由亚信安全梳理的《2021年度挖矿病毒专题报告》(简称《报告》)显示,在过去的一年,挖矿病毒攻击事件频发,亚信安全共拦截挖矿病毒516443次。从2021年1月份开始,挖矿病毒有减少趋势,5月份开始,拦截数量逐步上升,6月份达到本年度峰值,拦截次数多达177880次。通过对数据进行分析发现,6月份出现了大量挖矿病毒变种,因此导致其数据激增。
不仅老病毒变种频繁,新病毒也层出不穷。比如,有些挖矿病毒为获得利益最大化,攻击企业云服务器;有些挖矿病毒则与僵尸网络合作,快速抢占市场;还有些挖矿病毒在自身技术上有所突破,利用多种漏洞攻击方法。不仅如此,挖矿病毒也在走创新路线,伪造CPU使用率,利用Linux内核Rootkit进行隐秘挖矿等。
从样本数据初步分析来看,截止到2021年底,一共获取到的各个家族样本总数为12477248个。其中,Malxmr家族样本总共收集了约300万个,占比高达67%,超过了整个挖矿家族收集样本数量的一半;Coinhive家族样本一共收集了约84万个,占比达到18%;Toolxmr家族样本一共收集了约64万个,占比达到14%。排名前三位的挖矿病毒占据了整个挖矿家族样本个数的99%。
挖矿病毒主要危害有哪些?
一是能源消耗大,与节能减排相悖而行。
虽然挖矿病毒单个耗电量不高,能耗感知性不强,但挖矿病毒相比于专业“挖矿”,获得同样算力价值的前提下,耗电量是后者的500倍。
二是降低能效,影响生产。
挖矿病毒最容易被感知到的影响就是机器性能会出现严重下降,影响业务系统的正常运行,严重时可能出现业务系统中断或系统崩溃。直接影响企业生产,给企业带来巨大经济损失。
三是失陷主机沦为肉鸡,构建僵尸网络。
挖矿病毒往往与僵尸网络紧密结合,在失陷主机感染挖矿病毒的同时,可能已经成为黑客控制的肉鸡电脑,黑客利用失陷主机对网内其他目标进行攻击,这些攻击包括内网横向攻击扩散、对特定目标进行DDoS攻击、作为黑客下一步攻击的跳板、将失陷主机作为分发木马的下载服务器或C&C服务器等。
四是失陷主机给企业带来经济及名誉双重损失。
失陷主机在感染挖矿病毒同时,也会被安装后门程序,远程控制软件等。这些后门程序长期隐藏在系统中,达到对失陷主机的长期控制目的,可以向主机中投放各种恶意程序,盗取服务器重要数据,使受害企业面临信息泄露风险。不仅给而企业带来经济损失,还会带来严重的名誉损失。
2021年挖矿病毒家族分布
挖矿病毒如何进入系统而最终获利?
挖矿病毒攻击杀伤链包括:侦察跟踪、武器构建、横向渗透、荷载投递、安装植入、远程控制和执行挖矿七个步骤。
通俗地说,可以这样理解:
攻击者首先搜寻目标的弱点
↓
使用漏洞和后门制作可以发送的武器载体,将武器包投递到目标机器
↓
在受害者的系统上运行利用代码,并在目标位置安装恶意软件,为攻击者建立可远程控制目标系统的路径
↓
释放挖矿程序,执行挖矿,攻击者远程完成其预期目标。
图片来源网络
挖矿病毒攻击手段不断创新,呈现哪些新趋势?
●漏洞武器和爆破工具是挖矿团伙最擅长使用的入侵武器,他们使用新漏洞武器的速度越来越快,对防御和安全响应能力提出了更高要求;
●因门罗币的匿名性极好,已经成为挖矿病毒首选货币。同时“无文件”“隐写术”等高级逃逸技术盛行,安全对抗持续升级;
●国内云产业基础设施建设快速发展,政府和企业积极上云,拥有庞大数量工业级硬件的企业云和数据中心将成为挖矿病毒重点攻击目标;
●为提高挖矿攻击成功率,一方面挖矿病毒采用了Windows和Linux双平台攻击;另一方面则持续挖掘利益最大化“矿机”,引入僵尸网络模块,使得挖矿病毒整体的攻击及传播能力得到明显的提升。
用户如何做好日常防范?
1、优化服务器配置并及时更新
开启服务器防火墙,服务只开放业务端口,关闭所有不需要的高危端口。比如,137、138、445、3389等。
关闭服务器不需要的系统服务、默认共享。
及时给服务器、操作系统、网络安全设备、常用软件安装最新的安全补丁,及时更新 Web 漏洞补丁、升级Web组件,防止漏洞被利用,防范已知病毒的攻击。
2、强口令代替弱密码
设置高复杂度密码,并定期更换,多台主机不使用同一密码。
设置服务器登录密码强度和登录次数限制。
在服务器配置登录失败处理功能,配置并启用结束会话、限制非法登录次数和当登录次数链接超时自动退出等相关防范措施。
3、增强网络安全意识
加强所有相关人员的网络安全培训,提高网络安全意识。
不随意点击来源不明的邮件、文档、链接,不要访问可能携带病毒的非法网站。
若在内部使用U盘,需要先进行病毒扫描查杀,确定无病毒后再完全打开使用。
(策划:李政葳 制作:黎梦竹)
法澳联合声明插手台海问题 专家:会进一步加剧地区形势复杂性******
【环球时报驻法国、澳大利亚特派、特约记者 于超凡 达乔 环球时报报道 记者赵霜 张晗】澳大利亚与法国“2+2”部长级会谈1月31日发表联合声明,表示两国将共同为乌克兰提供数千发155毫米口径炮弹。同时,联合声明提到法澳在印太地区的合作,并将台海问题列入其中。接受《环球时报》记者采访的专家认为,法澳联合声明中涉中国表述的增加,是对美国盟友身份的再次宣示。在美国因素和乌克兰危机的影响下,法澳两国试图作为“印太地区的重要国家”在安全领域发挥影响,应该以促进区域合作、维护地区稳定为目标,硬扯上台海局势对两国及地区而言都是有害无益。
据路透社1月31日报道,正在法国访问的澳大利亚副总理兼国防部长马尔斯和外交部长黄英贤与法国国防部长勒科尔尼及外交部长科隆纳举行了“2+2”部长级会谈。除了重点探讨的法澳联合生产“数千发”155毫米炮弹,印太地区防务合作也是主要议题之一。澳大利亚国防部长马尔斯表示,“(法澳)双边关系正在升温”,期待两国国防军事伙伴关系更加深入,在印太地区进行更多的联合演习和军事合作。法国近年来一直谋求通过与地区国家合作来加强其在印太地区的军事存在。
澳大利亚《时代报》报道称,马尔斯提出法国是澳大利亚在太平洋地区最近的邻国之一,法国海外领地法属新喀里多尼亚和澳大利亚诺福克岛之间的距离不到700公里。他说:“法国是印太地区的自由民主国家,它拥有一个由全球规则秩序管理的全球愿景。”“从这个意义上说,作为我们最亲密的邻国,法国确实处于澳大利亚与世界上任何国家之间关系的最顶端。”
不过,澳媒称,两国在国防合作上仍存在分歧。法国仍寄希望在澳大利亚从英美获得核潜艇前能够向澳出口常规动力潜艇。对此,马尔斯给出了否定的答案。
在会后发布的联合声明中,双方在对乌军援、生态转型、军事合作等方面达成一致。除此之外,声明大篇幅谈到法澳在印太地区的合作,包括供应链安全、海上安全、气候变化等领域,以及重申支持东盟的中心地位和东盟主导的区域架构。此外,声明还在“印太地区”部分罕见地谈及台海问题,强调台海和平与稳定的重要性,呼吁在不使用武力或胁迫的情况下,通过对话和平解决两岸问题;重申共同反对单方面改变现状;承诺共同努力支持台湾有意义地参与“国家资格不是先决条件”的国际组织的工作;重申继续深化与台湾在经济、科学、贸易、技术和文化领域的关系。
此外,声明还写道:“部长们认识到,在应对气候变化、保护生物多样性、粮食安全和减免最脆弱国家的债务等共同关心的全球问题上,与中国继续合作至关重要。”
华东师范大学澳大利亚研究中心主任陈弘1月31日接受《环球时报》记者采访时表示,法澳联合声明此次对中国相关问题的表述与以往相比有所增加,增加的内容与美西方营造的舆论相同,相当于按照美国的剧本宣示自己的立场。然而,澳大利亚虽然有它的利益关切或战略考虑,但不能有损于中国的核心利益。
陈弘说,美国在推出“印太战略”后,一直希望将欧洲的力量引入印太地区,作为该地区重要国家的澳大利亚起到了跳板作用。他举例说,马尔斯接下来要去美国,黄英贤也有其他欧洲行程,在这期间,除了乌克兰问题,另一重点就是将欧洲一些力量引入印太地区。
中国国际问题研究院欧洲所所长崔洪建告诉《环球时报》记者,从双边的角度来讲,法国和澳大利亚希望通过此次“2+2”部长级会谈进一步缓和受“奥库斯”影响的双边关系;从法国方面来说,则期望通过加强和澳大利亚的关系来推进它的“印太战略”。在该背景下,法澳联合声明谈到台湾问题,是要表示对台海局势的关注。在这一点上,法国和澳大利亚都受到美国、乌克兰危机的影响,两国认为,作为印太地区的重要国家,他们需要保持对该地区安全的影响力。
不过,崔洪建强调,法国以及一些推出了“印太战略”的国家要搞协调但不能拿所谓“台海紧张局势”当借口。在涉台问题上不负责任的表态不仅会给这些国家的对华关系造成干扰,还会进一步加剧地区形势的复杂性。(环球时报)
(文图:赵筱尘 巫邓炎)