2018年クラウドマイニング分析レポート

最近、Alibaba Cloud セキュリティ チームは「2018 クラウド マイニング分析レポート」を発表しました。このレポートでは、2018 年の Alibaba Cloud の攻撃と防御のデータに基づいて、悪質なマイニングの状況を分析し、個人と企業に合理的なセキュリティ保護の提案を提供します。

報告書は、2018年に仮想通貨の価格が急落したにもかかわらず、サイバー犯罪者集団がサーバーに侵入して利益を得る最も直接的な手段は依然としてマイニングであると指摘した。 0-Day/N-Day 脆弱性は、発表後非常に短い時間内に侵入やマイニングに悪用されるケースが増えています。犯罪組織が脆弱性を利用してマイニング攻撃を仕掛ける傾向は今後も続くでしょう。

1. 攻撃状況分析

1. ホットな 0-Day/N-Day 脆弱性エクスプロイトは、マイニング ギャングの「武器庫」となり、ユーザーが 0-Day 脆弱性を修正できる期間が短くなりました。

2018 年には、広く使用されている多くの Web アプリケーションで高リスクの脆弱性が露呈し、インターネット セキュリティに深刻な脅威をもたらしました。その後、セキュリティコミュニティが脆弱性情報を分析し、脆弱性の詳細を共有したため、エクスプロイトコードはインターネット上で簡単に入手できるようになった。当然ながら、鉱山労働者集団は、容易に入手できるこれらの「兵器庫」を手放すことはないだろう。さらに、広くパッチが適用されていない一部の N-Day 脆弱性は、マイニング ギャングによって悪用されることがよくあります。このレポートでは、マイニングギャングによって広く悪用されたいくつかの注目の 0-Day/N-Day 脆弱性についてまとめています。

同時に、Alibaba Cloud は、ゼロデイ脆弱性の公開から大規模な悪用までの時間間隔がますます短くなっていることを観察しています。したがって、リスクの高いゼロデイ脆弱性が露呈した後に、それを時間内に修正しなかったユーザーは、悪意のあるマイニングの被害者になる可能性が高くなります。

2. パブリックネットワークに公開されている非ウェブネットワークアプリケーションは、マイニングギャングの主なターゲットとなっている

企業は、Web アプリケーションが引き起こす可能性のあるセキュリティ上の脅威に十分な注意を払っています。 WAF、RASP、脆弱性スキャンなどのセキュリティ製品も、Web アプリケーションのセキュリティ レベルを向上させています。非 Web ネットワーク アプリケーション (Redis、Hadoop、SQLServer など) は、多くの場合、企業のコア アプリケーションではありません。企業は、Web アプリケーションほどセキュリティ強化や脆弱性修復に投資しないため、リスクの高い脆弱性が修復されないままになることがよくあります。したがって、マイニング ギャングは、インターネット上のこれらの永続的な弱いアプリケーションを特に悪用することになります。このレポートでは、2018 年にマイニング ギャングによって悪用された非 Web アプリケーションの脆弱性のタイムラインをまとめています。

3. マイニング集団はブルートフォース攻撃を広く利用して拡散しており、脆弱なパスワードは依然としてインターネットが直面する主な脅威となっている。

次の図は、ハッキングされてマイニングに使用されたさまざまなアプリケーションの割合を示しています。 SSH/RDP/SQLServer がマイニングに使用される主要なアプリケーションであることがわかります。これらのアプリケーションは通常、ブルートフォースによって解読される弱いパスワードが原因でハッキングされ、マイニング ウイルスに感染します。このことから、弱いパスワードによって引き起こされる ID 認証の問題は、依然としてインターネットが直面する大きな脅威であることがわかります。

2. 悪意のある行為

1. マイニングバックドアはワームを通じて拡散されることが多い

被害者のホストをマイニングトロイの木馬に感染させた後、ほとんどのマイニングギャングは、これらの被害者のホストを制御して、ローカルネットワークとインターネット上の他のホストをスキャンおよび攻撃し、感染を拡大します。これらのマイニング型トロイの木馬は急速に広がり、インターネット上で根絶するのが困難です。少数のホストが悪意のあるプログラムに感染すると、他のホストを攻撃するように制御され、脆弱性や構成上の問題のある他のホストが急速にダウンするからです。

少数のマイニング集団が一部のホストを直接制御してネットワーク攻撃を開始します。被害者ホストに侵入した後、ホストにマイニングバックドアを埋め込むだけで、それ以上拡散することはありません。最も代表的なのは8220マイニングギャングです。この種の犯罪集団は、一般的にさまざまな脆弱性悪用手法を持ち、脆弱性を急速に更新します。

2.採掘ギャングは被害者のホストに固執することで最大の利益を得る

ほとんどの採掘グループは、最大の利益を得るために被害者のホストに固執しようとします。

通常、Linux システムでは、マイニング グループは crontab を使用して定期的に実行される命令を設定します。 Windows システムでは、マイニング グループは通常、schtask と WMI を使用して永続性を実現します。

以下は、Bulehero トロイの木馬が定期的なタスクを追加するために実行する schtask コマンドです。

 cmd /c schtasks /create /sc minute /mo 1 /tn "Miscfost" /ru system /tr "cmd /c C:\Windows\ime\scvsots.exe"cmd /c schtasks /create /sc minute /mo 1 /tn "Netframework" /ru system /tr "cmd /c echo Y|cacls C:\Windows\scvsots.exe /p everyone:F"

3. マイニングギャングは、プロセスの偽装、シェルの追加、コードの難読化、プライベートマイニングプールやプロキシの設定などにより、セキュリティ分析と追跡を回避します。

Bulehero マイニング ネットワークで使用されるウイルス ダウンローダー プロセスの名前は scvsots.exe で、これは通常の Windows プログラムの名前である svchost.exe と非常によく似ています。他のボットネットも、taskhsot.exe、taskmgr.exe、java など、通常のプログラムに似た悪意のあるプログラム名を使用します。

マイニング ボットネットの分析中に、ほとんどのバックドア バイナリ プログラムがシェルでパックされていることがわかりました。 Windows で最もよく使用されるのは、UPX、VMP、sfxrar などです。下の図に示すように、RDPMiner が使用する悪意のあるプログラムのほぼすべては、上記の 3 つのシェルのいずれかでパックされています。

さらに、マイニングギャングが使用する悪意のあるスクリプトは、さまざまな方法で難読化されることがよくあります。下の図に示すように、JBossMiner マイニング ボットネットは、vbs 悪意のあるスクリプトで難読化と暗号化を使用します。

手動分析は、難読化または復号化のためのさまざまな手段を通じて実行できますが、暗号化と難読化は、依然としてウイルス対策ソフトウェアを回避するための非常に効果的な手段です。

悪意のあるマイニンググループは、独自のウォレットアドレスを使用してパブリックマイニングプールに接続しますが、マイニングプールが受け取った苦情により、そのウォレットアドレスが禁止される可能性があります。マイニングギャングは、マイニングプールプロキシまたはプライベートマイニングプールを使用してマイニングを行う傾向があります。その結果、セキュリティ研究者がマイニングプールによって公開されたハッシュレートと支払い履歴に基づいて、侵害されたホストの数と規模を推定することは困難です。

III.主流ギャングの概要

1. DDG採掘ギャング

DDG マイニング ボットネットは、2017 年末に初めて公開されて以来、非常に活発な状態を保っています。その主な悪意のあるプログラムは Go 言語で書かれており、客観的に見て、セキュリティ担当者が調査および分析する上で一定の障害を生み出しています。頻繁なプログラム構成の変更と技術的なアップグレードにより、2018 年で最も有害なマイニング ボットネットとなっています。

DDG（3019）モジュールの構造と機能

2. 8220鉱業グループ

多くのマイニング ボットネットの中でも、8220 グループのマイニング トロイの木馬は、ワームのような方法で拡散するのではなく、脆弱性を直接悪用するという点で独特です。

理論的には、この方法はワームを介して拡散するボットネットよりもゆっくりと拡散し、生き残るのがより困難です。しかし、8220 マイニング ギャングは、この方法で依然として大量の感染を獲得しました。

採掘ネットワーク構造

3. マイキングス（隠れた）鉱山ギャング

Mykings（別名 theHidden）マイニング ネットワークは、2017 年半ばに多くの友好的な企業によって言及され、報告されました。 2014年から登場し、現在も活動しています。非常に強い生命力を持っていると言えます。ボットネットは非常に複雑で、Mirai や Masscan などの悪意のあるプログラムの機能を統合しています。さらに、ペイロードと BypassUAC 部分に極めて複雑な暗号化と難読化技術を使用して、攻撃の意図を隠し、セキュリティ ソフトウェアによる検出やセキュリティ研究者の分析を回避します。このマイニングボットネットは 11 月末に Dark Cloud と連携していたことが発覚し、その有害性がさらに高まっています。

採掘ネットワーク構造

4. ブレヘロ鉱山ギャング

採掘ネットワーク構造

5. RDPMiner マイニンググループ

マイニングボットネットは2018年10月に拡散し始め、それ以来マイニングプログラムの名前を数回変更しています。

採掘ネットワーク構造

6. JbossMiner マイニング グループ

Alibaba Cloud セキュリティ チームは、2018 年 3 月に、JbossMiner の悪意のあるプログラム サンプルがハニーポットから取得されたと報告しました。サンプルはpy2exeにパッケージ化されました。解凍して逆コンパイルすると、ソースコードや依存ライブラリなど数十のファイルを含む、Python で書かれた完全な攻撃プログラムであることが判明しました。 Windows および Linux の被害者ホストには異なるエクスプロイトがあります。

採掘ネットワーク構造

7. ワナマイン

WannaMine はワーム型のボットネットです。このマイニング集団の戦略は、かつて CrowdStrike によって「土地寄生型」と表現されました。これは、感染したホスト上の悪意のあるプログラムが、まず Mimikatz によって収集されたパスワードを使用して他のホストにログインしようとするためです。失敗した場合、「EternalBlue」の脆弱性を利用して他のホストを攻撃し、増殖して拡散します。

採掘ネットワーク構造

8. クワーカード

これは主に Redis データベースの不正アクセスの脆弱性を攻撃するマイニング ボットネットです。マイニング プログラムの名前を通常の Linux プロセス Kworkerd に偽装するため、この名前が付けられました。

このトロイの木馬は 1 つの脆弱性のみを悪用しますが、それでも多くの感染を引き起こします。これは、ユーザーがデータベースのセキュリティ構成を真剣に考慮する必要があることを示しています。

9. Dockerキラー

マイクロサービスの人気が高まるにつれ、アプリケーションの展開にコンテナを選択する企業が増えています。しかし、Docker はマイクロサービスを実装するための推奨コンテナですが、大規模に展開する場合のセキュリティは十分に考慮されていません。 2018 年 8 月、不適切な Docker 構成によって引き起こされた不正アクセスの脆弱性が、マイニング ギャングによって大量に悪用されました。

採掘ネットワーク構造

4. 安全に関する推奨事項

現在、コインの価格は低いものの、経済状況への下降圧力により、潜在的な犯罪行為が誘発される可能性があります。 Alibaba Cloud は、2019 年もマイニング活動の数は高い水準を維持すると予測しています。マイニングや脆弱性の悪用に関する知識が広まるにつれて、悪意のあるマイニング市場に参入するプレーヤーの数は若干増加して安定する可能性があります。

このような状況を踏まえ、Alibaba Cloud セキュリティ チームは、企業および個人向けに以下のセキュリティ推奨事項を提供しています。

セキュリティ システムにおける最も弱い部分は人間であり、最大のセキュリティ問題は人間の怠惰から生じる場合が多いです。そのため、弱いパスワードやブラストなどの問題が、マイニングの理由の半分を占めています。セキュリティ意識の教育は企業と個人の両方にとって不可欠です。

ゼロデイ脆弱性の修復期間がますます短くなっています。企業は脆弱性緊急対応の効率を向上させる必要があります。一方で、アプリケーション システムを積極的に更新し、他方では、製品のセキュリティに関する発表に注意を払い、タイムリーにアップグレードする必要があります。同時に、セキュリティ ホスティング サービスを購入して、独自のセキュリティ レベルを向上させることもできます。

クラウド上の柔軟なコンピューティング リソースによってもたらされる利便性により、一部の非 Web ネットワーク アプリケーションの露出リスクも増加しています。セキュリティ運用および保守担当者は、Web 以外のアプリケーションに関連するセキュリティ リスクに重点を置くか、IPS 機能を備えたファイアウォール製品を購入して、できるだけ早く 0-Day 脆弱性に対する保護を提供する必要があります。