目錄序言一、區塊鏈安全事件頻發,案值過億屢見不鮮1.數字加密貨幣撐起6000億美元的市值2.區塊鏈安全事件爆發率逐年增加,案值增大二、區塊鏈安全威脅分類1.引發區塊鏈數字加密貨幣三大安全問題2.區塊鏈數字加密貨幣安全事件詳解2.1因比特幣自身機制而出現的安全事件2.2因區塊鏈生態系統原因導致的安全事件2.3區塊鏈使用者面臨的風險三、區塊鏈數字貨幣“熱”背后的三大網絡安全威脅1.數字貨幣勒索事件頻發,基礎設施成勒索病攻擊重點目標1.1上半年勒索病攻擊特征與三大勒索病家族1.2下半年勒索病的傳播趨勢2.挖礦木馬“異軍突起”,成幣圈價值“風向標”2.1上半年挖礦木馬樣本分析與傳播特征2.2下半年挖礦木馬的傳播趨勢3.數字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元3.1數字加密貨幣交易平臺被攻擊3.2個人賬號遭入侵3.3“雙花攻擊”3.4漏洞攻擊四、安全建議序言2018年,是公認的區塊鏈大年。與區塊鏈有關的討論不僅遍存在于中關村的創業咖啡,更是存在于街頭巷尾、地鐵公交、微博微信,幾乎無處不在。然而,伴隨著區塊鏈技術的不斷發展,區塊鏈領域本身的安全問題逐漸凸顯,與區塊鏈相關的詐騙、傳銷等社會化安全問題日益突出。隨著區塊鏈的經濟價值不斷升高,促使不法分子利用各種攻擊手段獲取更多敏感數據,“盜竊”、“勒索”、“挖礦”等,借著區塊鏈概念和技術,使區塊鏈安全形勢變得更加復雜。據網絡安全公司CarbonBlack的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜,且在全球范圍內因區塊鏈安全事件損失金額還在不斷攀升。為了護航區塊鏈產業健康發展,6月21日“中國區塊鏈安全高峰論壇”上,中國技術市場協會、騰訊安全、知道創宇、中國區塊鏈應用研究中心等政府指導單位、網絡安全企業、區塊鏈相關機構及媒體等二十余家機構、單位聯合發起“中國區塊鏈安全聯盟”,聯盟成立后著手建立區塊鏈生態良性發展長效機制,著重打擊一切假借區塊鏈名義進行變相傳銷、詐騙等斂財行為。區塊鏈安全正受到越來越多的關注,除了廣大用戶特別關心的會不會踩雷“空氣幣”,騰訊安全聯合實驗室的關注點還在于圍繞區塊鏈,存在哪些安全風險,以及面對風險怎樣才能避免出現重大損失。基于此,騰訊安全聯合實驗室聯合知道創宇,梳理了2018年上半年圍繞區塊鏈爆發的典型安全事件,并給出防御措施,希望盡可能幫助用戶避開區塊鏈的“雷區”。一、區塊鏈安全事件頻發,案值過億屢見不鮮1.數字加密貨幣撐起6000億美元的市值
數字加密貨幣,是按照一定的數學算法,計算出來的一串符號。信仰者認為這串符號,代表一定的價值,可以像貨幣一樣使用。因為其僅存在于計算機中,人們常稱之為“數字加密貨幣”。不同于由政府發行、并以政府信用做擔保,用于商品流通交換的媒介——法幣。數字加密貨幣,是由某個人或某個組織發行,通過一定算法,找到一串符號,然后宣稱其是“XX幣”。世界上首個數字加密貨幣由日本人中本聰發現,被他稱作比特幣。在比特幣成功取得黑市交易硬通貨的地位之后,引發了數字加密貨幣發行狂潮。至今,全球出現過的數字加密貨幣已超過1600種,是地球上國家總數的8倍多。這1600多種數字虛擬幣中,存在大量空氣幣,被認為一文不值。但這1600多種數字虛擬幣,在高峰時期,卻撐起了6000億美元的市值。排名前十的加密數字貨幣,占總市場的90%,其中比特幣、以太坊幣分別占總市值的46.66%和20.12%。
關于ICO一家上市公司發行股票,需要向證券交易場所提交IPO申請,當一種虛擬數字貨幣需要上市發行時,會尋求數字虛擬幣交易所申請ICO。ICO機構并不像IPO機構那樣由各國政府機構依法建立,有強大的財經、實力做保障,ICO組織均為民間自發形成的組織或聯盟,類似自由市場。部分ICO機構的實際表現,實際上更接近于跨國詐騙組織。空氣幣在全球范圍內滿天飛,群雄四起的ICO機構功不可沒。2.區塊鏈安全事件爆發率逐年增加,案值增大
動態 | 《合肥區塊鏈產業報告2019》正式發布:近日《合肥區塊鏈產業報告2019》正式發布,報告顯示,目前安徽全省共有區塊鏈相關企業161家,其中128家位于省會合肥,主要集中區塊鏈技術研發、區塊鏈技術銷售服務、數字代幣發行銷售三大領域。報告建議,要加強監管,分類指導,明確紅線,建立健全區塊鏈產業治理機制和體系,讓區塊鏈產業更好地服務實體企業和經濟發展。(合肥網)[2019/12/27]
加密數字貨幣一經誕生,安全性就是人們關注的焦點,遺憾的是各類重大安全事件層出不窮。就比如下面這些驚人的案例:2013年11月,澳大利亞廣播公司報道,當地一位18歲的青年稱,自己運營的比特幣銀行被盜,損失4100個比特幣;2014年3月,美國數字貨幣交易所Poloniex被盜,損失12.3%的比特幣;2014年Mt.gox盜幣案——85萬枚,價值120億美元;2015年1月,Bitstamp交易所盜幣案——1.9萬枚比特幣,當時價值510萬美元;2015年2月,黑客利用比特兒從冷錢包填充熱錢包的瞬間,將比特兒交易平臺冷錢包中的所有比特幣盜走,總額為7170個比特幣,價值1億美元;2016年1月1日,Cryptsy交易平臺失竊1.3萬比特幣,價值1.9億美元;2016年8月1日,全球知名比特幣交易平臺Bitfinex盜幣案——約12萬枚,價值18億美元;2017年3月1日,韓國比特幣交易所yapizon被盜3831枚比特幣,相當于該平臺總資產的37%,價值5700萬美元;2017年6月1日,韓國數字資產交易平臺Bithumb被黑客入侵,受損賬戶損失數十億韓元;2017年7月1日,BTC-e交易所盜幣案——6.6萬枚,價值9.9億美元;2017年11月22日Tether宣布被黑客入侵,價值3100萬美元的比特幣被盜;2017年11月23日,Bitfinex發生擠兌3萬比特幣瞬間被提走;據美國財經網站CNBC報道,網絡安全公司CarbonBlack的調查數據顯示,2018年上半年,有價值約11億美元的數字加密貨幣被盜。二、區塊鏈安全威脅分類1.引發區塊鏈數字加密貨幣三大安全問題
與數字加密貨幣有關的安全事件為何影響如此嚴重呢?產生安全風險的原因在哪兒?騰訊聯合安全實驗室和知道創宇公司認為:基于區塊鏈加密數字貨幣引發的安全問題來源于區塊鏈自身機制安全、生態安全和使用者安全三個方面。
上述三方面原因造成的經濟損失分別是12.5億、14.2億和0.56億美元。總的趨勢是,隨著數字虛擬貨幣參與者的增加,各種原因導致的安全事件也顯著增加。
細分來觀察:區塊鏈自身機制安全問題?——智能合約的問題——理論上存在的51%攻擊已成現實區塊鏈生態安全問題——交易所被盜——交易所、礦池、網站被DDoS——錢包、礦池面臨DNS劫持風險——交易所被釣魚、內鬼、錢包被盜、各種信息泄露、賬號被盜等使用者安全問題——個人管理的賬號和錢包被盜——被欺詐、被釣魚、私鑰管理不善,遭遇病木馬等。2.區塊鏈數字加密貨幣安全事件詳解
2.1因比特幣自身機制而出現的安全事件
2018年5月,比特幣黃金遭遇51%雙花攻擊,損失1860萬美元。2017年10月,比特幣網絡遭遇垃圾交易攻擊,導致10%以上的比特幣節點下線。51%雙花攻擊最為典型,所謂51%攻擊就是有人掌握了全網51%以上的算力之后,就可以像賽跑一樣,搶先完成一個更長的、偽造交易的鏈。比特幣只認最長的鏈。所以偽造的交易也會得到所有節點的認可,假的也隨之變成真的了;“雙花”從字面上看,就是一筆錢被花出去了兩次。以BTG事件為例,就是黑客臨時控制了區塊鏈之后,不斷地在交易所發起交易和撤銷交易,將一定數量的BTG在多個錢包地址間來回轉,一筆“錢”被花了多次,黑客的地址因此能得到額外的比特幣。
公告 | 幣安將于2019年5月7日20:00開放ATOM相關交易市場:據官網消息,幣安將于2019年5月7日20:00上線 ATOM/USDC、ATOM/PAX、ATOM/TUSD 交易市場。[2019/5/6]
2.2因區塊鏈生態系統原因導致的安全事件
比如交易所面臨的風險,被DDoS攻擊的事件常有發生。還有交易所賬戶被黑客控制,攻擊者控制交易行情,場外套利。2018年3月,號稱世界第二大交易所的“幣安”被黑客攻擊,大量用戶發現自己賬戶被盜。黑客將被盜賬戶中所持有的比特幣全部賣出,高價買入VIA,致比特幣大跌,VIA暴漲110倍。2.3區塊鏈使用者面臨的風險
數字虛擬幣錢包,要理解或完全掌握這些交易工具的使用有較高的門檻,要求使用者對計算機、對加密原理、對網絡安全均有較高的認知。然而,許多數字虛擬幣交易參與者并不具有這些能力,非常容易出現安全問題。2017年7月1日,中原油田某小區居民188.31個比特幣被盜。油田幾個月后將位于上海的竊賊戴某抓獲,價值280萬美元;2017年10月,東莞一名imToken用戶發現100多個ETH被盜,最終確認是身邊的朋友盜取他的數字加密貨幣。三、區塊鏈數字貨幣“熱”背后的三大網絡安全威脅1.數字貨幣勒索事件頻發,基礎設施成勒索病攻擊重點目標
勒索病是2018年上半年危害互聯網最嚴重的病之一。勒索病加密受害者電腦系統,并要求受害者向某些指定的比特幣錢包轉帳,其危害范圍日益擴大,影響到事關國計民生的各個行業。1.1上半年勒索病攻擊特征與三大勒索病家族
從受攻擊行業分布上看,傳統工業、互聯網行業、教育行業和政府機構是受勒索病攻擊的重災區,醫療行業緊隨其后。醫療由于其行業特殊性,一旦遭受到病攻擊導致業務停擺,后果將不堪設想。
觀察2018上半年勒索病攻擊系統占比可知,WindowsServer版本系統受攻擊次數占比大于普通家用、辦公系統。WindowsServer版本系統中WindowsServer2008版本系統受勒索病攻擊占比最大,造成該現象的主要原因為企業服務器數據價值一般情況下要遠遠高于普通用戶,中招后更加傾向于繳納勒索贖金,這一特性進一步刺激了攻擊者有針對性地對服務器系統的設備實施攻擊行為。
2018上半年以GlobeImposter,Crysis,GandCrab為首的3大勒索家族展開的攻擊活動占據了網絡勒索事件的絕大部分。此外,Satan家族在2018上半年時段展開的攻擊也有明顯上升,其它老牌家族依然有不同程度的活躍。
Top1:GlobeImposter勒索病家族2018年2月,春節過后不久,包括醫療行業在內的多家國內公共機構的服務器就遭到最新的GlobeImposter家族勒索病變種的攻擊,黑客在突破企業防護邊界后釋放并運行勒索病,加密破壞數據庫文件,最終導致系統被破壞,正常工作秩序受影響。該勒索病變種將加密后的文件重命名為.GOTHAM、.Techno、.DOC、.CHAK、.FREEMAN、.TRUE、.TECHNO等擴展名,并通過郵件來告知受害者付款方式,使其獲利更加容易方便。
《京東全民閱讀報告2018》:男性最關注區塊鏈技術:根據京東數據研究院發布的《京東全民閱讀報告2018》,其熱門圖書讀者性別分析中顯示,男性讀者最熱衷于區塊鏈領域的圖書,而女性讀者更注重養生。[2018/4/28]
Top2:Crysis勒索病家族Crysis家族最早可以追溯到2016年3月,進入2017年后開始針對windows服務器發起持續攻擊。Crysis勒索病家族的攻擊模式主要為黑客通過爆破遠程登錄后,手動傳播勒索病并執行。Crysis勒索病在2017年5月萬能密鑰被公布之后,消失了一段時間,但在2018上半年中新的變種依然比較活躍。Crysis家族變種也有多種,較為流行的加密后綴多為.arena、.arrow等,并且附加上的后綴中還會帶有受害者id和勒索者聯系郵箱,如1.txt.id-EE5106A8..arrow。贖金金額需要受害者自行聯系黑客方可獲知。
Top3:GandCrab勒索病家族GandCrab勒索病家族堪稱2018年勒索病界的“新星”,自1月騰訊御見威脅情報中心捕獲到首次盯上達世幣的勒索病GrandCrab起,短短幾個月的時間,GrandCrab歷經四大版本更迭。第一版本的GandCrab勒索病因C&C被海外安全公司與合作后控制而登上各大科技媒體頭條,兩個月后GandCrabV2版本勒索病出現,勒索軟件作者為了報復安全公司與控制了其V1版本的C&C服務器,在V2版本中直接使用了帶有安全公司與相關的字符做為其V2版本的C&C服務器,因而又一次登上科技新聞版面。兩個月后的GandCrabV3版本結合了V1版本與V2版本的代碼隱藏技術,更加隱蔽。GandCrabV3勒索病使用CVE-2017-8570漏洞進行傳播,漏洞觸發后會釋放包含“?????”字樣的誘餌文檔。與以往版本的該家族的勒索病相比,該版本并沒有直接指明贖金金額,而是要求用戶使用Tor網絡或者Jabber即時通訊軟件與勒索者聯系。GandCrabV4版本為該家族系列病中目前最新迭代版本,相比較以往的版本,V4版本文件加密后綴有了進一步變化,傳播渠道上也有了進一步的擴展,病通過軟件供應鏈劫持,破解軟件打包病文件,進一步傳播到受害者機器實施勒索攻擊。此外,4月3號發現“魔鬼”撒旦勒索病攜“永恒之藍”漏洞卷土重來,變種不斷出現,對企業用戶威脅極大。該病會加密中電腦的數據庫文件、備份文件和壓縮文件,再用中英韓三國語言向企業勒索0.3個比特幣,該病的最新變種除了依賴“永恒之藍”漏洞在局域網內攻擊傳播,還會利用多個新漏洞攻擊,包括JBoss反序列化漏洞、JBoss默認配置漏洞(CVE-2010-0738)、Tomcat漏洞、Tomcatweb管理后臺弱口令爆破、WeblogicWLS組件漏洞等等。1.2下半年勒索病的傳播趨勢
勒索病與安全軟件的對抗加劇隨著安全軟件對勒索病的解決方案成熟完善,勒索病更加難以成功入侵用戶電腦,病傳播者會不斷升級對抗技術方案。勒索病傳播場景多樣化傳統的勒索病傳播主要以釣魚郵件為主,勒索病更多利用了高危漏洞、魚叉游戲攻擊,或水坑攻擊等方式傳播,大大提高了入侵成功率。以GandCrab為例,該家族勒索病傳播同時利用了釣魚郵件、水坑攻擊、網頁掛馬和漏洞利用四種方式。勒索病攻擊目標轉向企業用戶個人電腦大多能夠使用安全軟件完成漏洞修補,在遭遇勒索病攻擊時,個人用戶往往會放棄數據,恢復系統。而企業用戶在沒有及時備份的情況下,會傾向于支付贖金,挽回數據。因此,已發現越來越多攻擊目標是政府機關、企業、醫院、學校。勒索病更新迭代加快以GandCrab為例,當第一代的后臺被安全公司入侵之后,隨后在一周內便發布了GandCrab2,現在已升級到3.0版本。病早期發布時存在漏洞,使得安全公司可以解密被加密的文件,隨后更新的版本已無法被解密。勒索贖金提高隨著用戶安全意識提高、安全軟件防御能力提升,勒索病入侵成本越來越高,贖金也有可能隨之提高。上半年某例公司被勒索病入侵后,竟被勒索9.5個比特幣。如今勒索病的攻擊目標也更加明確,或許接下來在贖金上勒索者會趁火打劫,提高勒索贖金。勒索病加密對象升級傳統的勒索病加密目標基本以文件文檔為主,現在越來越多的勒索病會嘗試加密數據庫文件,加密磁盤備份文件,甚至加密磁盤引導區。一旦加密后用戶將無法訪問系統,相對加密而言危害更大,也有可能迫使用戶支付贖金。勒索病黑色產業鏈形成隨著勒索病的不斷涌現,騰訊御見威脅情報中心甚至觀察到一類特殊的產業誕生:勒索代理業務。當企業遭遇勒索病攻擊,關鍵業務數據被加密,而理論上根本無法解密時,而勒索代理機構,承接了受害者和攻擊者之間談判交易恢復數據的業務。
2018西安城墻國際馬拉松全球首次運用區塊鏈技術:2018西安城墻國際馬拉松賽將于4月21日盛大起跑,本屆城墻馬拉松將聯合紙貴科技,全球范圍內首次將區塊鏈技術運用在馬拉松賽事中,賽事會將運動員的比賽數據、中簽環節等全部信息登記到區塊鏈上。運動員可以通過城墻馬拉松官方網站的鏈接,跳轉至區塊鏈平臺下載區塊鏈證書。另外還可通過證書上的二維碼查看區塊鏈節點、區塊高度、區塊值等更多詳細數據。賽事結束后將為所有運動員頒發獨一無二的區塊鏈證書,成為全球首次將區塊鏈應用在馬拉松中的賽事,從而使區塊鏈技術未來能更為廣泛的應用到馬拉松賽事中,通過其可追溯、不可篡改的技術特性,打通各賽事之間的信息通道,有效保證比賽成績的可靠性。[2018/4/10]
2.挖礦木馬“異軍突起”,成幣圈價值“風向標”
挖礦病發展成為2018年傳播最廣的網絡病,且挖礦熱度往往與幣種價格成正比。由于挖礦病的控制者可以直接通過出售挖到的數字虛擬貨幣牟利,挖礦病的影響力空前高漲,已經完全取代幾年前針對游戲玩家的盜號木馬、針對網購用戶的交易劫持木馬、甚至是用于偷窺受害者家攝像頭的遠程控制木馬。當受害者電腦運行挖礦病時,計算機CPU、GPU資源占用會上升,電腦因此變得卡慢,如果是筆記本電腦,會更容易觀察到異常:比如電腦發燙、風扇轉速增加,電腦噪聲因此增加,電腦運行速度也因此變慢。挖礦年年有,但進入2018年以來,PC端挖礦木馬以前所未有的速度增長,僅上半年爆出挖礦木馬事件45起,比2017年整年爆出的挖礦木馬事件都要多。2.1上半年挖礦木馬樣本分析與傳播特征
騰訊御見威脅情報中心對數十萬挖礦病樣本進行歸類,對挖礦木馬使用的端口號、進程名、礦池地址進行了總結。挖礦木馬最偏愛的端口號是3333,其次是8008、8080、5555等端口。
木馬最愛的借用的進程名是svchost.exe以及csrss.exe,這兩個名字原本屬于windows系統進程,現被挖礦木馬利用來命名以迷惑用戶。
礦池就是一個開放的、全自動的挖礦平臺,目前挖礦木馬主要通過連接礦池挖礦,礦工將自己的礦機接入礦池,貢獻自己的算力共同挖礦,共享收益。上半年PC端僵尸網絡挖礦應用最廣泛的礦池為f2pool。
與以往挖礦木馬相比,2018上半年挖礦木馬出現新的傳播特征:瞄準游戲高配機,高效率挖礦輔助外掛是2018上半年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對電腦性能要求較高,不法分子瞄準游戲玩家電腦,相當于找到了性能“絕佳”的挖礦機器。2018年1月,騰訊電腦管家曝光tlMiner挖礦木馬隱藏在《絕地求生》輔助程序中進行傳播,單日影響機器量最高可達20萬臺。隨即在3月份配合騰訊守護者計劃安全團隊,協助山東快速打擊木馬作者,并在4月初打掉這個鏈條頂端的黑產公司。據統計,該團伙合計挖掘DGB、HSR、XMR、SHR、BCD等各種數字加密貨幣超過2000萬枚,非法獲利逾千萬。2018年2月,騰訊電腦管家發現一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播,并在2月中下旬通過社交群、網盤等渠道傳播,出現明顯上漲趨勢。2018年5月,騰訊御見威脅情報中心感知到一款名為“520Miner”的挖礦木馬通過游戲外掛傳播,控制數千臺機器挖了好幾天的礦,最終收獲67枚VIT幣,總價值不到一毛錢人民幣,可以說是史上最能窮折騰的挖礦木馬。利用網頁掛馬,大范圍傳播挖礦木馬的傳播渠道不限于通過偽裝成電腦軟件下載,還普遍采用了網頁掛馬這種最高效率的傳播方式。2018年4月12日,騰訊御見威脅情報中心監測到國內一起大規模的網頁掛馬事件。當天包括多款知名播放器軟件、視頻網站客戶端、常見的工具軟件在內的50余款用戶量千萬級別的電腦軟件遭遇大規模網頁掛馬攻擊。攻擊者將攻擊代碼通過某廣告聯盟的系統主動分發帶頁面,而這個帶頁面被內嵌在50余款千萬級別用戶群的常用軟件中,這些用戶的電腦一開機會主動連網下載廣告資源,電腦會因此下載若干個病,其中就包括挖礦病。騰訊電腦管家當天攔截超過20萬次病下載。此外,騰訊御見威脅情報中心還監測到一款挖礦病感染量異常增高,經病溯源分析發現,受害者電腦上的挖礦木馬均來自某些打著“人體藝術”旗號的網站。當網民瀏覽這些網站時,由于部分系統存在Flash高危安全漏洞,打開網頁會立刻中。之后,受害者電腦便會運行挖礦代碼,電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦,并以此牟利。入侵控制企業服務器,組建僵尸網絡云上挖礦隨著各種數字加密貨幣的挖礦難度越來越大,通過普通用戶的個人電腦難以實現利益最大化。而實施短時間內的大范圍挖礦,除了網頁掛馬,最普遍的作法就是控制肉雞電腦組建僵尸網絡挖礦。服務器性能強、24小時在線的特征,吸引更多不法礦工將攻擊目標轉向企業、政府機構、事業單位的服務器實現云上挖礦。騰訊御見威脅情報中心曾發現一個感染量驚人的“PhotoMiner木馬”,通過入侵感染FTP服務器和SMB服務器暴力破解來擴大傳播范圍。查詢木馬控制的門羅幣錢包地址,發現該木馬控制肉雞電腦挖到8萬枚門羅幣,挖礦累計收益達到驚人的8900萬人民幣,是名副其實的“黃金礦工”。騰訊安全云鼎實驗室通過對DNS請求的礦池地址進行統計和歸類,發現云上挖礦幣種主要是XMR、以太幣和ETN。對云主機服務器上挖礦木馬最常連接的礦池地址進行了統計,發現xmr.pool.minergate.com使用頻率最高。
美國安全局前官員:2017年朝鮮獲得至少11000個比特幣:據美國國家安全局一名前官員透露,朝鮮去年通過加密貨幣交易獲得了超過2億美元的收入。據悉,朝鮮在2017年通過挖礦或黑客攻擊獲得了至少11000個比特幣。最近的報道顯示,平壤還正在繼續利用加密貨幣的優點和對手的網絡安全弱點。[2018/3/3]
其中部分在國內流行的挖礦木馬使用了自建礦池的方式進行挖礦,這主要是出于使用第三方礦池,第三方礦池會收取一定的手續費,而使用自建礦池的方式可以減少這些不必要的費用支出。通過對數字貨幣的價格走勢和挖礦熱度進行關聯分析,發現挖礦的熱度與幣種價格成正比關系。這也再次驗證,網絡黑產的目標就是追求利益的最大化。觀察ETN的價格走勢,我們可以發現從其從1月中旬開始呈下降趨勢:
而觀察其對應礦池的訪問,發現也是下降趨勢:
通過對歷史捕獲挖礦案例的分析,云上挖礦通常是一種批量入侵方式,而由于其批量入侵的特性,所以利用的也只能是通用安全問題,比如系統漏洞、服務漏洞,而最常見的是永恒之藍、Redis未授權訪問問題、ApacheStruts2漏洞導致企業Web服務器被批量入侵。
攻擊者還擅長使用挖礦木馬生成器、弱口令攻擊字典等攻擊工具入侵服務器,再大量擴散挖礦木馬。
網頁挖礦:在正常網址插入挖礦代碼由于殺軟件的存在,許多挖礦木馬文件一落地到用戶電腦就可能被攔截,不利于擴大挖礦規模,更多攻擊者傾向實施網頁挖礦:通過入侵存在安全漏洞的網站,在網頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網頁,就會淪為礦工。在挖礦的網站類型中,網站占比最高,其次是視頻網站和博客、論壇。用戶在此類網站觀看視頻、閱讀文章,停留時間較長,黑客利用這些網站進行挖礦,可以獲取較高的收益。
在礦池方面最早出現的coinhive礦池占據網頁挖礦中的最大比例,與coinhive同一平臺的authemine礦池占11%;基于coinhive建立的ppoi礦池和cryptoloot礦池分別占比21%、4%。
2.2下半年挖礦木馬的傳播趨勢
數字加密貨幣在2018年上半年持續暴跌,比特幣已從去年年底的2萬美元,跌至現在不足7000美元,“炒幣”熱似在降溫,但這并沒有影響挖礦木馬前進的腳步,畢竟挖礦木馬是靠肉雞挖礦賺錢,勿需投入物理設備,而從最近爆出的挖礦木馬事件中發現,挖礦木馬可選擇的幣種越來越多,設計越來越復雜,隱藏也越來越深,下半年的挖礦將會持續活躍,與殺軟件的對抗會愈演愈烈。全能型挖礦木馬產生,同時帶來多種危害PC病的名字通常包含了病的來源、傳播路徑、目的等信息,如“Trojan.StartPage”代表這是一類鎖主頁木馬,“Backdoor.GrayBird”屬于灰鴿子后門病,如今在殺軟的強力打擊之下,病木馬“棲息地”越來越少,拓展“業務”已成為眾多病木馬的首要任務,挖礦木馬也不例外。上半年出現的“ArkeiStealer”木馬,集竊密、遠控、DDoS、挖礦、盜幣于一體,可謂木馬界“全能”。下半年的挖礦木馬或將集成更多的“業務”,通過各種渠道入侵至用戶機器。隱藏技術更強,與安全軟件對抗愈加激烈病發展至今,PC機上隱藏技術最強的無疑是B/Rootkit類病,這類木馬編寫復雜,各模塊設計精密,可直接感染磁盤引導區或系統內核,其權限視角與殺軟平行,屬于比較難清除的一類病。此類病常用于鎖主頁及勒索,而近期發現R/Bookit技術也被應用于挖礦木馬中,使挖礦木馬的隱藏技能提升幾個檔次。下半年數字加密貨幣安全形勢依然嚴峻,挖礦木馬的隱藏對抗或將更加激烈。3.數字劫匪“鋌而走險”攻擊交易所,半年獲利約7億美元
除了勒索病造成的損失,盜竊行為也同樣可對數字加密貨幣持有者造成大量損失,從數字加密貨幣誕生初期,數字加密貨幣被盜的新聞就層出不窮。目前盜取數字加密貨幣的方式大致4種:入侵交易所,入侵個人用戶,“雙花攻擊”,漏洞攻擊。3.1數字加密貨幣交易平臺被攻擊
數字加密貨幣交易所被攻擊,僅2018年上半年就損失了約7億美元。2018年1月日本最大的數字加密貨幣交易所Coincheck被盜走價值5.34億美元的NEM;2018年3月7日,Binance交易鎖被入侵,此次為大規則通過釣魚獲取用戶賬號并試圖盜幣事件;2018年4月13日,印度數字加密貨幣交易所CoinSecure被438枚比特幣,疑為內部人員監守自盜;2018年6月10日,韓國數字加密貨幣交易所Coinrail被攻擊,損失超過5000萬美元;2018年6月20,韓國數字加密貨幣交易所Bithumb被黑客攻擊,價值3000萬美元的數字加密貨幣被盜,這是Bithumb第三次被黑客攻擊了。3.2個人賬號遭入侵
通過植入病木馬竊取錢包文件2018年2月騰訊電腦管家發現大量利用Office公式編輯器組件漏洞的攻擊樣本,通過下載并運行已被公開源碼的Pony木馬,竊取用戶比特幣錢包文件等敏感信息。2018年3月,一款基于剪切板劫持的盜幣木馬在國內出現,該木馬使用易語言編寫,通過激活工具、下載站到達用戶機器,木馬會監視用戶剪切板,一旦發現有錢包地址,則替換為木馬的錢包地址,木馬內置30多個錢包地址,且部分錢包已經有盜取記錄。此外,騰訊御見威脅情報中心分析發現,越來越多的病會嘗試劫持數字加密幣交易錢包地址,當受害者在中電腦上操作數字加密貨幣轉帳交易時,病會迅速將收款錢包地址替換為病指定的地址,病行為就如同現實中的劫匪。類似病在電腦網購普及時也曾經出現,病在交易完成的一瞬間,將受害者資金轉入自己指定的交易賬戶。內部盜取加密貨幣2018年3月份,北京某互聯網攻擊員工利用職務便利,在公司服務器部署惡意代碼,盜取該公司100個比特幣,目前已經被依法逮捕,這是北京首例比特幣盜竊案。3.3“雙花攻擊”
“雙花攻擊”是控制某數字加密貨幣網絡51%算力之后,對數字加密貨幣區塊鏈進行攻擊,可實現對已經交易完成的數據進行銷毀,并重新支付,這樣就可獲得雙倍服務。2018年5月,BTG交易鏈被黑客攻擊,黑客向交易所充值后迅速提幣,并銷毀提幣記錄,共轉走了38.8萬枚BTG,獲利1.2億人民幣。3.4漏洞攻擊
2018年4月,BEC智能合約中被爆出數據溢出漏洞,攻擊者共盜取579億枚BEC幣,隨后SMT幣也被爆出類似漏洞。四、安全建議區塊鏈技術,仍是眾多互聯網公司乃至國有銀行系統重點研究的領域。區塊鏈的應用并不等同于數字虛擬貨幣,安全專家并不鼓勵人們炒幣,在此對炒幣行為不做贅述。對于區塊鏈安全來講,從系統架構上,建議相關企業與專業區塊鏈安全研究組織合作,及時發現、修復系統漏洞,避免導致嚴重的大規模資金被盜事件發生;對于參與數字虛擬幣交易的網民來講,應充分了解可能存在的風險,在電腦端、手機端使用安全軟件,避免掉進網絡釣魚陷阱,避免數字虛擬幣錢包被盜事件發生;對于普通網民而言,應防止電腦中成為被人控制的“礦工”,謹慎使用游戲外掛、破解軟件、視頻網站客戶端破解工具,這些軟件被人為植入惡意程序的概率較大。同時,安裝正規殺軟件并及時更新升級,當電腦卡頓、溫度過熱時,使用騰訊電腦管家進行檢查,防止電腦被非法控制,造成不必要的損失;對于企業網站、服務器資源的管理者,應部署企業級網絡安全防護系統,防止企業服務器被入侵安裝挖礦病,防止受到勒索病侵害。企業網站應防止被黑,及時修補服務器操作系統、應用系統的安全漏洞,避免企業服務器淪為黑客挖礦的工具,同時也避免因服務器被入侵而導致企業網站的訪客電腦淪為“礦工”。
崔大寶:第一個問題:關注區塊鏈技術落地的朋友都知道,或許是為了“撈一筆”,或許是糊里糊涂就被忽悠了,很多項目其實是在為了區塊鏈而區塊鏈,可能他們的業務根本不需要非要改造為區塊鏈項目.
1900/1/1 0:00:00本文來自:區塊律動,作者:袁煜明,經區塊律動整理,星球日報經授權轉發。此文是火幣區塊鏈研究院院長,前國內投行TMT一哥袁煜明,在清華大學的演講內容。本文將其稍作整理,在此分享.
1900/1/1 0:00:00根據Coinmarketcap的數據,8月11日比特幣市值再次突破50%,目前比特幣市值為1050億美元。盡管一直存有爭議,比特幣的市值仍被視為比特幣成功與否的一個指標.
1900/1/1 0:00:00區塊鏈技術被認為是繼蒸汽機、電力、信息和互聯網科技之后,目前最有潛力觸發第五輪顛覆性革命浪潮的核心技術。如今,區塊鏈技術不斷持續落地,傳統行業試圖借助區塊鏈尋求一種顛覆集中化的平臺.
1900/1/1 0:00:00據Coindesk報道,近日,美國保險服務協會宣布與IBM區塊鏈平臺合作,開發新型的自動化保險報告工具.
1900/1/1 0:00:00本周,智能手機制造商HTC宣布將裁去1,500名員工,這一數量已占25%的全球員工數。該公司發言人表示,裁員不會影響該公司研發的區塊鏈手機Exodus項目的推進.
1900/1/1 0:00:00