1. 深度解密!挖礦木馬為何能在黑產圈扮演“中堅”角色?

                  發布時間:2019-03-13

                  盡管以比特幣為代表的虛擬加密幣在過去幾年經歷了“過山車”行情,但自2013年挖礦木馬被發現以來,各大網絡安全公司披露的挖礦木馬攻擊事件數量始終呈現爆發式增長趨勢。事實上,挖礦木馬主要借助一種專用惡意應用秘密安裝到用戶電腦上,包括游戲外掛、盜版軟件以及一些激活碼的生成器等植入程序。一般被植入挖礦木馬的機器具有CPU占用明顯增加,電腦變熱,運行速度變慢,重啟也不能解決問題等癥狀。當前,各類挖礦木馬如“雨后春筍”般涌現,且植入手法各異,為攻擊者帶來不菲的收益。


                  近日,騰訊安全御見威脅情報中心發布針對挖礦木馬的2018年度安全報告《2018年度回顧:挖礦木馬為什么會成為病毒木馬黑產的中堅力量》,全景式呈現2018年挖礦木馬的黑產世界。數據顯示,在過去的一年,挖礦木馬樣本每月產生的數量高達百萬級別,遠超游戲盜號木馬等傳統病毒。在非法利益的直接驅使下,挖礦木馬不斷變幻手段,在目標選擇、技術對抗、渠道選擇等方面衍生出九大攻擊特點,成為病毒木馬黑產中的“中堅力量”。


                  誰的電腦被挖礦了?


                  當電腦運行挖礦病毒時,計算機CPU、GPU資源占用會上升,電腦因此變得卡慢。挖礦木馬的運行特性造成了其并非無感式作案,這也意味著攻擊者需要盡可能保證每一次攻擊的收益——選擇攻擊目標無疑是第一步也是最重要的一步。


                  輔助外掛是2018年挖礦木馬最喜愛的藏身軟件之一。線上兩款熱門的策略射擊游戲均被挖礦木馬“光顧”,甚至還出現了通殺游戲外掛的520Miner挖礦木馬。2018年1月,騰訊電腦管家對tlMiner挖礦行為及傳播來源進行曝光,隨即在3月份配合騰訊守護者計劃安全團隊,協助山東警方快速打擊木馬作者,并在4月初打掉這個鏈條頂端的黑產公司。

                  8c89a5e916f11df0648d2a.png


                  (圖:xiaoba鎖定某游戲輔助外掛)


                  醫院也沒能逃脫挖礦木馬的魔爪。2018年7月,多家三甲醫院服務器被不法黑客入侵,攻擊者暴力破解醫院服務器的遠程登錄服務,之后利用某品牌云筆記的分享文件功能下載多種挖礦木馬,最終獲利超40萬人民幣。


                  針對企業的攻擊趨勢在老牌挖礦木馬——PhotoMiner上體現得更為明顯。這個被首次發現于16年的病毒在去年4月重新活躍,通過入侵控制企業服務器,組建僵尸網絡云上挖礦,累計挖到8萬枚門羅幣,收益達到驚人的8900萬人民幣,成為名副其實的“黃金礦工”。


                  挖礦木馬的“求生欲”


                  為了減少被用戶發現的幾率,挖礦木馬常用套路是故意把挖礦時占用的CPU資源控制在一定范圍內,并且設置為檢測到任務管理器時將自身退出的特性。


                  除此之外,挖礦木馬還會應用獨特技術來逃避殺毒軟件的攔截。2018年5月出現的“美人蝎”挖礦木馬,會隱藏在美女圖片當中,利用圖片加密傳遞礦池相關信息,通過DNS隧道返回的信息來獲取隱蔽的C2信息,逃避殺軟偵測。該木馬控制超過2萬臺肉雞電腦,分配不同的肉雞集群挖不少于4種數字加密幣。


                  為了進一步升級技術手段,挖礦木馬也瞄上了NSA武器庫。自從NSA武器庫工具泄露以來,就一直備受不法黑客垂青,該工具包經過簡單的修改利用便可達到蠕蟲式傳播病毒的目的。2018年騰訊安全御見威脅情報中心發現大量的挖礦木馬團伙應用NSA武器庫工具傳播挖礦木馬,這使挖礦木馬擁有蠕蟲病毒的傳播能力。在騰訊安全監測到NSAFtpMiner等應用了NSA武器庫的挖礦木馬攻擊事件中,影響范圍均數以萬計。

                  8c89a5e916f11df064aa31.png


                  (圖:NSA攻擊流程)


                  規?;腥救绾芜_成?


                  無論是對攻擊目標精挑細選,還是對技術手段不斷升級,挖礦木馬的核心目的都在于感染更多用戶電腦,攫取更高收益。因此,挖礦木馬對于攻擊渠道的選擇也煞費苦心。


                  電腦和手機端同時發力,折射出挖礦木馬作者的貪婪。2018年11月騰訊安全御見威脅情報中心發現一個雙平臺挖礦木馬,該木馬具有Windows和Android雙平臺版本,在中毒電腦和手機上同時運行門羅幣挖礦程序。


                  即使是電腦端的傳播,挖礦木馬為了擴大范圍也想出了新法子——普遍采用了網頁掛馬這種最高效率的傳播方式,而以往利用網頁掛馬傳播最多的是盜號木馬。


                  以“412掛馬風暴”為例,4月12日,騰訊電腦管家團隊監測發現,網頁掛馬病毒通過某廣告聯盟平臺迅速分發到國內50余款主流客戶端,威脅數以萬計網民的信息安全。管家團隊迅速將整個犯罪鏈條的分析報告提交給國家有關部門,并于當晚緊急發布“412掛馬風暴”檢測修復工具,阻止“412掛馬風暴”進一步擴散。


                  網頁掛馬傳播還有進階版——通過大規模入侵存在安全漏洞的網站,在網頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網頁,就會淪為礦工。


                  去年1月,騰訊安全御見威脅情報中心發現一廣告分發平臺被惡意嵌入挖礦JavaScript腳本,該挖礦攻擊在江蘇、湖南地區集中爆發,挖礦頁面單日訪問量近百萬次。其中用戶在網站上觀看視頻或閱讀時停留時間較長,不法黑客利用這些網站進行挖礦,可以獲取持續的收益。


                  8c89a5e916f11df064d839.png

                  (圖:JS挖礦機攻擊流程)


                  從2018年的挖礦木馬事件中發現,挖礦木馬可選擇的幣種越來越多,設計越來越復雜,隱藏也越來越深,《報告》認為2019年挖礦木馬仍會持續活躍,與殺毒軟件的對抗也會愈演愈烈。對此,《報告》建議:不要下載來歷不明的軟件,謹慎使用破解工具、游戲輔助工具;企業用戶及時修復服務器組件漏洞;監測設備的CPU、GPU占用情況,部署更完善的安全防御系統。此外,個人電腦使用殺毒軟件仍是明智之舉。


                  聯系電話:010-62199788
                  公司地址:北京市昌平區七北路TBD云集中心(42號院)16號樓
                  Copyright 2015-2020 長安通信科技有限責任公司版權所有 All Rights Reserved 京ICP備13045911號

                  掃碼關注

                  中文字幕乱近親相姦