挖矿成了新的黑暗地带

发布者:CCkicker
发布于:2018-03-07 08:54

挖矿成了新的黑暗地带

Anton Ivanov, Evgeny Lopatin 2018.03.05


 

去年,我们发布了一个报道,讲的是全球挖矿活动变得活跃起来。当时我们发现了一起赚取了数百万美元的僵尸网络。我们知道这只是故事的开始,以后这样的事会变得越来越多。
和世界其他地区一样,我们也一直在关注加密货币的上涨,例如,比特币和Altcoin的价格在2017年持续创下新的纪录。

 

比特币和Altcoin上涨

 

有些人喜欢花时间来讨论市场和全球经济的好坏,而我们看到的是,价格如此猛涨绝对会诱发出新的威胁,因为网络犯罪分子有很好的赚钱机会了。
果不其然,许多网络犯罪团伙已经盯上了恶意挖矿这种途径,被加密货币矿工盯上的用户数量大幅增加。我们发现,到2017年底,有270万用户受到恶意矿工的影响 - 这比2016年(188万)高出近1.5倍。

 

2017年卡巴斯基实验室用户受到恶意矿工攻击的数量

 

挖矿活动变得如此活跃和流行,甚至在过去几年里一直让世界人民畏惧的勒索病毒都得把舞台让出来。

 

以下是一些因素所在:

 

首先,挖矿和勒索软件目标都是数字货币。在勒索软件的情况下,攻击者需要做的就是感染PC,收取用户数据的赎金后解密文件来赚取收入。挖矿也是类似的简单:攻击者感染受害者,使用CPU或GPU来进行挖矿获得一定的数字货币,并通过交易所交换或者交易赚取真金白银。

 

挖矿赚钱模式

 

然后,与勒索软件不同的是,用户很难察觉到他们是否被挖矿程序感染了(除非挖矿程序影响到他们的使用体验)。一般来说,用户会使用他们的电脑上网。该活动对于CPU利用率来说不是很高。其他70-80%的CPU利用率就被挖掘程序使用了,高级的挖矿程序会具有额外的功能,以便在用户需要执行另一个资源要求较高的程序时(例如视频游戏)适当的减少挖矿能力或者直接取消进程。

 

最重要的是,现在制造自己的挖矿程序非常容易。有兴趣的人可以很容易的得到他们需要的内容:

  • 想要使用的矿工
  • 矿池
  • 矿池里大量的矿工

我们发现最流行的矿池是Nanopool。

 

矿池市场份额

 

如果矿池是开放的话,我们可以查出一个账户下的收益情况

 

钱包信息例子

 

此外,根据我们的数据,80%的非法挖矿程序包含合法挖矿程序的开源代码,或者这些非法挖矿程序直接打包了合法的挖矿程序。

传播的途径

通常,攻击者可能不需要与应用程序(PUA)合作伙伴计划合作来传播挖矿程序。一些小型犯罪集团试图通过使用不同的社会工程技巧(如假彩票等)来传播恶意软件。潜在受害者需要从文件共享服务下载随机数字生成器,然后在PC上运行该软件以参与挖矿。这种方法虽然简单,但是非常有效率。

 

另一个方法是通过在浏览器中执行的特殊脚本进行Web挖矿。例如,2017年,我们的安全解决方案案例中已经阻止了超过7000万次web矿工运行。网络犯罪分子使用的最流行的脚本是Coinhive,发现的案例通常是在流量很大的网站上。这些网站上的用户会话时间越长,网站所有者从采矿中获得的收益就越多。涉及Coinhive的重大事件是黑客入侵了许多网站,例如海盗湾案,YouTube广告UFC fight等来进行挖矿。而且还有很多其他的途径我们尚未知。

 

还有另外的一些组织,他们不个人传播挖矿程序。相反,他们的目标是大公司的强大服务器。例如,Wannamine利用EternalBlue漏洞在某公司内部网络中传播挖矿程序,并以这种方式赚得了9000个Monero(约200万美元)。第一个使用EternalBlue漏洞的矿工是Adylkuzz。在我们以前的研究中,我们描述了另外一个挖矿僵尸网络--"绕线机",它恢复被AV产品删除的挖矿程序。该僵尸网络赚了50万美元。

熟练的技术

今年我们观察到另一个趋势-挖矿程序开始使用恶意软件技术了。我们最新的发现是"hollow"挖矿程序。

 

在这个案例中,感染载体是一个PUA模块。受害者可能只是想下载一个合法的应用程序,但是他们却下载了一个内含安装挖矿程序的PUA。该矿工安装程序使用随机名称替换掉合法的Windows实用工具msiexec程序名称,然后从远程服务器下载并执行恶意模块代码。在下一步中,它会安装一个恶意的调度程序任务,这个程序会剥离出挖矿程序主体。然后该主体执行合法的系统进程,并使用进程空洞(process-hollowing)技术在合法进程代码加上恶意代码,并带有一个特殊的标志,一个系统关键标志,然后这个进程就该进程设置新的进程。如果受害者试图杀掉此进程,则Windows系统将会重启。所以,处理这种恶意软件是一个挑战。

 

感染链

 

process-hollowing例子

 

僵尸网络使用这种复杂的技术在2017年下半年赚得了超过700万美元的收入。

 

同样在今年,我们发现了一个黑客组织,其目标是大型公司,主要目的是利用他们的计算机资源来进行采矿。渗透进企业网络后,他们可以访问域控制器,然后他们使用域策略启动恶意代码。在这种特殊情况下,网络中的主机和服务器都会执行一个恶意的PowerShell脚本。

 

恶意PowerShell脚本

 

该脚本具有以下逻辑:

  • 启动后,它会检查此主机是否属于特定帐户,即高级或信息安全官员,如果是,那么脚本将不会执行挖矿。
  • 该脚本还检查当前的日期和时间信息。它将在非工作时间执行恶意挖矿。

所以,接下来会发生什么?

这类恶意软件事件是否会进一步发展?这是当然的。此外,我们将看到使用新区块链技术的恶意软件的传播。这个是非常有前途的技术之一:基于区块链的空间证明(PoSpace)概念。

 

与普通挖矿僵尸网络中使用的工作证明算法(PoW)不同,PoSpace算法需要的是硬盘空间。因此,基于这种算法的新型矿工将首先瞄准大数据服务器。

 

一方面,这种情况下的货币挖掘就类比以前使用PoW算法的恶意挖矿一样。另一方面,这项技术可以为网络犯罪分子提供另一种盈利途径。PoS算法的区块链是一个非常大的分散式匿名数据中心,可用于传播恶意软件或非法内容。因此,它可能带来更大的弊处。因为数据将被加密,没有人会知道它的物理存储位置。

 

基于区块链的空间证明的挖掘方案

 

为了保护您的网络免受此类威胁,我们建议您:

  • 定期进行安全审计工作
  • 在主机和服务器上使用安全解决方案

卡巴斯基实验室产品通过各种手段来检测这些威胁。

  • PDM:Trojan.Win32.Generic
  • not-a-virus:RiskTool.Win32.BitCoinMiner
  • HEUR:Trojan.Win32.CoinMiner

 

原文链接:https://securelist.com/mining-is-the-new-black/84232/
译者:knowit


声明:该文观点仅代表作者本人,转载请注明来自看雪