Powershell スクリプトを繰り返しダウンロードして実行し、スクリプト コードに Base64 でエンコードされた文字 $Code64 を埋め込みます。この文字は、実際には XMRIG マイニング プログラムのバイナリ データです。 Base64 でエンコードされた XMRig バイナリデータ
Powershell は最初に $Code64 をバイト形式にデコードし、次に Invoke-ReflectivePEInjection 関数を呼び出して、PE をメモリに反射的に挿入し、マイニング プログラムを実行します。
DTLMinerリフレクティブインジェクションがマイニングプログラムを実行する
4.2.2 DLLサイドローディング
KingMiner は 2018 年 6 月中旬に初めて登場しました。これは、Windows サーバー MSSQL に対してブルート フォース攻撃を実行する Monero マイニング トロイの木馬です。攻撃者はさまざまな回避手法を使用して仮想マシン環境とセキュリティ検出を回避し、一部のウイルス対策エンジンが正確に検出して駆除できなくなります。
KingMiner は、将来的にウイルス対策ソフトウェアによる検出を回避するために、マイニング型トロイの木馬を起動するときに、デジタル署名付きの通常のホワイト ファイルを使用して悪意のある DLL を呼び出す、DLL サイドローディング テクノロジー (「ホワイト + ブラック」テクノロジーとも呼ばれる) を使用します。これは、Microsoft システム ファイル「資格情報のバックアップと復元ウィザード」と、いくつかの有名企業のデジタル署名されたファイルを使用します。
「広州KuGouコンピュータテクノロジー株式会社」
「Google Inc」
「福建クリエイティブ嘉和ソフトウェア株式会社」
KingMiner が使用するホワイト ファイル署名 4.3.1 タスクの計画
KingMiner は RegisterTaskDefinition を使用して、WindowsMonitor という名前のスケジュールされたタスクを作成し、15 分ごとに Powershell スクリプトを実行します。または、システムの起動時に実行されるスケジュールされたタスク WindowsHelper をインストールし、WindowsHelper にスケジュールされたタスク WindowsMonitor をインストールして、VBS スクリプト コードを実行します。 KingMiner インストールスケジュール
4.3.2 WMIタイマー
KingMiner は WMI で WindowsSystemUpdate_WMITimer というタイマーとして作成され、スクリプト コードを実行するイベント コンシューマー WindowsSystemUpdate_consumer はイベント フィルター WindowsSystemUpdate _filter を通じてタイマーにバインドされます。タイマーが作動すると、VBS スクリプト コードが 15 分ごとに実行されます。
KingMiner は WMI タイマーをインストールします
4.3.3 外部からの侵入をブロックする
KingMiner は、コンピューターのバージョンが CVE-2019-0708 の脆弱性の影響を受けるかどうか、およびコンピューターに指定されたパッチ kb4499175、kb4500331、KB4499149、KB4499180、KB4499164 がインストールされているかどうかを判断します (これらのパッチは、Microsoft によってリリースされた CVE-2019-0708 リモート デスクトップ サービスのリモート コード実行の脆弱性に対するパッチ番号です)。
CVE-2019-0708 パッチがインストールされていない場合は、他のトロイの木馬がシステムに侵入してマイニング リソースを独占するという目的を達成できないように、他のマシンがリモート デスクトップ サービスを介してローカル マシンにアクセスすることを禁止するように設定を変更します。
KingMiner が RDP サービスを停止 5.1.1 パスワード管理 サーバーは、特に SQL サーバーの sa アカウント パスワードに対して、安全なパスワード ポリシーを使用します。次のような弱いパスワードは使用しないでください。
123456、admin、root、123456789、qwert、password、1234567、12345678、12345、lloveyou、111111、123123、888888、1234567890、88888888、666666 など。
5.1.2 ポート管理サーバーは、不要なポート (135、139、445、3389 など) を一時的に閉じます。詳細については、https://guanjia.qq.com/web_clinic/s8/585.html を参照してください。
企業ユーザーは、Tencent T-sec 高度脅威検出システム (Tencent Yujie) を導入して、ハッカー攻撃の手がかりを発見し追跡できます。テンセントT-sec先進脅威検出システムは、テンセントセキュリティアンチウイルスラボのセキュリティ機能をベースに、クラウドと端末上のテンセントの膨大なデータを活用して開発された独自の脅威インテリジェンスおよび悪意のある検出モデルシステムです。 (https://s.tencent.com/product/gjwxjc/index.html) Tencent Yujie 高度脅威検出システム SQL Server エクスプロイト警告
5.1.3 Windows の脆弱性の修復 以下の高リスクの Windows システムの脆弱性は、Microsoft の発表に従って適時に修復されました。
MS17-010 EternalBlue の脆弱性
XP、Windows Server 2003、Win8 およびその他のシステム アクセス:
http://www.catalog.update.microsoft.com/Search.aspx?q=KB4012598
Win7、win8.1、Windows Server 2008、Windows10、WindowsServer2016 およびその他のシステム: https://technet.microsoft.com/zh-cn/library/security/ms17-010.aspx
Office 数式エディターの脆弱性 CVE-2017-11882
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/CVE-2017-11882
Lnk 脆弱性 CVE-2017-8464
https://portal.msrc.microsoft.com/zh-cn/security-guidance/advisory/CVE-2017-8464
IE の脆弱性 CVE-2018-8174
https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/CVE-2018-8174
RDP サービスの脆弱性 CVE-2019-0708
Windows XP、Windows 2003:
https://support.microsoft.com/zh-cn/help/4500705/customer-guidance-for-cve-2019-0708
Windows 7、Windows 2008R2:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499175
Windows 2008:
https://www.catalog.update.microsoft.com/Search.aspx?q=KB4499180
Tencent Yudian または Tencent PC Manager を使用して脆弱性をスキャンし、修復することもできます。
(https://s.tencent.com/product/yd/index.html) テンセントロイヤルポイントがシステムの脆弱性を修正 5.1.4 サーバーコンポーネントの脆弱性の修復 a. Oracle WebLogic の任意のコード実行の脆弱性
CVE-2017-10271
影響を受けるバージョン
Oracle WebLogic Server 10.3.6.0.0
Oracle WebLogic Server 12.1.3.0.0
Oracle WebLogic Server 12.2.1.1.0
Oracle WebLogic Server 12.2.1.2.0
公式パッチ発表:
https://www.oracle.com/security-alerts/cpuoct2017.html
CVE-2018-2628
影響を受けるバージョン
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.2.1.2
Oracle WebLogic Server 12.2.1.3
Oracle WebLogic Server 12.1.3.0
公式パッチ発表:
http://www.oracle.com/technetwork/security-advisory/cpuapr2018-3678067.html
CVE-2019-2725
影響を受けるバージョン
Oracle WebLogic Server 10.3.6.0
Oracle WebLogic Server 12.1.3.0
公式パッチ発表:
詳しくはこちら
b. Apache 関連コンポーネントの脆弱性
Apache Struts2 リモートコード実行脆弱性 CVE-2017-5638
インパクト
Struts 2.3.5 – Struts 2.3.31
Struts 2.5 – Struts 2.5.10
公式パッチ発表:
https://cwiki.apache.org/confluence/display/WW/S2-045?from=timeline&isappinstalled=0
Apache Solr リモートコード実行脆弱性 CVE-2019-0193
影響を受けるバージョン
Apache Solr < 8.2.0
公式パッチ発表:
https://issues.apache.org/jira/browse/SOLR-13669
Apache Tomcat リモートコード実行脆弱性 CVE-2017-12615
影響を受けるバージョン
Apache Tomcat 7.0.0-7.0.79
公式パッチ発表:
http://tomcat.apache.org/security-7.html#Apache_Tomcat_7.0.81 で修正されました
また、Tencent Security が開発した Yuzhi ネットワーク資産リスク監視システムを使用して、ネットワーク資産のセキュリティ リスクをチェックし、会社のネットワーク資産とさまざまなアプリケーションの可用性、セキュリティ、コンプライアンスについて定期的なセキュリティ スキャン、継続的なリスク警告、脆弱性検出を実行することもできます。 (https://s.tencent.com/product/narms/index.html) Tencent Yuzhi が Apache Struts2 の脆弱性を検出 ホスト システムが著しく遅いことが判明した場合、またはサーバー プロセスが長時間 CPU の 80% 以上を占有している場合は、マイニング トロイの木馬に感染している可能性があります。以下の手順に従って操作を確認して削除してください。
5.2.1 感染の確認 1) 個人ユーザー
a. CPU を多く使用するプロセスとファイルを見つけるには、Windows タスク マネージャー (または PCHunter や Process Explorer)、または Linux のコマンド ps -aux を使用します。ファイルがシステム ディレクトリにある場合は、別のマシンで同じ名前の正常なシステム ファイルを探し、疑わしいファイルと比較します。ソフトウェア ディレクトリ内にある場合は、ソフトウェアと同じ名前の正常なファイルを探し、疑わしいファイルと比較します。 マイニングプロセスのCPU使用率
b. PCHunter または Linux のコマンド netstat -tup を使用して、プロセス ネットワーク接続の IP とポート (特に 5559、7777、4444、13333 などの疑わしいリモート ポート接続) を見つけます。次に、IP アドレスを使用してドメイン名の逆引き検索を実行し、IP を指すドメイン名に「miner」や「pool」などの単語が含まれているかどうかに注意してください。
上記の手順 a でシステム ファイルまたは通常のソフトウェア ファイルが除外され、手順 b に示すようにファイルに疑わしいネットワーク接続がある場合は、マイニング型トロイの木馬に感染している可能性があります。
2) 企業ユーザーには、マイニングプロセスにおける通信プロトコルを識別し、ネットワークトラフィックからマイニング動作を検出できる Tencent Yujie 高度な脅威検出システムを導入することをお勧めします。
Yujieが採掘行為を検出
5.2.2 ウイルスの削除 マイニングトロイの木馬に感染していることを確認した後、Tencent PC Manager を使用して削除するか、以下の手順に従って手動で削除することができます。
1) Windows システムでは、PCHunter またはその他の管理ツールを使用して、疑わしいプロセスを終了し、プロセス ファイルを削除し、スタートアップ項目、サービス、スケジュールされたタスクでファイル イメージを起動する項目を見つけて削除します。
PCHunter はマイニングトロイの木馬の起動項目を削除します
2) Linux システムでは、pkill -9 コマンドを使用してプロセスを終了します。
プロセス ファイルを削除し、crontab コマンドの下に表示されるトロイの木馬関連のスケジュールされたタスクを確認します。
次のディレクトリにあるトロイの木馬関連のスケジュールされたタスクを削除します。
/var/spool/cron/ルート/
/var/spool/cron/crontabs
次のディレクトリにあるトロイの木馬関連のスタートアップ項目を削除します。
/etc/rcS.d/
ディレクトリ
企業ユーザーは、Tencent Yudian 端末セキュリティ管理システムをサーバーに導入して、マイニング型トロイの木馬をクリーンアップできます。
5.2.3 ボットネットのクリーンアップ
1) マイキングス MyKings ボットネットのクリーンアップに関するアドバイス
データベース ジョブ名を確認し、悪意のあるコードを含むジョブを削除します。
データベースの保存手順を確認し、悪意のあるコードを含むコンテンツをクリーンアップします。
MyKings の最新バージョンは、「Dark Cloud」MBR や Rookit などの頑固なウイルスにも感染する可能性があるため、ユーザーは PC Manager System First Aid Kit を使用してこれをチェックし、駆除することができます。ユーザーガイドとダウンロードリンク: https://guanjia.qq.com/avast/283/index.html
コンピュータ マネージャー システム ファースト エイド キットは、MBR およびカーネル レベルのウイルスをクリーンアップします。
2) ワナマイナー
WannaMiner クリーンアップの提案 3) DTLMiner (Eternal Blue ダウンローダー トロイの木馬) DTLMiner クリーンアップの推奨事項
ランダムな名前のスケジュールされたタスクを削除します: "VDoaC"、"hadpeRz\oABwX"、"lKNVFjCJm\oWuUXql"
DTLMiner ランダム名計画タスク 起動プログラムは次のとおりです。 /c "A=power を設定し、%A%shell -ep bypass -e を呼び出します" /c "A=power を設定し、%A%shell -ep bypass -e ==" を呼び出します /c "A=power を設定し、%A%shell -ep bypass -e を呼び出します" 2017年にNSAの武器が漏洩して以来、「EternalBlue」の脆弱性はマイニング型トロイの木馬によって広く悪用されてきた。主要なセキュリティベンダーがこの脆弱性を修正し、防御しているため、この脆弱性の影響は徐々に減少しています。しかし、データによれば、「EternalBlue」脆弱性パッチをインストールしていないユーザーがまだ約30%いるという。そのため、2020年には「EternalBlue」の脆弱性を悪用した新たなマイニング型トロイの木馬が登場する可能性があると予想されます。 2019 年 5 月 15 日、Microsoft は、Windows 7、Windows Server 2008 R2、Windows Server 2008、Windows 2003、Windows XP を含む複数のバージョンの Windows に影響を与える、リモート デスクトップ サービス (旧称ターミナル サービス) の重大なリモート コード実行の脆弱性 CVE-2019-0708 の修正プログラムをリリースしました。攻撃者が脆弱性をうまく引き起こすと、ターゲットシステム上で任意のコードを実行できるようになります。
2019 年 9 月、CVE-2019-0708 の脆弱性を悪用する EXP コードが、metasploit-framework の Pull リクエストに公開されていることに気付きました。テスト後、リモートコード実行が可能になります。同時に、2019年10月には、マイニングワームDTLMinerも攻撃モジュールにCVE-2019-0708の脆弱性検出コードを追加しました。したがって、この脆弱性を悪用する新しいマイニング型トロイの木馬が 2020 年に出現する可能性が高いと推測されます。 MyKings、KingMiner、WannaMiner などのマイニング ボットネットは、初期段階で多数のマシンに感染しました。システムを制御した後、スケジュールされたタスク、データベース ストアド プロシージャ、WMI などのテクノロジを通じて執拗な攻撃を実行しました。したがって、彼らはいつでもサーバーから最新バージョンの悪意のあるコードをダウンロードすることができ、それらを完全に削除することを困難にします。将来、セキュリティベンダーとこれらのウイルスグループ間の対立は継続します。
wannacryワームの詳細な分析
https://www.freebuf.com/articles/system/134578.html
Wannaminer Mining Trojan攻撃事件報告書
https://mp.weixin.qq.com/s/feyaq_ahn2tzpy-5femp7a
ゾンビボーイトロイの木馬の分析
https://www.freebuf.com/column/157584.html
「VNC強盗」攻撃警告:影響を受ける企業は、Gandcrab 5.2を含む複数のウイルスから一連の重大な攻撃を受けました
https://www.freebuf.com/column/198957.html
塩分ウイルスは30,000個のコンピューターに感染し、ビットコインを盗みます
https://www.freebuf.com/column/218404.html
弱いSQLパスワードに対する攻撃を再び攻撃すると、キングマイナーマイナーは何万ものコンピューターを制御しました
https://www.freebuf.com/column/221248.html
Eternal Blue Trojan Downdoloderは、新しい「ファイヤーレスマイニング」モデルを作成します
https://www.freebuf.com/column/200241.html
Gandcrabはゲームをやめます。後継者Sodinokibiランサムウェアウイルスに注意してください
https://www.freebuf.com/column/205215.html
Blueheroワームが再びアップグレードされ、StuxNet 3世代のアーセナルを追加してください。
https://www.freebuf.com/column/181604.html
ワームウイルスブレハーロは再び「永遠の青」を使用して、企業のイントラネットで攻撃して広がります
https://www.freebuf.com/column/180544.html
Bulehero4.0マイニングワームは本当にクレイジーで、企業ネットワークを攻撃する10以上の方法があります
https://www.freebuf.com/column/219973.html
深Shenzhenのデジタル通貨研究のサポート
https://finance.sina.com.cn/blockchain/coin/2019-08-08-19/doc-ihytcitn0105787.shtml
静かに上昇するマイニングボットネット:サーバーを攻撃して何百万ものモネロコインを採掘します
https://www.freebuf.com/articles/web/146393.html
モネロを採掘するために2時間で100,000個のコンピューターに感染した「ドライブライフ」トロイの木馬の詳細な分析レポート
https://www.freebuf.com/column/192015.html
Drivelifeに対する慎重に計画された標的攻撃の分析
https://www.freebuf.com/articles/system/192194.html
| 
