MAC设备遭遇门罗币挖矿软件入侵

2019年03月27日 作者: 瀚思科技

事件简介:

苹果的Mac系统真的不会中毒吗?这个神话早已经被打破,现在Mac也已经被黑客当成开发目标。现如今恶意挖矿事件层出不穷。尽管加密货币的价格经历了狂欢后的暴跌之痛,但挖矿仍是网络黑产团伙在入侵服务器之后,成为最直接的变现手段。随着挖矿团伙产业化,越来越多的漏洞在公布后,在极短时间内就被用于入侵挖矿;在可预见的未来,黑产团伙利用漏洞发起攻击进行挖矿的趋势仍将持续,已被入侵挖矿的机器也随时可能被挖矿攻击者当成下一轮攻击的。

本次在瀚思大数据安全智能分析平台检测到多台搭载MacOS系统主机发起矿池登录请求入侵行为。具体详情如下。

案例详情:

经过瀚思安全分析人员对告警内容进行溯源后,发现内网地址发起的连接请求中payload部分的格式和字段与矿池连接协议stratum一致,证实该机器在向矿池发起了一个域名(safaf4hgjdn.space)查询,该域名通过情报查询证实为macos平台的的矿池域名,IOC为132.148.245.101safaf4hgjdn.space:5566。利用tomcat和java rmi 漏洞扫描全球网络,用来发现被入侵的机器。

经过简要分析,怀疑该攻击源起于第三方安装包,一般受害用户都有从苹果电脑上安装第三方dmg的经历。在解压安装过程中,运行带有“XMRig门罗币”源程序的进程,内网机器存在挖矿木马并发起矿池登录请求,但矿池在分析时间段内未开放端口,所以未产生挖矿行为。但登录结果失败,索性未造成损失。

处理流程图

安全建议

如今尽管币价低迷,但由于经济形势承受下行的压力,可能为潜在的犯罪活动提供诱因。随着挖矿和漏洞利用相关知识的普及,恶意挖矿的入场玩家可能趋于稳定且伴有少量增加。 基于这种状况,为企业和个人提供如下安全建议:

1、安全系统中最薄弱的一环在于人,最大的安全问题也往往出于人的惰性,因此弱密码、爆破的问题占了挖矿原因的半壁江山。无论是企业还是个人,安全意识教育必不可少;

2、0-Day 漏洞修复的窗口期越来越短,企业需要提升漏洞应急响应的效率,一方面是积极进行应用系统更新,另一方面是关注产品的安全公告并及时升级,同时也可以选择购买安全托管服务提升自己的安全水位;

3、伴随着云上弹性的计算资源带来的便利,一些非 Web 类的网络应用暴露的风险也同步上升,安全运维人员应该重点关注非 Web 类的应用伴随的安全风险,或者选择购买带 IPS 功能的防火墙产品,第一时间给 0-Day 漏洞提供防护。