黑客为什么黑我?因为你有币啊!

黑客为什么黑我?因为你有币啊!

在过去的一年中,加密货币以其戏剧性的高低起伏进入主流。随着密码技术的日益流行,各种各样加密货币盗窃攻击方法已经出现。相对于传统方法,加密货币攻击成功后可以很容易地匿名转移资金,不易被发现黑客的真实身份或被撤销资金转移。

据我们的观察,黑客对采矿硬件、软件、钱包、矿机和矿池均有相应的攻击方式。为了追踪每一类威胁,青天科技 IoT Halo 产品提供了四种加密货币攻击情报收集解决方案,分别是 Albana、Barbera、Cortese 和 Durella。

Albana — 矿机模拟蜜罐

Albana — 矿机模拟蜜罐!

矿机同其他物联网设备一样,面临着系统标准化缺乏的问题,这导致了市面上有多种不同的系统。虽然理论上可以根据不同类型的矿机创建相应的蜜罐,但是这在现实中不太可行,原因是:1. 市面上已有大量的矿机设备,2. 常常有新的矿机上市。在大多数情况下,黑客是无法对被攻击矿机进行物理访问的,他们的攻击行为主要都是通过互联网远程控制实现的。因此,我们可以用蜜罐模拟矿机的通信行为,诱导黑客对该蜜罐发起攻击,从而收集针对矿机攻击的威胁情报。

这就是青天科技 IoT Halo 矿机蜜罐平台 — Albana。目前,Albana 已经可以模仿大多数已知的矿机的行为,同时新的矿机也不断地被添加在列表中。我们的矿机蜜罐主动地暴露在互联网上,蜜罐的 IP 也可以在 Shodan 这样的热门网络服务中搜到。黑客经常使用 Shodan 上的暴力或智能搜索,又叫「Shodan dorks」,而获得一份可以发起攻击的矿机名单。青天科技的矿机蜜罐也相应地会出现在潜在易受攻击的采矿机器的 IP 列表上。因此,当黑客试图对某个特定的采矿机器供应商发起有针对性的攻击时,我们的蜜罐就会实时地收到这些攻击情报。下图中,上面是一个真实矿机的验证窗口,而下面是青天的 Antminer 蜜罐。该蜜罐在前端模拟相同的验证窗口,同时也模拟后端的端口配置和网络行为。

Albana — 矿机模拟蜜罐!

Antminer 验证接口与 IoT Halo 欺骗 Antminer 的验证接口

Barbera — 收集挖矿操作系统攻击的蜜罐

Barbera — 收集挖矿操作系统攻击的蜜罐!

随着越来越多的人参与加密货币挖矿中,用带有 Windows 操作系统等个人电脑设备来挖币这样的简单操作,不再会带来大量的收益,因此,许多用户转向了专门设计用来挖矿的操作系统。这样的挖矿操作系统时常都会遭受到黑客的攻击,因为一旦黑客控制到了这些系统,该矿机就会立刻变成为黑客挖矿。市面上流行的挖矿系统之一是 ethOS。已有一些报道显示 ethOS 系统的 SSH 凭证可被黑客利用,达到入侵矿机的目的。

青天科技的定制化协议蜜罐 — Barbera,可以有效地实时捕获对上述挖矿操作系统的黑客攻击行为。该蜜罐可以去除非加密货币相关的其他 SSH/telnet 攻击噪音。青天科技通过蜜罐在全球收集到了大量的加密货币攻击者的 IP 黑名单。用户可以根据不同的矿机操作系统进行查询相应的黑客 IP 黑名单。

Barbera — 收集挖矿操作系统攻击的蜜罐!

除了收集针对矿机操作系统的威胁情报以外,青天科技还会定期对矿机的操作系统进行安全审计,并向外界公开矿机攻击防护的一些建议。作为一家安全公司,我们不希望看到矿工落入黑客的陷阱,付着巨额的电费,却为黑客挖矿。例如,我们最近发现矿工如果忽略某些基本配置的修改,他们所购买的矿机就会为别人挖矿,我们把这个发现命名为 StartWallet。

Cortese — 恶意软件挖矿攻击的蜜罐

Barbera — 收集挖矿操作系统攻击的蜜罐!

黑客还会利用联网设备的漏洞,在其上安装挖矿恶意软件。这样就可在设备所有者不知道的情况下利用设备的算力挖矿。为了控制大量的联网设备,黑客经常会利用在多个操作系统平台通用的漏洞进行攻击。这样一旦恶意软件感染设备成功,该设备会立刻贡献算力为黑客挖矿。青天科技的蜜罐 Cortese 就捕获了大量针对 Windows / Linux / 物联网设备操作系统的挖矿恶意软件攻击,并将这些威胁情报存储在数据库中供用户查询。

在下图中,我们看到了一个使用 CVE-2017-10271 漏洞的挖门罗币恶意软件攻击了我们的 Cortese 蜜罐。

Barbera — 收集挖矿操作系统攻击的蜜罐!

同样,我们也追踪到臭名昭著的 drupal2 CVE-2018-7600 漏洞也被用来开发成了挖门罗币的恶意软件。见下图。

Barbera — 收集挖矿操作系统攻击的蜜罐!

Durella — 加密钱包蜜罐

Durella — 加密钱包蜜罐!

加密货币的攻击不仅只是针对硬件或者软件的,黑客攻击的最终目的可能是直接瞄准一个加密货币的钱包,然后把里面的虚拟币转移到他们自己的钱包里。例如,以太坊支持系统所有者使用 JSON 的远程过程调用。

但如果系统在没有适当的防火墙或身份验证的情况下暴露在网络上,外部网络的 IP 就可以远程调用 JSON。因此,黑客只需要扫描所有的网络 IP,搜查是否有暴露了 JSON RPC 的以太币钱包。例如,青天的蜜罐经常观察到黑客发送 eth_accounts 之类的命令,来评估该 IP 是否是一个可被入侵的钱包。

Durella — 加密钱包蜜罐!

青天科技的 Durella 蜜罐系列就是专门设计来回复黑客此类对加密钱包的查询并最终收集黑客地址。 例如,若一个黑客向 Durella 发送 POST eth_accounts 命令,Durella 会伪装成易受攻击的加密钱包,回复黑客一个有效的以太币钱包地址。接着黑客会向 Durella 发送包含了黑客加密钱包地址的命令,例如 eth_sendTransaction。

结论

虽然在市面上有好几种蜜罐,但很难从他们捕获的大量攻击(包括 Windows,Linux 和物联网攻击等)中找到具有针对性的加密货币威胁攻击情报。针对这一难题,青天科技的 IoT Halo 蜜罐情报收集平台(Albana, Barbera, Cortese 和 Durella)创建了专门针对加密货币硬件、软件、钱包、矿机和矿池等黑客攻击的蜜罐系统,来收集针对加密货币经济体系的威胁情报。


本文由青天科技(NewSky Security )Ankit Anubhav原创。转载请联系授权,并保留出处与链接,不得删减内容。联系方式: info@newskysecurity.com

青天科技(NewSky Security),是一家总部位于厦门,在美国西雅图设有研究中心的物联网安全解决方案供应商,致力于同企业一起解决黑客攻击、恶意软件感染、信息泄露、DDoS 攻击等安全威胁,专注于物联网智能终端传输和云的信息安全,提供实时的网络行为监控,依托大数据分析和机器学习技术,可对智能终端的网络行为进行深入挖掘、分析和建模。

欢迎登录青天科技门户网站 cn.newskysecurity.com 查看更多精彩内容。

关注青天科技微信号

青天科技微信号

上篇新加坡电信员工这个失误导致1000台路由器暴露,容易被黑