挖礦木馬為什么會成為病毒木馬的中流砥柱???
時間:
伯超1226由 分享
挖礦木馬為什么會成為病毒木馬的中流砥柱???
一、概述根據(jù)情報中心監(jiān)測數(shù)據(jù),2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬級別,且上半年呈現(xiàn)快速增長趨勢,下半年上漲趨勢有所減緩。由于挖礦的收益可以通過數(shù)字加密貨幣系統(tǒng)結(jié)算,使黑色產(chǎn)業(yè)變現(xiàn)鏈條十分方便快捷,少了中間商(洗錢團伙)賺差價。數(shù)字加密幣交易系統(tǒng)的匿名性,給執(zhí)法部門的查處工作帶來極大難度。
在過去的2018年,挖礦病毒的流行程度已遠超游戲盜號木馬、遠程控制木馬、網(wǎng)絡劫持木馬、感染型病毒等等傳統(tǒng)病毒。以比特幣為代表的虛擬加密幣經(jīng)歷了過山車行情,許多礦場倒閉,礦機跌落到輪斤賣的地步。但即使幣值已大幅下跌,挖礦木馬也未見減少。因為控制他人的肉雞電腦挖礦,成本為零。
當電腦運行挖礦病毒時,計算機CPU、GPU資源占用會上升,電腦因此變得卡慢,如果是筆記本電腦,會更容易觀察到異常:比如電腦發(fā)燙、風扇轉(zhuǎn)速增加,電腦噪聲因此增加,電腦運行速度也因此變慢。但是也有挖礦木馬故意控制挖礦時占用的CPU資源在一定范圍內(nèi),并且設置為檢測到任務管理器時,將自身退出的特性,以此來減少被用戶發(fā)現(xiàn)的幾率。
根據(jù)情報中心監(jiān)測數(shù)據(jù),2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬級別,且全年呈現(xiàn)增長趨勢。
我們對2018年挖礦病毒樣本進行歸類,對挖礦木馬使用的端口號、進程名、礦池的特點進行統(tǒng)計,發(fā)現(xiàn)以下特點:
挖礦木馬最偏愛的端口號依次為3333、8008、8080。
挖礦木馬喜歡將自身進程名命名為系統(tǒng)進程來迷惑用戶,除了部分挖礦進程直接使用xxxminer外,最常使用的進程名為windows系統(tǒng)進程名:svchost.exe以及csrss.exe。
挖礦木馬連接礦池挖礦,從礦池獲取任務,計算后將任務提交到礦池。礦工將自己的礦機接入礦池,貢獻自己的算力共同挖礦,共享收益。2018年挖礦木馬應用最廣泛的礦池為f2pool.com,其次為minexmr.com。
二、2018年挖礦木馬傳播特點
1.瞄準游戲高配機,高效率挖礦
輔助外掛是2018年挖礦木馬最喜愛的藏身軟件之一。由于游戲用戶對電腦性能要求較高,不法分子瞄準游戲玩家電腦,相當于找到了性能“絕佳”的挖礦機器。
案例1:tlMiner挖礦木馬利用《絕地求生》玩家的高配置機器,搭建挖礦集群
2017年年底殺毒軟件發(fā)現(xiàn)一款名為“tlMiner”的挖礦木馬,隱藏在《絕地求生》輔助程序中進行傳播,單日影響機器量最高可達20萬臺。經(jīng)溯源分析發(fā)現(xiàn),該木馬在2017年12月8號輔助新版發(fā)布后開始植入輔助工具,其間有過停用,但巨大的利益驅(qū)使不法分子在12月25號重新開放輔助及挖礦功能。
2018年1月殺毒軟件對tlMiner挖礦行為及傳播來源進行曝光,隨即在3月份配合守護者計劃安全團隊,協(xié)助山東警方快速打擊木馬作者,并在4月初打掉這個鏈條頂端的黑產(chǎn)公司。據(jù)統(tǒng)計,該團伙合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現(xiàn)金)、BCD(比特幣鉆石)等各種數(shù)字加密貨幣超過2000萬枚,非法獲利逾千萬。
案例2:藏身《荒野行動》輔助的挖礦木馬
2018年2月,殺毒軟件發(fā)現(xiàn)一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程序中傳播,并在2月中下旬通過社交群、網(wǎng)盤等渠道傳播,出現(xiàn)明顯上漲趨勢。
2018年6月,致力于傳播勒索病毒的病毒作者xiaoba也盯上了《荒野求生》輔助外掛,在網(wǎng)站xiaobaruanjian.xyz上提供荒野行動游戲輔助,并將挖礦木馬等植入其中。一旦從該網(wǎng)站下載運行所謂的吃雞輔助,電腦CPU會被大量占用挖礦。
如果碰巧遇到中毒電腦有比特幣、以太坊交易,xiaoba挖礦木馬還會監(jiān)視剪切板,當中毒電腦上發(fā)生比特幣、以太坊幣交易時,病毒會在交易瞬間將收款人地址替換為自己的,從而實現(xiàn)加密貨幣交易搶劫。
案例3:通殺游戲外掛的520Miner挖礦木馬
2018年5月情報中心感知到一款名為“520Miner”的挖礦木馬。由于520Miner僅能使用CPU挖取VIT幣,對電腦性能要求不高,所有個人PC機都能參與,因此520Miner挖礦團伙通過游戲外掛傳播挖礦木馬,在上線短短兩天,就感染了國內(nèi)數(shù)千臺機器。然而從收益來看,木馬在幾天內(nèi)總共挖取67枚VIT幣,總價值不到一毛錢人民幣,可以說是史上最能窮折騰的挖礦木馬。
2.應用獨特技術(shù)逃避攔截
案例1:“美人蝎”礦工通過DNS隧道技術(shù)逃避攔截
2018年5月情報中心感知到一款挖礦木馬,其隱藏在美女圖片當中,利用圖片加密傳遞礦池相關(guān)信息,因此得名為“美人蝎”挖礦木馬。該木馬控制超過2萬臺肉雞電腦,分配不同的肉雞集群挖不少于4種數(shù)字加密幣:BCX(比特無限),XMR(門羅幣),BTV(比特票),SC(云儲幣)等。
木馬特點還在于通過DNS隧道返回的信息來獲取隱蔽的C2信息。首先通過DNS協(xié)議訪問一級C2,第一級C2服務器會回應一段text串,解密后得到二級C2地址,DNS協(xié)議是建立在UDP協(xié)議之上,同時又是系統(tǒng)級協(xié)議,很少有殺軟會偵測DNS數(shù)據(jù)是否異常。
3.挖礦木馬版本快速升級
案例1:Apache Struts2高危漏洞致企業(yè)服務器被入侵安裝KoiMiner挖礦木馬
2018年7月情報中心發(fā)現(xiàn)有黑客利用攻擊工具檢測網(wǎng)絡上存在Apache struts2漏洞(CVE-2017-5638)服務器,發(fā)現(xiàn)存在漏洞的機器后通過遠程執(zhí)行各類指令進行提權(quán)、創(chuàng)建賬戶、系統(tǒng)信息搜集,然后將木馬下載器植入,進而利用其下載挖礦木馬netxmr4.0.exe。
由于挖礦木馬netxmr解密代碼后以模塊名“koi”加載,因此將其命名為KoiMiner。
通過多個相似樣本進行對比,發(fā)現(xiàn)木馬作者在一個月內(nèi)更新發(fā)布了4個挖礦木馬版本。
簡單介紹下變化較大的兩個版本:
版本1:
2018年11月情報中心發(fā)現(xiàn)KoiMiner挖礦木馬變種,該變種的挖礦木馬已升級到6.0版本,木馬作者對部分代碼加密的方法來對抗研究人員調(diào)試分析,木馬專門針對企業(yè)SQL Server 服務器的1433端口爆破攻擊,攻擊成功后植入挖礦木馬,并且繼續(xù)下載SQL爆破工具進行蠕蟲式傳播。
版本2:
2018年12月情報中心再次檢測到KoiMiner活動,此次的樣本仍然專門針對企業(yè)SQL Server 服務器的1433端口爆破攻擊,攻擊成功后會首先植入Zegost遠程控制木馬(知名遠控木馬Gh0st的修改版本,安裝后會導致服務器被黑客完全控制),控制機器進一步植入挖礦木馬。 黑客攻擊時使用的SQL爆破工具CSQL.exe加密方法與7月發(fā)現(xiàn)的樣本一致,解密后以模塊名“koi”加載執(zhí)行。
通過SQL爆破工具的解壓路徑“1433騰龍3.0”進行溯源,發(fā)現(xiàn)與攻擊事件相關(guān)聯(lián)的一個黑客技術(shù)論壇(騰龍技術(shù)論壇),并通過信息對比確認相關(guān)的論壇活躍成員“*aoli**22”,論壇傳播的挖礦木馬生成器“SuperMiner v1.3.6”,以及該成員注冊C2域名使用的姓名和電話號碼。
4.暴力入侵多家醫(yī)院,威脅醫(yī)療系統(tǒng)信息安全
案例:多家三甲醫(yī)院服務器遭暴力入侵,黑客趕走50余款挖礦木馬獨享挖礦資源
醫(yī)療業(yè)務系統(tǒng)正在快速實現(xiàn)信息化,醫(yī)療業(yè)務系統(tǒng)成為黑客攻擊的重點。2018年7月情報中心檢測到多家三甲醫(yī)院服務器被黑客入侵,攻擊者暴力破解醫(yī)院服務器的遠程登錄服務,之后利用有道筆記的分享文件功能下載多種挖礦木馬。
攻擊者將挖礦木馬偽裝成遠程協(xié)助工具Teamviewer運行,并且挖礦木馬會檢測多達50個常用挖礦程序的進程,將這些程序結(jié)束進程后獨占服務器資源挖礦。木馬還會通過修改注冊表,破壞操作系統(tǒng)安全功能:禁用UAC(用戶帳戶控制)、禁用Windows Defender,關(guān)閉運行危險程序時的打開警告等等。已知樣本分析發(fā)現(xiàn),攻擊者使用的挖礦木馬擁有多個礦池,開挖的山寨加密幣包括:門羅幣(XMR)、以太坊(ETH)、零幣(ZEC)等等,從礦池信息看,目前攻擊者已累積獲利達40余萬元人民幣。
5.應用NSA武器攻擊,木馬、蠕蟲狼狽為奸
自從NSA武器庫工具泄露以來,一直倍受黑客垂青,該工具包經(jīng)過簡單的修改利用便可達到蠕蟲式傳播病毒的目的。2018年情報中心發(fā)現(xiàn)大量的挖礦木馬團伙應用NSA武器庫工具傳播挖礦木馬,這使挖礦木馬擁有蠕蟲病毒的傳播能力。
案例1:精通NSA十八般兵器的NSAFtpMiner感染約3萬臺電腦
2018年9月情報中心發(fā)現(xiàn)黑客通過1433端口爆破入侵SQL Server服務器,再植入遠程控制木馬并安裝為系統(tǒng)服務,然后利用遠程控制木馬進一步加載挖礦木馬進行挖礦。隨后,黑客還會下載NSA武器攻擊工具在內(nèi)網(wǎng)中攻擊擴散,若攻擊成功,會繼續(xù)在內(nèi)網(wǎng)機器上安裝該遠程控制木馬。
木馬加載的攻擊模塊幾乎使用了NSA武器庫中的十八般武器:
Eternalblue(永恒之藍)、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等漏洞攻擊工具均被用來進行內(nèi)網(wǎng)攻擊,攻擊主進程偽裝成“Ftp系統(tǒng)核心服務”,還會利用FTP功能進行內(nèi)網(wǎng)文件更新。其攻擊內(nèi)網(wǎng)機器后,植入遠程控制木馬,并繼續(xù)從C2地址下載挖礦和攻擊模塊,進行內(nèi)網(wǎng)擴散感染。
案例2:NSABuffMiner挖礦木馬霸占某校園服務器,非法獲利115萬元
2018年9月情報中心接到用戶反饋,某學校內(nèi)網(wǎng)水卡管理服務器被植入名為rundllhost.exe的挖礦木馬。分析后發(fā)現(xiàn)該木馬是NSASrvanyMiner挖礦木馬的變種,此木馬同樣利用NSA武器工具在內(nèi)網(wǎng)攻擊傳播,而該服務器存在未修復的ms17-010漏洞,因此受到攻擊被利用挖礦。查詢NSABuffMiner挖礦木馬使用錢包信息,發(fā)現(xiàn)該錢包累計挖礦收益高達115萬元人民幣。
案例3:ZombieboyMiner(僵尸男孩礦工)控制7萬臺電腦挖門羅幣
2018年10月情報中心檢測到利用ZombieboyTools傳播的挖礦木馬家族最新活動。木馬對公開的黑客工具ZombieboyTools(集成NSA攻擊模塊)進行修改,然后將其中的NSA攻擊模塊進行打包利用,對公網(wǎng)以及內(nèi)網(wǎng)IP進行攻擊,并在中招機器執(zhí)行Payload進一步植入挖礦、RAT(遠程訪問控制)木馬。
通過對比確認從2017年9月以來多家廠商發(fā)布的Zombieboy攻擊事件以及友商發(fā)布的NSASrvanyMiner攻擊事件為同一團伙,因此我們將該團伙命名為ZombieboyMiner。情報中心監(jiān)測發(fā)現(xiàn),ZombieboyMiner(僵尸男孩礦工)木馬出現(xiàn)近一年來,已感染超過7萬臺電腦,監(jiān)測數(shù)據(jù)表明該病毒非?;钴S。
6.同時針對多個平臺進行攻擊、植入不同版本的挖礦木馬
2018年11月御見威脅情報中心發(fā)現(xiàn)一個雙平臺挖礦木馬,該木馬具有Windows和Android雙平臺版本,在中毒電腦和手機上運行門羅幣挖礦程序。其Windows版本使用有合法數(shù)字簽名的文件借助游戲下載站傳播,木馬的Android版本則偽裝成Youtube視頻播放器,當中毒用戶在手機上看Youtube視頻時,病毒會在后臺運行門羅幣挖礦程序,從而令手機發(fā)熱增加,續(xù)航縮短。
2018年12月御見威脅情報中心通過蜜罐系統(tǒng)部發(fā)現(xiàn)了利用Aapche Struts2-045(CVE-2017-5638)漏洞攻擊Linux服務器,并通過計劃任務植入的挖礦木馬。并通過進一步分析發(fā)現(xiàn)了針對Windows系統(tǒng)和Linux系統(tǒng)進行攻擊的挖礦木馬,且不同平臺的挖礦木馬最終均使用了相同的礦池及錢包。
7.利用網(wǎng)頁掛馬,大范圍傳播
挖礦木馬的傳播渠道不限于通過偽裝成電腦軟件下載,還普遍采用了網(wǎng)頁掛馬這種最高效率的傳播方式,而以往利用網(wǎng)頁掛馬傳播最多的是盜號木馬。
案例1:廣告聯(lián)盟的分發(fā)系統(tǒng)被掛馬,傳播挖礦木馬等病毒
2018年4月12日,情報中心監(jiān)測到國內(nèi)一起大規(guī)模的網(wǎng)頁掛馬事件。當天包括多款知名播放器軟件、視頻網(wǎng)站客戶端、常見的工具軟件在內(nèi)的50余款用戶量千萬級別的電腦軟件遭遇大規(guī)模網(wǎng)頁掛馬攻擊。
攻擊者將攻擊代碼通過某廣告聯(lián)盟的系統(tǒng)主動分發(fā)帶毒頁面,而這個帶毒頁面被內(nèi)嵌在50余款千萬級別用戶群的常用軟件中,這些用戶的電腦一開機會主動連網(wǎng)下載廣告資源,電腦會因此下載若干個病毒,其中就包括挖礦病毒。殺毒軟件當天攔截超過20萬次病毒下載。
案例2:色情網(wǎng)站被掛馬,利用Flash高危安全漏洞植入挖礦木馬
此外,情報中心還監(jiān)測到一款挖礦病毒感染量異常增高,經(jīng)病毒溯源分析發(fā)現(xiàn),受害者電腦上的挖礦木馬均來自某些打著“人體藝術(shù)”旗號的色情網(wǎng)站。
當網(wǎng)民瀏覽這些網(wǎng)站時,由于部分系統(tǒng)存在Flash高危安全漏洞,打開網(wǎng)頁會立刻中毒。之后,受害者電腦便會運行挖礦代碼,電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦,并以此牟利。
8.入侵控制企業(yè)服務器,組建僵尸網(wǎng)絡云上挖礦
隨著各種數(shù)字加密貨幣的挖礦難度越來越大,通過普通用戶的個人電腦難以實現(xiàn)利益最大化。而實施短時間內(nèi)的大范圍挖礦,除了網(wǎng)頁掛馬,最普遍的作法就是控制肉雞電腦組建僵尸網(wǎng)絡挖礦。服務器性能強、24小時在線的特征,吸引更多不法礦工將攻擊目標轉(zhuǎn)向企業(yè)、政府機構(gòu)、事業(yè)單位的服務器實現(xiàn)云上挖礦。
情報中心就發(fā)現(xiàn)一個感染量驚人的黃金礦工“PhotoMiner木馬”,該木馬2016年首次被發(fā)現(xiàn),該木馬通過入侵感染FTP服務器和SMB服務器,該木馬2016年首次被發(fā)現(xiàn),通過入侵感染FTP服務器和SMB服務器暴力破解來擴大傳播范圍。查詢木馬控制的門羅幣錢包地址,發(fā)現(xiàn)該木馬控制肉雞電腦挖到8萬枚門羅幣,挖礦累計收益達到驚人的8900萬人民幣,成為名副其實的“黃金礦工”。
9.網(wǎng)頁挖礦:在正常網(wǎng)頁插入挖礦代碼,利用瀏覽器挖礦
由于殺毒軟件的存在,挖礦木馬文件一落地到用戶電腦就可能被攔截,不利于擴大挖礦規(guī)模,一部分攻擊者采用新的挖礦方式實施網(wǎng)頁挖礦。通過大規(guī)模入侵存在安全漏洞的網(wǎng)站,在網(wǎng)頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網(wǎng)頁,就會淪為礦工。
案例1:JS挖礦機利用廣告分發(fā)平臺,大規(guī)模攻擊江蘇湖南網(wǎng)民
2018年1月情報中心發(fā)現(xiàn)一廣告分發(fā)平臺被惡意嵌入挖礦JavaScript腳本,該挖礦攻擊在江蘇、湖南地區(qū)集中爆發(fā)。挖礦頁面單日訪問量近百萬次,中招機器CPU資源被占用90%以上,直接影響系統(tǒng)運行。
此次惡意JavaScript代碼存放在國內(nèi)某電商平臺服務器上。頁面中導入惡意JS腳本為Coinhive JavaScript Miner代碼,該代碼基于CryptoNight挖礦算法,挖取數(shù)字加密貨幣—門羅幣。
此外,為了不被輕易發(fā)現(xiàn),該挖礦腳本僅在非IE瀏覽器內(nèi)運行,并通過Math.random()設置50%的啟動概率。這就意味著,當用戶發(fā)現(xiàn)電腦卡頓、CPU占用率過高,懷疑有惡意程序運行進而進行確認時,挖礦環(huán)境并不一定重現(xiàn)。
案例2:C0594組織惡意挖礦攻擊,攻陷數(shù)千個網(wǎng)站植入JS挖礦腳本
2018年4月情報中心監(jiān)測發(fā)現(xiàn),包括傳統(tǒng)企業(yè)、互聯(lián)網(wǎng)公司、學校和政府機構(gòu)等在內(nèi)的多個網(wǎng)站網(wǎng)頁被植入挖礦JS腳本。經(jīng)分析,該批站點中的核心JS文件被注入惡意代碼,通過請求同一個腳本文件(http[:]//a.c0594.com/?e=5),加載另一個腳本文件(http[:]//a.c0594.com/?js=1)提供的CoinHive挖礦代碼,從而在用戶機器上執(zhí)行挖礦。
案例3:使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭遇大規(guī)模JS挖礦攻擊
2018年5月情報中心監(jiān)測到,大批使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭到JS挖礦攻擊。經(jīng)分析,受攻擊網(wǎng)站所使用的Drupal系統(tǒng)為存在CVE-2018-7600遠程代碼執(zhí)行漏洞的較低版本。黑客利用Drupal系統(tǒng)漏洞將混淆后的挖礦JS注入到網(wǎng)站代碼中進行挖礦。
網(wǎng)頁JS挖礦分布
2018年在感染JS挖礦程序的網(wǎng)站類型中,色情網(wǎng)站占比最高,其次是博彩網(wǎng)站、小說網(wǎng)站和視頻網(wǎng)站。其中用戶在網(wǎng)站上觀看視頻或閱讀時停留時間較長,黑客利用這些網(wǎng)站進行挖礦,可以獲取持續(xù)的收益。
三、挖礦僵尸網(wǎng)絡
僵尸網(wǎng)絡通過多種攻擊方法傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機,從而形成龐大的受控集群,接收同一個個木馬控制端的指令完成相應的行為。挖礦木馬變得流行起來后,許多大型僵尸網(wǎng)絡也開始將挖礦作為其系統(tǒng)功能的一部分,從而更快地獲取收益。2018年活躍的挖礦僵尸網(wǎng)絡包括MyKings,WannaMiner等。
1.MyKings
Mykings僵尸網(wǎng)絡是目前發(fā)現(xiàn)的最復雜的僵尸網(wǎng)絡之一,其攻擊手段主要為“永恒之藍”漏洞利用,SQL Server密碼爆破等,并在失陷主機植入挖礦模塊,遠程控制模塊,以及掃描攻擊模塊進行蠕蟲式傳播。
2018年5月御見威脅情報中心監(jiān)測到MyKings僵尸網(wǎng)絡開始傳播新型挖礦木馬,該木馬利用Windows 系統(tǒng)下安裝程序制作程序NSIS的插件和腳本功能實現(xiàn)了挖礦木馬的執(zhí)行、更新和寫入啟動項,同時該木馬的NSIS腳本還具備通過SMB爆破進行局域網(wǎng)傳播的能力。
2018年12月御見威脅情報中心發(fā)現(xiàn)Mykings僵尸網(wǎng)絡攻擊方式升級,在其攻擊模塊中集成永恒之藍漏洞、閉路電視物聯(lián)網(wǎng)設備漏洞、MySQL漏洞攻擊以及RDP爆破、Telnet爆破弱口令爆破等多種攻擊方式。并且首次發(fā)現(xiàn)其使用“暗云”木馬感染器感染機器MBR,感染后payload會下載配置文件執(zhí)行主頁鎖定和挖礦功能。
2.WannaMiner
2018年3月情報中心監(jiān)控到有攻擊者利用“永恒之藍”漏洞,傳播一種門羅幣挖礦木馬WannaMiner。WannaMiner木馬將染毒機器構(gòu)建成一個健壯的僵尸網(wǎng)絡,還支持內(nèi)網(wǎng)病毒自更新,并且以一種相對低調(diào)的獲利方式“挖礦”來長期潛伏。
盡管早在2017.5月WannaCry事件爆發(fā)時,很多機器已經(jīng)在安全軟件幫助下安裝了相應補丁。但本次WannaMiner攻擊事件揭示,仍有部分企事業(yè)單位未安裝補丁或者部署防護類措施。由于其在內(nèi)網(wǎng)傳播過程中通過SMB進行內(nèi)核攻擊,可能造成企業(yè)內(nèi)網(wǎng)大量機器出現(xiàn)藍屏現(xiàn)象。
2018年11月情報中心發(fā)現(xiàn)WannaMiner最新變種攻擊,該變種病毒利用永恒之藍漏洞在企業(yè)內(nèi)網(wǎng)快速傳播。變種的主要變化為,漏洞攻擊成功后釋放的母體文件由壓縮包變?yōu)樘厥飧袷降募用芪募?,因此木馬在使用該文件時由簡單的解壓變?yōu)榻饷?,特殊的加密方式給殺軟查殺造成了一定難度。
四、2018年挖礦木馬典型事件
五、幣圈疲軟,挖礦木馬還有未來嗎?
數(shù)字加密貨幣在2018年經(jīng)歷了持續(xù)暴跌,比特幣已從去年年底的2萬美元,跌至現(xiàn)在不足4000美元,通過“炒幣”暴富的希望似乎越來越渺茫,但這并沒有影響挖礦木馬的熱度,相對于投資礦機來說,控制肉雞電腦挖礦成本為0。
而從2018年的挖礦木馬事件中發(fā)現(xiàn),挖礦木馬可選擇的幣種越來越多,設計越來越復雜,隱藏也越來越深,因此我們認為2019年挖礦木馬仍會持續(xù)活躍,與殺毒軟件的對抗也會愈演愈烈。除非幣圈持續(xù)爆跌到一文不值,挖礦黑產(chǎn)才會有新的變化。
綜合分析,我們估計2019年,挖礦木馬產(chǎn)業(yè)會有以下特點:
(1)利用多種攻擊方法,短時間快速傳播
漏洞利用攻擊是木馬傳播的重要手段之一,挖礦木馬將受害者機器作為新的攻擊源,對系統(tǒng)中的其他機器進行掃描攻擊,達到迅速傳播的效果,例如WannaMiner挖礦木馬的爆發(fā),幾天之內(nèi)可以達到感染數(shù)萬臺設備,如何快速響應和阻止此類木馬是安全廠商面臨的考驗。
(2)針對服務器攻擊,企業(yè)用戶受威脅
企業(yè)設備上往往運行著數(shù)量龐大的應用程序,例如提供對外訪問的web服務,對企業(yè)內(nèi)部提供的遠程登錄服務等,這些服務作為企業(yè)服務的一個窗口,也成為了不法份子瞄準的弱點。一旦入侵內(nèi)網(wǎng),再利用大量廉價的攻擊工具可以快速組成挖礦僵尸網(wǎng)絡。
例如對服務器遠程登錄端口爆破,利用服務器組件攻擊傳播的挖礦木馬攻擊,未來需要更加有效的解決方案。
(3)隱藏技術(shù)更強,與安全軟件對抗愈加激烈
病毒發(fā)展至今,PC機上隱藏技術(shù)最強的無疑是Bootkit/Rootkit類病毒,這類木馬編寫復雜,各模塊設計精密,可直接感染磁盤引導區(qū)或系統(tǒng)內(nèi)核,其權(quán)限視角與殺軟平行,屬于頑固難清除的一類病毒,可以最大限度在受害電腦系統(tǒng)中存活。
例如在2018年12月發(fā)現(xiàn)的Mykings木馬最新變種,加入了“暗云”MBR感染功能,通過修改系統(tǒng)系統(tǒng)啟動引導扇區(qū)加載挖礦模塊,使得其難以徹底清除。2019年數(shù)字加密貨幣安全形勢依然嚴峻,挖礦木馬的隱藏對抗或?qū)⒏蛹ち摇?br/> 六、針對挖礦木馬的應對措施
1、 不要下載來歷不明的軟件,謹慎使用破解工具、游戲輔助工具。
2、 及時安裝系統(tǒng)補丁,特別是微軟發(fā)布的高危漏洞補丁。
3、 服務器使用安全的密碼策略 ,使用高強度密碼,切勿使用弱口令,防止黑客暴力破解。
4、 企業(yè)用戶及時修復服務器組件漏洞,包括但不限于以下類型:
Apache Struts2漏洞、WebLogic XMLDecoder反序列化漏洞、Drupal的遠程任意代碼執(zhí)行漏洞、JBoss反序列化命令執(zhí)行漏洞、Couchdb的組合漏洞、Redis未授權(quán)訪問漏洞、Hadoop未授權(quán)訪問漏洞;
5、監(jiān)測設備的CPU、GPU占用情況,發(fā)現(xiàn)異常程序及時清除,部署更完善的安全防御系統(tǒng)。個人電腦使用殺毒軟件仍是明智之舉。
病毒知識相關(guān)文章:
1.電腦病毒知識
2.計算機病毒知識
3.電腦病毒防范常識
5.殺死電腦病毒