新闻快讯
< >

恶意挖矿掀起黑产新浪潮

E安全3月7日讯 卡巴斯基实验室2017年9月曾发布报告揭露,全球的恶意挖矿软件不断增加,黑客通过僵尸网络赚取了数百万美元,但这只是故事的开始,恶意挖矿程序的变换真是日新月异。

报告的部分内容

恶意挖矿掀起黑产新浪潮-E安全

2017年比特币和Alt币价格增长

卡巴斯基的研究人员表示,加密货币的价格飙升必定会吸引大批威胁攻击者“吸金”,随后,许多网络犯罪组织将目光转向恶意挖矿行动。研究人员发现,截止2017年底,270万用户被恶意挖矿软件感染,相比2016年增加了近1.5倍。恶意挖矿活动相当活跃,就连过去几年猖狂的勒索软件也得靠边站。

恶意挖矿掀起黑产新浪潮-E安全

2017年卡巴斯基实验室用户受到恶意矿工攻击的数量

恶意挖矿活动为何比勒索软件更“热门”?

首先,恶意挖矿软件和勒索软件均具有一套明显的赚钱模式。在勒索软件攻击中,黑客会感染设备,将用户的数据作为勒索条件来赚取赎金。与勒索软件类似的是,挖矿软件模式也比较简单,即感染受害者,利用 CPU 或 GPU 赚取虚拟货币,进而通过合法交易平台变现。

恶意挖矿掀起黑产新浪潮-E安全

矿工的变现计划

与勒索软件不同的是,用户难以发现是否遭遇恶意挖矿程序感染。用户上网一般不会占用太多CPU。然而,挖矿程序会占用70-80%的CPU,其中某些挖矿程序具有特殊功能,能在电脑执行资源要求较高的程序(比如视频游戏)时降低挖矿能力或取消进程。
更为重要的是,要利用自己的挖矿软件非常容易,包括:

  • 利用合作伙伴计划;

  • 开放矿池;

  • 创建大量挖矿软件。

卡巴斯基发现,最受威胁攻击者欢迎的矿池是 Nanopool 。攻击者可使用开放矿池估算能赚取的金额。卡巴斯基实验室的数据显示,80%的非法挖矿软件包含合法挖矿软件的开源代码,亦或只是经过打包的合法挖矿软件。

恶意挖矿掀起黑产新浪潮-E安全

合法池的统计信息

挖矿程序的多种传播方式

通常情况下,威胁攻击者会结合潜在恶意应用(PUA)合作伙伴程序传播挖矿软件,而一些小型犯罪组织则尝试使用不同的社会工程技巧传播挖矿恶意软件,例如伪造的彩票,潜在的受害者需要从文件共享服务下载随机数生成器,并在电脑上运行。这是一种简单的骗术,但却相当有效。

攻击者常用的另一种传播方法是通过浏览器中特殊脚本执行 Web 挖矿活动。网络犯罪分子使用最多的这类脚本是 Coinhive,多被用于流量高的网站。这些网站上的用户会话越长,站点所有者赚取的越多。

两个典型的恶意挖矿程序

还有一些网络犯罪组织不需要传播挖矿程序,相反他们将目标瞄向大企业的服务器。

瞄准大型企业服务器的Wannamine:就利用永恒之蓝漏洞在内部网络中传播,以这种方式赚取了9千枚门罗币,当前价格 1门罗币=2311元,当前九千枚门罗币可兑换人民币2000多万元。另一款名为 Adylkuzz 的挖矿程序是首个利用“永恒之蓝”漏洞挖矿程序。

删不掉的Winder:当该软件被反病毒产品删除后,它可通过额外服务恢复挖矿程序。Winder 僵尸网络截至目前已赚取约50万美元。

恶意挖矿技术在升级:Hollow

卡巴斯基指出,2018年恶意挖矿呈现新趋势:挖矿软件背后的威胁攻击者开始借用针对性攻击的恶意软件技术。例如,研究人员发现的“Hollow”挖矿程序,它使用 Process Hollowing 技术。

E安全百科:

Process Hollowing能将合法进程加载到系统中充当恶意代码的容器。

此类挖矿程序的感染载体是一个 PUA 模块。受害者可能只是想下载一个合法的应用程序,但最终却下载了携带着挖矿安装程序的PUA。此后,挖矿安装程序会释放合法的 Windows 实用程序 msiexec ,继而从远程服务器下载并执行恶意模块。之后,它会安装一个恶意调度程序任务释放这款挖矿软件。接下来,挖矿软件会执行合法系统进程,并使用 Process Hollowing 技术(将合法进程代码改为恶意)。攻击者还为新的进程设置了特殊标记,如果受害者试图终止该进程,Windows 系统将会重启。这种挖矿软件对安全解决方案是一种挑战。

恶意挖矿掀起黑产新浪潮-E安全

感染链

2017年下半年,网络犯罪分子通过这类复杂的技术敛财逾700万美元。研究人员发现,某威胁组织2018年一直将目标瞄向大型企业,其主要目的是利用它们的计算机资源进行挖矿。当该组织进入一家公司的网络后,它们会尝试访问域控制器,从而使用域策略启动恶意代码。在这起案例中,攻击者在端点和企业网络的每台端点上执行恶意 PowerShell 脚本。

恶意挖矿掀起黑产新浪潮-E安全

恶意PowerShell脚本

该脚本的逻辑如下:

  • 启动后,它会检查端点是否属于企业高层或信息安全官员的账户。如果判定是此类账户,该脚本将不会执行挖矿程序。

  • 该脚本还会检查当前的时间,会选择非工作时间执行恶意挖矿程序。

“空间证明”区块链技术正在传播恶意软件

据卡巴斯基实验室的研究人员预测,攻击者将使用新的区块链技术传播恶意软件。近期最新的一项技术是基于区块链的“空间证明”(Proof-of-Space,PoSpace)概念。与普通挖矿僵尸网络使用的工作量证明(PoW)不同的是,PoSpace 算法需要硬盘空间,基于这种算法的新型挖矿程序首先将会瞄准大数据服务器。

  • 一方面,赚钱方式与基于 PoW 算法的恶意软件挖矿软件类似。

  • 另一方面,这种技术能为网络犯罪分子提供其它收益。基于 PoSpace 算法的区块链是一个巨大的去中心化匿名数据中心,能被用来传播恶意软件或非法内容,因此它具有更大的杀伤力,能加密数据,更无人知道数据的物理存储位置。

恶意挖矿掀起黑产新浪潮-E安全

卡巴斯基的研究人员提出防范此类威胁的建议:

  • 定期进行安全检查。

  • 在端点和服务器上部署安全解决方案。

E安全注:本文系E安全独家编译报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。