加密货币市值起起伏伏,但加密挖矿程序仍在全球肆虐。近期,Akamai 安全研究团队观察总结了 dhpcd 加密挖矿程序的长期攻击活动。该活动可通过暴力破解密码,攻击运行安全外壳协议服务器的目标计算机,并利用这些计算机运行门罗币加密挖矿程序。
dhpcd 基本定义
Akamai 安全研究团队将“基于开源 XMRig 的加密挖矿程序”命名为“dhpcd”,这一名称源自合法 Linux 守护程序 dhcpd 上一个难以检测的进程。
缘何难以检测
·大量应用字母交换技术
当计算机启动时,负责配置计算机上运行的 DHCP 服务器的进程。这种字母交换技术被大量用于多种攻击媒介以逃避检测,这是该恶意软件成功保持四年多活跃度的原因之一。
·隐蔽于 Tor 出口节点
该恶意软件使用 Tor 出口节点进行隐藏,即使并非不能实现,也很难追踪攻击来源。随后,该恶意软件会挖掘隐私币门罗币,可从加密挖矿程序二进制文件中,发现门罗币钱包。
DHCP, Dynamic Host Configuration Protocol 缩写,表示“动态主机设置协议”
Tor, The Onion Router 缩写,表示“洋葱路由器”,一款实现匿名通信的软件
2018年4月,dhpcd 首次攻击 Akamai 的威胁传感器,并在此后4年间处于持续活跃状态。这款稳定运行如此之久的加密挖矿程序可实现暴力入侵,同时通过“反侦察”及时隐蔽自身。它不仅能够在受感染的计算机上成功逃避检测,而且诸多安全服务供应商和各种威胁情报源,也对 dhpcd 束手无策。
攻击活动范围
截止目前,Akamai 威胁传感器已记录2215次攻击,分布在843个不同的攻击者 IP 上,每个 IP 平均发起 2.6 次攻击。2022年3月,dhpcd 所基于的加密挖矿程序 XMRig 从版本2.13.0升级到5.2.0。随后攻击规模和范围明显上升。而在5月份,出现了今年的攻击峰值。
Akamai 威胁传感器监测到的 dhpcd 攻击活动记录
值得注意的是,840个攻击者 IP 中约80%均是 Tor 出口节点,由此几乎不可能追踪到攻击行为背后的主导者。这意味着使用 Tor 的组织会积极参与 dhpcd 传播和恶意软件分发。根据国家/地区 Tor 出口节点数量,可以发现大部分攻击者 IP 位于欧美,大多数欧洲的攻击来自德国和荷兰。
攻击者 IP 欧美占比更高
攻击流分析
妥善应对 dhpcd 攻击,需要整体明确它的攻击流阶段。具体来说,从 dhpcd 的初始入侵到防守方的检测措施,主要表现为以下流程:
明辨多步威胁,展开及时抵御
·入侵加密
暴力解密以破坏目标计算机,使用安全拷贝将虚拟可执行文件下载至二进制文件夹中,以及将 dhpcd 下载到同一目录中,随后通过 TCP 端口 4444 搜索多种可用的矿池服务器。
·持久驻留
为实现加密挖矿程序持久驻留,黑客会通过修改 /etc/shadow 文件属性来保护更改过的密码,并应用持久性工具,实现每小时运行一次加密挖矿程序,以及伴随系统自动启动。
·压制竞对
为尽可能攫取计算机资源,攻击者持续排外,会从 /dev/shm 目录执行两个脚本,查询并终止资源消耗显著的进程,同时收集潜在竞争对手信息,确保持续有更多内存可被占用。
·检测抵御
通过将安全外壳协议配置为仅使用私钥和公钥,同时阻止所有基于密码的登录尝试,来阻止 dhpcd 攻击;想要检测系统是否被感染,请运行下方 Akamai 检测脚本定位攻击踪迹。
简而言之,dhpcd 是一项使用实效技术的加密挖矿活动,它通过将 Tor 整合到感染管道中,已超越常规攻击活动,展示出了更具威胁的开放式平台效应,可深度隐藏攻击的基础架构和来源。
dhpcd 四年以来的持续活跃,正说明即使是执行字典攻击和交换字母“极简型”攻击活动,同样能够入侵网络并获利。企业安全团队应该对此类攻击保持高度警觉,在此过程中,Akamai 也将持续利用自身全球流量智能监测优势和多重安全解决方案,支持企业不断提高系统的安全性。
注册亚马逊店铺可以用动态IP,只要是独立且干净的网线就没问题,亚马逊规则要求一个IP地址只能出现一个亚马逊店铺,若使用不当会导致关联账户。 固定ip可以给我们的账户带来更多的安全,要知道关联问题是亚马逊上的一个大问题,对于在同站点上进行多账号操作的卖家来说,自…
码刀科技(www.lekshop.cn)是国内知名企业级电商平台提供商,为企业级商家提供最佳的电商平台搭建(多种模式电商平台搭建:B2B/B2B2C/B2C/O2O/新零售/跨境等)、平台管理系统开发及互联网采购解决方案服务, 联系客服了解更多.
