深度解密!挖礦木馬為何能在黑產(chǎn)圈扮演“中堅(jiān)”角色?

發(fā)布時(shí)間:2019-03-13

盡管以比特幣為代表的虛擬加密幣在過去幾年經(jīng)歷了“過山車”行情,但自2013年挖礦木馬被發(fā)現(xiàn)以來,各大網(wǎng)絡(luò)安全公司披露的挖礦木馬攻擊事件數(shù)量始終呈現(xiàn)爆發(fā)式增長(zhǎng)趨勢(shì)。事實(shí)上,挖礦木馬主要借助一種專用惡意應(yīng)用秘密安裝到用戶電腦上,包括游戲外掛、盜版軟件以及一些激活碼的生成器等植入程序。一般被植入挖礦木馬的機(jī)器具有CPU占用明顯增加,電腦變熱,運(yùn)行速度變慢,重啟也不能解決問題等癥狀。當(dāng)前,各類挖礦木馬如“雨后春筍”般涌現(xiàn),且植入手法各異,為攻擊者帶來不菲的收益。


近日,騰訊安全御見威脅情報(bào)中心發(fā)布針對(duì)挖礦木馬的2018年度安全報(bào)告《2018年度回顧:挖礦木馬為什么會(huì)成為病毒木馬黑產(chǎn)的中堅(jiān)力量》,全景式呈現(xiàn)2018年挖礦木馬的黑產(chǎn)世界。數(shù)據(jù)顯示,在過去的一年,挖礦木馬樣本每月產(chǎn)生的數(shù)量高達(dá)百萬(wàn)級(jí)別,遠(yuǎn)超游戲盜號(hào)木馬等傳統(tǒng)病毒。在非法利益的直接驅(qū)使下,挖礦木馬不斷變幻手段,在目標(biāo)選擇、技術(shù)對(duì)抗、渠道選擇等方面衍生出九大攻擊特點(diǎn),成為病毒木馬黑產(chǎn)中的“中堅(jiān)力量”。


誰(shuí)的電腦被挖礦了?


當(dāng)電腦運(yùn)行挖礦病毒時(shí),計(jì)算機(jī)CPU、GPU資源占用會(huì)上升,電腦因此變得卡慢。挖礦木馬的運(yùn)行特性造成了其并非無(wú)感式作案,這也意味著攻擊者需要盡可能保證每一次攻擊的收益——選擇攻擊目標(biāo)無(wú)疑是第一步也是最重要的一步。


輔助外掛是2018年挖礦木馬最喜愛的藏身軟件之一。線上兩款熱門的策略射擊游戲均被挖礦木馬“光顧”,甚至還出現(xiàn)了通殺游戲外掛的520Miner挖礦木馬。2018年1月,騰訊電腦管家對(duì)tlMiner挖礦行為及傳播來源進(jìn)行曝光,隨即在3月份配合騰訊守護(hù)者計(jì)劃安全團(tuán)隊(duì),協(xié)助山東警方快速打擊木馬作者,并在4月初打掉這個(gè)鏈條頂端的黑產(chǎn)公司。

8c89a5e916f11df0648d2a.png


(圖:xiaoba鎖定某游戲輔助外掛)


醫(yī)院也沒能逃脫挖礦木馬的魔爪。2018年7月,多家三甲醫(yī)院服務(wù)器被不法黑客入侵,攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù),之后利用某品牌云筆記的分享文件功能下載多種挖礦木馬,最終獲利超40萬(wàn)人民幣。


針對(duì)企業(yè)的攻擊趨勢(shì)在老牌挖礦木馬——PhotoMiner上體現(xiàn)得更為明顯。這個(gè)被首次發(fā)現(xiàn)于16年的病毒在去年4月重新活躍,通過入侵控制企業(yè)服務(wù)器,組建僵尸網(wǎng)絡(luò)云上挖礦,累計(jì)挖到8萬(wàn)枚門羅幣,收益達(dá)到驚人的8900萬(wàn)人民幣,成為名副其實(shí)的“黃金礦工”。


挖礦木馬的“求生欲”


為了減少被用戶發(fā)現(xiàn)的幾率,挖礦木馬常用套路是故意把挖礦時(shí)占用的CPU資源控制在一定范圍內(nèi),并且設(shè)置為檢測(cè)到任務(wù)管理器時(shí)將自身退出的特性。


除此之外,挖礦木馬還會(huì)應(yīng)用獨(dú)特技術(shù)來逃避殺毒軟件的攔截。2018年5月出現(xiàn)的“美人蝎”挖礦木馬,會(huì)隱藏在美女圖片當(dāng)中,利用圖片加密傳遞礦池相關(guān)信息,通過DNS隧道返回的信息來獲取隱蔽的C2信息,逃避殺軟偵測(cè)。該木馬控制超過2萬(wàn)臺(tái)肉雞電腦,分配不同的肉雞集群挖不少于4種數(shù)字加密幣。


為了進(jìn)一步升級(jí)技術(shù)手段,挖礦木馬也瞄上了NSA武器庫(kù)。自從NSA武器庫(kù)工具泄露以來,就一直備受不法黑客垂青,該工具包經(jīng)過簡(jiǎn)單的修改利用便可達(dá)到蠕蟲式傳播病毒的目的。2018年騰訊安全御見威脅情報(bào)中心發(fā)現(xiàn)大量的挖礦木馬團(tuán)伙應(yīng)用NSA武器庫(kù)工具傳播挖礦木馬,這使挖礦木馬擁有蠕蟲病毒的傳播能力。在騰訊安全監(jiān)測(cè)到NSAFtpMiner等應(yīng)用了NSA武器庫(kù)的挖礦木馬攻擊事件中,影響范圍均數(shù)以萬(wàn)計(jì)。

8c89a5e916f11df064aa31.png


(圖:NSA攻擊流程)


規(guī)?;腥救绾芜_(dá)成?


無(wú)論是對(duì)攻擊目標(biāo)精挑細(xì)選,還是對(duì)技術(shù)手段不斷升級(jí),挖礦木馬的核心目的都在于感染更多用戶電腦,攫取更高收益。因此,挖礦木馬對(duì)于攻擊渠道的選擇也煞費(fèi)苦心。


電腦和手機(jī)端同時(shí)發(fā)力,折射出挖礦木馬作者的貪婪。2018年11月騰訊安全御見威脅情報(bào)中心發(fā)現(xiàn)一個(gè)雙平臺(tái)挖礦木馬,該木馬具有Windows和Android雙平臺(tái)版本,在中毒電腦和手機(jī)上同時(shí)運(yùn)行門羅幣挖礦程序。


即使是電腦端的傳播,挖礦木馬為了擴(kuò)大范圍也想出了新法子——普遍采用了網(wǎng)頁(yè)掛馬這種最高效率的傳播方式,而以往利用網(wǎng)頁(yè)掛馬傳播最多的是盜號(hào)木馬。


以“412掛馬風(fēng)暴”為例,4月12日,騰訊電腦管家團(tuán)隊(duì)監(jiān)測(cè)發(fā)現(xiàn),網(wǎng)頁(yè)掛馬病毒通過某廣告聯(lián)盟平臺(tái)迅速分發(fā)到國(guó)內(nèi)50余款主流客戶端,威脅數(shù)以萬(wàn)計(jì)網(wǎng)民的信息安全。管家團(tuán)隊(duì)迅速將整個(gè)犯罪鏈條的分析報(bào)告提交給國(guó)家有關(guān)部門,并于當(dāng)晚緊急發(fā)布“412掛馬風(fēng)暴”檢測(cè)修復(fù)工具,阻止“412掛馬風(fēng)暴”進(jìn)一步擴(kuò)散。


網(wǎng)頁(yè)掛馬傳播還有進(jìn)階版——通過大規(guī)模入侵存在安全漏洞的網(wǎng)站,在網(wǎng)頁(yè)中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個(gè)網(wǎng)頁(yè),就會(huì)淪為礦工。


去年1月,騰訊安全御見威脅情報(bào)中心發(fā)現(xiàn)一廣告分發(fā)平臺(tái)被惡意嵌入挖礦JavaScript腳本,該挖礦攻擊在江蘇、湖南地區(qū)集中爆發(fā),挖礦頁(yè)面單日訪問量近百萬(wàn)次。其中用戶在網(wǎng)站上觀看視頻或閱讀時(shí)停留時(shí)間較長(zhǎng),不法黑客利用這些網(wǎng)站進(jìn)行挖礦,可以獲取持續(xù)的收益。


8c89a5e916f11df064d839.png

(圖:JS挖礦機(jī)攻擊流程)


從2018年的挖礦木馬事件中發(fā)現(xiàn),挖礦木馬可選擇的幣種越來越多,設(shè)計(jì)越來越復(fù)雜,隱藏也越來越深,《報(bào)告》認(rèn)為2019年挖礦木馬仍會(huì)持續(xù)活躍,與殺毒軟件的對(duì)抗也會(huì)愈演愈烈。對(duì)此,《報(bào)告》建議:不要下載來歷不明的軟件,謹(jǐn)慎使用破解工具、游戲輔助工具;企業(yè)用戶及時(shí)修復(fù)服務(wù)器組件漏洞;監(jiān)測(cè)設(shè)備的CPU、GPU占用情況,部署更完善的安全防御系統(tǒng)。此外,個(gè)人電腦使用殺毒軟件仍是明智之舉。


聯(lián)系電話:010-62199788
公司地址:北京市昌平區(qū)七北路TBD云集中心(42號(hào)院)16號(hào)樓
Copyright 2015-2020 長(zhǎng)安通信科技有限責(zé)任公司版權(quán)所有 All Rights Reserved 京ICP備13045911號(hào)

掃碼關(guān)注

AV综合网站一区,亚洲中文字幕日产乱码高清,日本中文字幕乱码视频在线,无码a级毛片免费视频内谢,久久www免费人成_网站,国产模特私拍福利写真,精精国产XXXX视频在线播放,a在线视频播放免费视