摘要
2016年是勒索病毒泛濫的年份��,2017年隨著電子貨幣價(jià)格的一路攀升���,“挖礦”已成為黑客的新寵。黑客多利用“肉雞”(被控制的電腦)實(shí)施挖礦����,賺取電子貨幣,從而獲利(比特幣�����、門羅幣等)����。據(jù)統(tǒng)計(jì),2017年僅黑客組織隱匿者就利用肉雞挖到了2010枚門羅幣�����,相當(dāng)于61萬美元���,可以想到�����,2017年黑客通過挖礦凈利潤能達(dá)到百萬美元以上�。
“挖礦”雖然不像勒索病毒那樣讓被害者直接遭受數(shù)據(jù)丟失的損失。但會(huì)悄悄潛伏在被害者的機(jī)器中�,利用機(jī)器資源肆意進(jìn)行挖礦活動(dòng),導(dǎo)致計(jì)算機(jī)會(huì)變得又卡又慢����,甚至出現(xiàn)死機(jī)等情況,直接影響用戶的使用體驗(yàn)����。
“挖礦”由于機(jī)制原因?qū)C(jī)器的性能有相當(dāng)?shù)囊螅瑫r(shí)黑客攻擊的目標(biāo)主要集中在允許外網(wǎng)訪問的服務(wù)器中�����。于是各類云上的RDS和ECS服務(wù)器就成了黑客們優(yōu)先攻擊的目標(biāo)�。黑客在攻擊得手后,在服務(wù)器上部署挖礦程序����。惡意侵占被害者服務(wù)器的資源,為自己賺取電子貨幣�。
本文會(huì)向大家介紹“挖礦”到底是怎么回事��,以及常見的黑客入侵服務(wù)器部署挖礦程序的全過程�����,最后會(huì)給出如何抵御黑客入侵的建議。
挖礦
黑客們?yōu)槭裁匆诘V�����?這和電子貨幣體系有密切關(guān)系��。電子貨幣發(fā)行的過程可以簡單認(rèn)為就是挖礦過程�。電子貨幣是無國界的,所以不依賴于某個(gè)政府發(fā)行��。它的發(fā)行是在電子貨幣的系統(tǒng)中�����,“礦工”們用一種特別的軟件來解決數(shù)學(xué)難題�,作為工作量的回報(bào),“礦工”可以獲取電子貨幣系統(tǒng)新生成的特定數(shù)量的電子貨幣����。
以比特幣為例來說明�,比特幣網(wǎng)絡(luò)中每10分鐘會(huì)生成一個(gè)新的區(qū)塊����,這個(gè)新生成的區(qū)塊會(huì)包含三點(diǎn)內(nèi)容:
第一類:最近10分鐘產(chǎn)生的所有比特幣支交易記錄。比特幣采用的是P2P機(jī)制�,所有人的交易記錄,會(huì)出現(xiàn)在所有人的賬單上����,每10分鐘比特幣新產(chǎn)生的區(qū)塊會(huì)記錄所有人的交易信息。
第二類:區(qū)塊鎖��。每個(gè)區(qū)塊中的數(shù)學(xué)難題的答案����,首個(gè)通過hash等復(fù)雜運(yùn)算碰撞出答案的“礦工”會(huì)得到相應(yīng)的比特幣獎(jiǎng)勵(lì)。挖礦對(duì)機(jī)器的性能是有一定需求的��。數(shù)據(jù)庫服務(wù)器一般具有較高性能����,所以黑客更愿意花精力來捕捉數(shù)據(jù)庫服務(wù)器做挖礦機(jī)。
第三類:第一個(gè)解開區(qū)塊鎖的礦工獲得獎(jiǎng)勵(lì)�。電子貨幣的發(fā)行機(jī)制往往獎(jiǎng)勵(lì)的最大部分是給與第一個(gè)解決數(shù)學(xué)難題的人。
惡意挖礦程序
電子貨幣機(jī)制的產(chǎn)生本意是為了吸引更多的個(gè)體投入到系統(tǒng)中來,設(shè)立對(duì)礦工工作的獎(jiǎng)勵(lì)機(jī)制����。因此社會(huì)中就會(huì)有更多的人愿意將個(gè)人的計(jì)算機(jī)運(yùn)算能力提供給電子貨幣的網(wǎng)絡(luò)系統(tǒng),隨著電子貨幣的價(jià)值提升�����,又有更多的人加入其中進(jìn)行挖掘�����。
正常的挖礦機(jī)都是自愿加入到電子貨幣的網(wǎng)絡(luò)體系中���,為電子貨幣提供計(jì)算能力,然后依據(jù)自己的計(jì)算貢獻(xiàn)能力�����,從中獲取收益��。但是惡意程序是在未授權(quán)的情況下向被害者的服務(wù)器植入的一個(gè)挖礦程序��,并盜用被害者個(gè)人計(jì)算機(jī)的計(jì)算能力來為黑客掙錢�����。
挖礦機(jī)的選擇
黑客多會(huì)選擇入侵?jǐn)?shù)據(jù)庫服務(wù)器使其變成挖礦機(jī),這是因?yàn)閿?shù)據(jù)庫服務(wù)器具備以下適合成為挖礦機(jī)的特征:
1. 有明確的入侵渠道
云上數(shù)據(jù)庫服務(wù)器如果不進(jìn)行配置���,外網(wǎng)IP是開啟的�,任何人只要知道IP就可以訪問服務(wù)器�����,數(shù)據(jù)庫安裝采用固定的端口��,黑客利用腳本采取批量攻擊�����。除了利用數(shù)據(jù)庫漏洞入侵?jǐn)?shù)據(jù)庫外����,最常見的是暴力破解口令的方式。某些云上數(shù)據(jù)庫服務(wù)是有一組默認(rèn)用戶名和密碼的�����,很可能被黑客利用����,從而入侵?jǐn)?shù)據(jù)庫��。
2. 有一定的性能保障
數(shù)據(jù)庫服務(wù)器一般性能不會(huì)太低���。而礦工的收益和機(jī)器的性能又密切相關(guān),所以入侵?jǐn)?shù)據(jù)庫服務(wù)器部署挖礦程序�����,執(zhí)行性能是可以得到保障的�����。
3. 可以執(zhí)行系統(tǒng)命令且具備一定權(quán)限
數(shù)據(jù)庫服務(wù)器被入侵后�,大部分?jǐn)?shù)據(jù)庫都是可以在修改一些配置后���,對(duì)操作系統(tǒng)上的文件進(jìn)行操作�,甚至執(zhí)行操作系統(tǒng)命令���,為下載挖礦工具和一些守護(hù)進(jìn)程提供了可能和權(quán)限����。
4. 可創(chuàng)建穩(wěn)定鏈接
數(shù)據(jù)庫被入侵后,黑客可以創(chuàng)建屬于自己的數(shù)據(jù)庫后門(數(shù)據(jù)庫賬號(hào)和密碼)����,從而能長期控制數(shù)據(jù)庫和數(shù)據(jù)庫服務(wù)器,作為自己的挖礦機(jī)�����。
5. 隱蔽性好
挖礦機(jī)運(yùn)行時(shí)會(huì)導(dǎo)致服務(wù)器壓力飆升�����。數(shù)據(jù)庫服務(wù)器某些時(shí)段壓力提升�����,不會(huì)讓人馬上想到是挖礦機(jī)造成�����,而會(huì)花大量力氣在錯(cuò)誤的方向上����,從而減慢挖礦機(jī)被發(fā)現(xiàn)的時(shí)間,賺取更多利潤�。
黑客入侵過程追蹤
在了解黑客選擇數(shù)據(jù)庫服務(wù)器作為主要入侵目標(biāo)后��,我們進(jìn)一步了解黑客是如何一步一步把你的數(shù)據(jù)庫變成他的挖礦機(jī)的�。黑客從入侵到完成部署挖礦機(jī)主要分為以下5個(gè)步驟:
1���、掃描確定嘗試入侵目標(biāo)
黑客一般不會(huì)采用全網(wǎng)段掃描�,而是基于一定隨機(jī)值在一個(gè)網(wǎng)絡(luò)段選取部分進(jìn)行掃描���,并且使用TCP_SYN掃描�。TCP_SYN掃描只發(fā)送SYN包�,通過端口開放回應(yīng)SYN&ACK包,端口關(guān)閉回應(yīng)RST包來判斷端口是否存在�。雖然這種方法存在一定偏差性,但可以有效隱蔽黑客的掃描行為����,暫時(shí)發(fā)現(xiàn)黑客最關(guān)注的端口是1433(SQLServer)和3306(MySQL),掃描后生成一個(gè)IP和端口的列表����。
2����、暴力破解入侵?jǐn)?shù)據(jù)庫
黑客掃描完會(huì)把生成的列表發(fā)送到C&C服務(wù)器�����。開始對(duì)掃描出的端口做爆破用的密碼字典配置�����。執(zhí)行暴力破解的時(shí)候會(huì)采用多臺(tái)已被攻陷的肉雞����,不同時(shí)段和批次的進(jìn)行暴力破解��。如果順利破解出密碼��,登陸數(shù)據(jù)庫準(zhǔn)備下一步攻擊���。
3����、部署數(shù)據(jù)庫后門
黑客在順利登陸到數(shù)據(jù)庫后����,首先會(huì)嘗試在數(shù)據(jù)庫部署后門,以保持日后還可以長期穩(wěn)定的使用該數(shù)據(jù)庫��。
黑客多使用某些特定操作建立后門用戶或修改已知用戶密碼。
請(qǐng)注意如果你的數(shù)據(jù)庫中存在賬號(hào) hanako�、kisadminnew1、401hk$�����、guest�����、Huazhongdiguo110中的任意一個(gè)�。很可能你的數(shù)據(jù)庫服務(wù)器已經(jīng)被某個(gè)黑客組織植入了挖礦機(jī)。
4����、利用數(shù)據(jù)庫下載挖礦程序
由于操作需要使用到某些存儲(chǔ)過程,所以整個(gè)過程分為兩個(gè)階段���。第一階段準(zhǔn)備環(huán)境��,修改數(shù)據(jù)庫配置�����。第二階段下載工具���,第一階段準(zhǔn)備環(huán)境主要是讓數(shù)據(jù)庫有執(zhí)行shell的能力,最常見的是利用 xp_cmdshell執(zhí)行shell
1)恢復(fù)xp_cmdshell
2)開啟被禁用的xp_cmdshell
也有利用SP_OACreate執(zhí)行shell的
3)使用SQL Server CLR執(zhí)行shell
當(dāng)完成環(huán)境部署�����,能用數(shù)據(jù)庫調(diào)用shell后進(jìn)入第二階段下載挖礦工具
4)第二階段下載挖礦工具
使用shell向C&C 服務(wù)器發(fā)起請(qǐng)求���,下載挖礦工具���。
5、部署挖礦程序開始挖礦
在利用數(shù)據(jù)庫完成一些列配置文件的創(chuàng)建和編寫�����,開始調(diào)用挖礦程序進(jìn)行挖礦����。
安全解決之道
整個(gè)數(shù)據(jù)庫入侵過程歸根結(jié)底主要是數(shù)據(jù)庫弱口令和數(shù)據(jù)庫安全配置缺失問題導(dǎo)致的災(zāi)難。云上數(shù)據(jù)庫雖然部署方便���、使用快捷�,但部署時(shí)難免存在安全考慮不周的地方�,給不法分子帶來可乘之機(jī)����。
快速部署后的數(shù)據(jù)庫安全配置至關(guān)重要����。合理的安全配置會(huì)對(duì)密碼的強(qiáng)度有相當(dāng)?shù)囊蟆?shù)據(jù)庫的安全配置可以參考各家數(shù)據(jù)庫官網(wǎng)的安全配置����,同時(shí)也可以關(guān)注和參考安華金和基于數(shù)據(jù)庫研究并結(jié)合云數(shù)據(jù)庫RDS/ECS經(jīng)驗(yàn)總結(jié)出的數(shù)據(jù)庫最佳安全配置系列文章。
值得注意的是��,黑客主要攻擊的目標(biāo)是Windows和Linux系統(tǒng)的數(shù)據(jù)庫服務(wù)�。如果能控制住對(duì)數(shù)據(jù)庫有訪問權(quán)限的機(jī)器,就能夠有效避免此類攻擊����。通過數(shù)據(jù)庫防火墻或者網(wǎng)絡(luò)防火墻等設(shè)備嚴(yán)格控制,可以訪問默認(rèn)服務(wù)器的IP�,因此必須經(jīng)常檢查對(duì)數(shù)據(jù)庫有訪問權(quán)限的設(shè)備清單,保持這個(gè)清單最小化��,尤其要注意清單中直接通過互聯(lián)網(wǎng)訪問的機(jī)器�����,采用白名單策略,所有不在清單上的IP或域名對(duì)數(shù)據(jù)庫的連接嘗試都應(yīng)該攔截并進(jìn)行調(diào)查�。
為了更加方便的解決數(shù)據(jù)庫安全配置引起的各種安全問題�����,建議使用安華云安全免費(fèi)提供的數(shù)據(jù)庫漏掃綠色下載版本�,快速完成針對(duì)數(shù)據(jù)庫安全配置的所有檢查,并給出修復(fù)建議��,從數(shù)據(jù)庫配置上徹底阻斷黑客入侵的步伐�����。
產(chǎn)品咨詢:4000 258 365 
