惡意挖礦不停息，dhpcd加密程序何以猖獗四年之久？

加密貨幣市值起起伏伏，但加密挖礦程序仍在全球肆虐。近期，Akamai 安全研究團(tuán)隊觀察總結(jié)了 dhpcd 加密挖礦程序的長期攻擊活動。該活動可通過暴力破解密碼，攻擊運(yùn)行安全外殼協(xié)議服務(wù)器的目標(biāo)計算機(jī)，并利用這些計算機(jī)運(yùn)行門羅幣加密挖礦程序。

dhpcd 基本定義

Akamai 安全研究團(tuán)隊將“基于開源 XMRig 的加密挖礦程序”命名為“dhpcd”，這一名稱源自合法 Linux 守護(hù)程序 dhcpd 上一個難以檢測的進(jìn)程。

緣何難以檢測

·大量應(yīng)用字母交換技術(shù)

當(dāng)計算機(jī)啟動時，負(fù)責(zé)配置計算機(jī)上運(yùn)行的 DHCP 服務(wù)器的進(jìn)程。這種字母交換技術(shù)被大量用于多種攻擊媒介以逃避檢測，這是該惡意軟件成功保持四年多活躍度的原因之一。

·隱蔽于 Tor 出口節(jié)點

該惡意軟件使用 Tor 出口節(jié)點進(jìn)行隱藏，即使并非不能實現(xiàn)，也很難追蹤攻擊來源。隨后，該惡意軟件會挖掘隱私幣門羅幣，可從加密挖礦程序二進(jìn)制文件中，發(fā)現(xiàn)門羅幣錢包。

DHCP, Dynamic Host Configuration Protocol 縮寫，表示“動態(tài)主機(jī)設(shè)置協(xié)議”

Tor, The Onion Router 縮寫，表示“洋蔥路由器”，一款實現(xiàn)匿名通信的軟件

2018年4月，dhpcd 首次攻擊 Akamai 的威脅傳感器，并在此后4年間處于持續(xù)活躍狀態(tài)。這款穩(wěn)定運(yùn)行如此之久的加密挖礦程序可實現(xiàn)暴力入侵，同時通過“反偵察”及時隱蔽自身。它不僅能夠在受感染的計算機(jī)上成功逃避檢測，而且諸多安全服務(wù)供應(yīng)商和各種威脅情報源，也對 dhpcd 束手無策。 

攻擊活動范圍

截止目前，Akamai 威脅傳感器已記錄2215次攻擊，分布在843個不同的攻擊者 IP 上，每個 IP 平均發(fā)起 2.6 次攻擊。2022年3月，dhpcd 所基于的加密挖礦程序 XMRig 從版本2.13.0升級到5.2.0。隨后攻擊規(guī)模和范圍明顯上升。而在5月份，出現(xiàn)了今年的攻擊峰值。

Akamai 威脅傳感器監(jiān)測到的 dhpcd 攻擊活動記錄

值得注意的是，840個攻擊者 IP 中約80%均是 Tor 出口節(jié)點，由此幾乎不可能追蹤到攻擊行為背后的主導(dǎo)者。這意味著使用 Tor 的組織會積極參與 dhpcd 傳播和惡意軟件分發(fā)。根據(jù)國家/地區(qū) Tor 出口節(jié)點數(shù)量，可以發(fā)現(xiàn)大部分攻擊者 IP 位于歐美，大多數(shù)歐洲的攻擊來自德國和荷蘭。

攻擊者 IP 歐美占比更高

攻擊流分析

妥善應(yīng)對 dhpcd 攻擊，需要整體明確它的攻擊流階段。具體來說，從 dhpcd 的初始入侵到防守方的檢測措施，主要表現(xiàn)為以下流程：

明辨多步威脅，展開及時抵御

·入侵加密

暴力解密以破壞目標(biāo)計算機(jī)，使用安全拷貝將虛擬可執(zhí)行文件下載至二進(jìn)制文件夾中，以及將 dhpcd 下載到同一目錄中，隨后通過 TCP 端口 4444 搜索多種可用的礦池服務(wù)器。

·持久駐留

為實現(xiàn)加密挖礦程序持久駐留，黑客會通過修改 /etc/shadow 文件屬性來保護(hù)更改過的密碼，并應(yīng)用持久性工具，實現(xiàn)每小時運(yùn)行一次加密挖礦程序，以及伴隨系統(tǒng)自動啟動。

·壓制競對

為盡可能攫取計算機(jī)資源，攻擊者持續(xù)排外，會從 /dev/shm 目錄執(zhí)行兩個腳本，查詢并終止資源消耗顯著的進(jìn)程，同時收集潛在競爭對手信息，確保持續(xù)有更多內(nèi)存可被占用。

·檢測抵御

通過將安全外殼協(xié)議配置為僅使用私鑰和公鑰，同時阻止所有基于密碼的登錄嘗試，來阻止 dhpcd 攻擊；想要檢測系統(tǒng)是否被感染，請運(yùn)行下方 Akamai 檢測腳本定位攻擊蹤跡。

簡而言之，dhpcd 是一項使用實效技術(shù)的加密挖礦活動，它通過將 Tor 整合到感染管道中，已超越常規(guī)攻擊活動，展示出了更具威脅的開放式平臺效應(yīng)，可深度隱藏攻擊的基礎(chǔ)架構(gòu)和來源。 

dhpcd 四年以來的持續(xù)活躍，正說明即使是執(zhí)行字典攻擊和交換字母“極簡型”攻擊活動，同樣能夠入侵網(wǎng)絡(luò)并獲利。企業(yè)安全團(tuán)隊?wèi)?yīng)該對此類攻擊保持高度警覺，在此過程中，Akamai 也將持續(xù)利用自身全球流量智能監(jiān)測優(yōu)勢和多重安全解決方案，支持企業(yè)不斷提高系統(tǒng)的安全性。