一、综述
绿盟科技通过对云端海量多源异构数据进行攻击团伙追踪和危害分析,同时依托海量安全情报源进行攻击团伙情报归因,针对挖矿行为进行威胁模型构建和数据分析,从而发现若干挖矿攻击团伙活动态势(12-22~12-28)。
2021-12-20至2021-12-28期间,一共新发现挖矿攻击团伙20个,活跃的团伙为20个,相关受害主机629台。基本统计信息如下表所示:
| 团伙代号 | 矿池C&C | C&C地理信息 | NTI情报标签 | 受害主机数目 | 主要攻击手段 |
| MINE-001 | 178.128.242.134 | 荷兰 | 矿机 | 79 | 挖矿程序连接矿池服务器通信, 门罗币挖矿程序网络通信 |
| MINE-002 | 107.191.99.95 | 美国 | 矿机 | 2 | 挖矿通信 |
| MINE-003 | 178.32.120.127 | 法国 | 矿机 | 7 | 挖矿通信 |
| MINE-005 | 106.54.138.202 | 中国上海 | 矿机 | 27 | 挖矿通信 |
| MINE-006 | 136.243.49.177 | 德国 | 矿机 | 7 | 挖矿通信 |
| MINE-007 | 94.130.164.163 94.130.165.85 94.130.165.87 | 德国 | 矿机 | 10 | 挖矿通信 |
| MINE-008 | 51.254.84.37 | 法国 | 矿机 | 8 | 挖矿通信 |
| MINE-009 | 199.247.27.41 | 荷兰 | 矿机 | 80 | 挖矿通信 |
| MINE-010 | 103.136.40.160 | 荷兰 | 矿机 | 2 | 挖矿通信 |
| MINE-011 | 103.3.62.64 | 新加坡 | 矿机 | 1 | 挖矿通信 |
| MINE-012 | 107.178.104.10 | 美国 | 矿机 | 1 | 挖矿通信 |
| MINE-013 | 139.59.109.18 | 新加坡 | 矿机 | 113 | 挖矿通信 |
| MINE-014 | 51.68.21.186 51.68.21.188 | 法国 | 矿机 | 10 | 挖矿通信 |
| MINE-015 | 194.195.223.249 | 英国 | 矿机 | 107 | 挖矿通信 |
| MINE-016 | 139.177.196.162 | 美国 | 矿机 | 111 | 挖矿通信 |
| MINE-017 | 159.89.161.1 | 印度 | 矿机 | 11 | 挖矿通信 |
| MINE-018 | 139.99.123.196 | 新加坡 | 矿机 | 12 | 挖矿通信 |
| MINE-019 | 147.135.37.31 | 美国 | 矿机 | 1 | 挖矿通信 |
| MINE-020 | 202.114.224.1 202.114.224.2 | 中国湖北武汉市 | 矿机 | 28 | 挖矿通信 |
| MINE-021 | 202.205.112.100 | 中国北京 | 矿机 | 12 | 协议操作 挖矿通信 绕过身份验证 |
从攻击团伙层面来看,本次监控周期内保持活跃20个团伙当中,共有8个不同的来源国,其中位于美国的团伙数量最多,有4个;其次为中国、新加坡、法国和荷兰,有3个;团伙规模上,本次活跃的20个攻击团伙当中,被监控到控制主机数量最多的团伙为MINE-013,该团伙包含1台位于新加坡的CC主机(139.59.109.18),一共有112台不同受害主机和其CC主机有通信行为。此外,MINE-016(美国)和MINE-015(英国)两个团伙控制主机数量均超过100台;MINE-009(荷兰)和MINE-001(荷兰)控制主机数量超过50台。
从受害主机层面来看,本次监控周期内一共发现293台受害主机和挖矿团伙CC主机有通信行为,其中仅有101台(占34%)主机只与1个挖矿团伙CC有通信行为,有160台主机(占55%)和2-3个不同挖矿团伙CC有通信行为;甚至有3台受害主机和5个以上的挖矿团伙CC有通信行为。
下文分别从攻击团伙本身和受害主机两个维度进行更为详细的分析。
二、攻击团伙分析
2021-12-20至2021-12-28期间,一共新发现挖矿攻击团伙20个,活跃的团伙为20个。
2.1 团伙地域分布
根据团伙控制的矿池CC所在地域进行统计:
本次发现的20个挖矿攻击团伙中,矿池CC共有8个不同的来源国,其中位于美国的数量团伙数量最多,有4个;其次为中国、新加坡、法国和荷兰,有3个。
2.2 团伙矿机规模
基于2021-12-20至2021-12-28期间的数据,按照连接团伙CC的主机数量进行统计:
本次活跃的20个攻击团伙当中,被监控到控制主机数量最多的团伙为MINE-013,该团伙包含2台位于新加坡的CC主机(139.59.182.191,139.59.109.18),一共有113台不同受害主机和其CC主机有通信行为。此外,MINE-016(美国)和MINE-015(英国)两个团伙控制主机数量超过100台;MINE-009(荷兰)和MINE-001(荷兰)控制主机数量超过50台。
2.3 团伙详细信息
按照2021-12-20至2021-12-28期间挖矿团伙控制主机的数量统计结果,挑选TOP10的团伙进行详细分析。
2.3.1 MINE-013
(1)基本信息
MINE-013团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于新加坡的矿池CC主机: 139.59.109.18,NTI标签为:矿池;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有113台不同受害主机与MINE-013的矿池CC主机有通信行为,受害主机分析如下:
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-山东 | 1 |
| 中国-湖北 | 1 |
| 中国-香港 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 111 |
| 教育医疗 | 2 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-013团伙主要活动时间集中于5:00-15:00和19:00-1:00,有可能由于部分受害主机在凌晨关闭。
2.3.2 MINE-016
(1)基本信息
MINE-016团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于美国的矿池CC主机: 139.177.196.162,NTI标签为:矿池;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有111台不同受害主机与MINE-016的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-山东 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 教育医疗 | 2 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-016团伙主要活动时间集中于9:00-11:00和19:00-23:00,有可能由于部分受害主机在凌晨关闭。
2.3.3 MINE-015
(1)基本信息
MINE-015团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于英国的矿池CC主机:194.195.223.249,NTI标签为:矿池;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有107台不同受害主机与MINE-015的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-山东 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 105 |
| 教育医疗 | 2 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-015团伙主要活动时间集中于9:00-11:00和21:00-23:00,有可能由于部分受害主机在凌晨关闭。
2.3.4 MINE-009
(1)基本信息
MINE-009团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于荷兰的矿池CC主机:199.247.27.41,NTI标签为:IDC;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有80台不同受害主机与MINE-009的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-北京 | 2 |
| 中国-山东 | 1 |
| 中国-黑龙江 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 79 |
| 运营商 | 1 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-009团伙主要活动时间集中于13:00-15:00。
2.3.5 MINE-001
(1)基本信息
MINE-001团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于荷兰的矿池CC主机:178.128.242.134,NTI标签为:矿池;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有79台不同受害主机与MINE-001的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-山东 | 1 |
| 中国-北京 | 1 |
| 中国-四川 | 1 |
| 中国-黑龙江 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 78 |
| 运营商 | 1 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-001团伙主要活动时间集中于13:00-15:00。
2.3.6 MINE-020
(1)基本信息
MINE-020团伙是2021-12-22发现的挖矿团伙,该团伙包含2个位于中国湖北武汉市的矿池CC主机:202.114.224.1;202.114.224.2,NTI标签为:矿机,拒绝服务,漏洞利用,恶意软件;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有28台不同受害主机与MINE-020的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-湖北 | 3 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 28 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-020团伙主要活动时间较为宽泛,各个时间段均检测到该团伙的活动轨迹。
2.3.7 MINE-005
(1)基本信息
MINE-005团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于中国上海的矿池CC主机:106.54.138.202,NTI标签为:IDC;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共27台不同受害主机与MINE-005的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 未知 | 27 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 27 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-005团伙活动时间主要集中在17:00-19:00。
2.3.8 MINE-018
(1)基本信息
MINE-018团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于新加坡的矿池CC主机:139.99.123.196,NTI标签为:矿池;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有12台不同受害主机与MINE-018的矿池CC主机有通信行为,受害主机分析如下。。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-广西 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 12 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-018团伙活动时间较为不集中,各个时间段均检测到该团伙的活动轨迹。
2.3.9 MINE-021
(1)基本信息
MINE-021团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于中国北京的矿池CC主机:202.205.112.100,NTI标签为:矿池,僵尸主机,拒绝服务,漏洞利用;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有12台不同受害主机与MINE-021的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-北京 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 12 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-021团伙主要活动时间集中于17:00-19:00。
2.3.10 MINE-017
(1)基本信息
MINE-017团伙是2021-12-22发现的挖矿团伙,该团伙包含1个位于印度的矿池CC主机:159.89.161.1,NTI标签为:僵尸主机;发现的主要攻击手段为:挖矿程序连接矿池服务器通信。
(2)受害主机分析
2021-12-20至2021-12-28期间,发现一共有11台不同受害主机与MINE-017的矿池CC主机有通信行为,受害主机分析如下。
- 受害主机地域信息统计
按照受害主机地理信息进行统计:
| 地域信息 | 数量 |
| 中国-香港 | 1 |
- 受害主机行业统计
| 行业 | 数量 |
| 未知 | 11 |
(3)团伙活动趋势分析
基于2021-12-20至2021-12-28期间监控数据,统计团伙活动时间段如下(事件数量):
由上图可知,MINE-017团伙主要活动时间集中于5:00-7:00、11:00-13:00和23:00-1:00,有可能由于部分受害主机在凌晨关闭。
三、受害目标分析
2021-12-20至2021-12-28期间,一共发现293台不同主机与挖矿团伙CC主机进行通信。
3.1 受害目标地域分布
基于2021-12-20至2021-12-28期间数据,按照受害主机地域分布进行统计,293台受害主机当中,20台具有地域信息的受害主机地域分布如下图:
由上图知,一共有10个不同省市的主机受到影响,湖北省的受害主机数量最多,为4台。
3.2 受害目标行业分布
基于2021-12-20至2021-12-28期间数据,具有行业数据信息的4台受害主机行业分布如下图:
由上图知,共有3个行业受到影响,教育医疗行业受害主机最多,为2台。
3.3 受害目标其他统计信息
3.3.1 受害主机相关团伙数量
统计各受害主机相关团伙数量:
由上图知,受害的293台主机当中,仅有101台(占34%)主机只与1个挖矿团伙CC有通信行为,有160台主机(占55%)和2-3个不同挖矿团伙CC有通信行为;甚至有3台受害主机和5个以上的挖矿团伙CC有通信行为。
3.3.2 受害主机通信行为时间分布
基于2021-12-20至2021-12-28期间监控数据,统计所有受害主机与挖矿CC主机通信的活动时间段(事件数量):
由上图可知,MINE-013团伙主要活动时间集中于9:00-15:00和19:00-1:00,有可能由于部分受害主机在凌晨关闭。
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。