0
比特幣等虛擬貨幣價(jià)格的一路飆升讓一些手中有技術(shù)的黑客們坐不住了,一場虛擬貨幣淘金熱正在瘋狂進(jìn)行中。不過,他們并沒有帶著自己的挖礦機(jī)參與這場狂歡,而是“奴役”起了其他無辜用戶的電腦。
事實(shí)證明,這還真是個(gè)暴利行業(yè),研究人員在過去 6 個(gè)月內(nèi)追蹤了一個(gè)挖礦團(tuán)伙,它們居然利用 1 萬臺(tái)感染了挖礦惡意軟件的電腦掙了 700 萬美元。
對(duì)于網(wǎng)絡(luò)安全從業(yè)者來說,挖礦惡意軟件的崛起是意料之中,不過此類軟件復(fù)雜度提升如此之快是人們始料未及的。黑客們?yōu)榱吮├掷锏暮诳萍伎啥加蒙狭恕Q芯咳藛T發(fā)現(xiàn),一些只在高級(jí)持續(xù)性威脅(APT)中才會(huì)用到的黑客技術(shù)和工具都成了挖礦小組們的標(biāo)配。
據(jù)雷鋒網(wǎng)了解,卡巴斯基實(shí)驗(yàn)室周一發(fā)布了最新報(bào)告,研究人員剖析了三個(gè)挖礦小組,它們都是虛擬貨幣潮背景下的變種網(wǎng)絡(luò)罪犯。卡巴斯基實(shí)驗(yàn)室研究人員 Anton Ivanov 指出,這些小組行事低調(diào),完全沒有其它黑客咄咄逼人的氣勢,但他們卻悄悄潛伏在了電腦或數(shù)據(jù)中心里。
研究人員估計(jì),光是去年一年,就有 270 萬用戶中招,成了黑客的免費(fèi)挖礦機(jī),而 2016 年時(shí)感染此類病毒的電腦只有 187 萬臺(tái)(增速高達(dá) 50%)。
“除了控制個(gè)人用戶的電腦,企業(yè)電腦也成了黑客的目標(biāo)。這些惡意軟件則主要通過廣告軟件、破解游戲和盜版軟件傳播。”研究人員在報(bào)告中寫道。“此外,黑客還通過被感染網(wǎng)頁上一個(gè)特殊的 JavaScript 代碼來入侵受害者電腦,Coinhive(網(wǎng)頁挖礦機(jī))就是其中最為臭名昭著的,很多受歡迎的網(wǎng)站上都被黑客埋了雷。”
卡巴斯基實(shí)驗(yàn)室將第一個(gè)挖礦團(tuán)伙命名為 Group One,這波人為了挖礦牟利,居然利用遍布全球的 1 萬多臺(tái)電腦和服務(wù)器搭建了僵尸網(wǎng)絡(luò)。研究人員還表示,這些電腦很容易被控制,只要他們沒打上漏洞補(bǔ)丁(如永恒之藍(lán)),就有可能成為黑客的免費(fèi)挖礦機(jī)。
“該團(tuán)伙主要挖門羅幣,而且還用上了定制版的挖礦機(jī)。”Ivanov 說道。“為了持續(xù)獲利,他們甚至用上了類似 Process Hollowing 和操縱 Windows 系統(tǒng)任務(wù)管理器等手法。”
這里所說的 Process Hollowing 是現(xiàn)代安全軟件中常用的進(jìn)程創(chuàng)建技術(shù),雖然在使用任務(wù)管理器等工具查看時(shí),這些進(jìn)程是合法的,但事實(shí)上該進(jìn)程的代碼已被惡意內(nèi)容替代。卡巴斯基指出,這是它們第一次在挖礦攻擊中發(fā)現(xiàn)該技術(shù)。
Windows 上的任務(wù)管理器一直都是黑客的突破口,它幾乎成了惡意軟件最好的偽裝。感染了惡意軟件的用戶幾乎沒什么察覺,因?yàn)樵陂_始界面中,這些軟件都有著人畜無害的名字。不過,它們啟動(dòng)后挖起礦來可是一點(diǎn)都不客氣。
第二個(gè)挖礦團(tuán)伙(Group Two)與 Group One 不同,他們可“挑剔”的很。
在對(duì)該團(tuán)伙進(jìn)行分析后,卡巴斯基發(fā)現(xiàn)了 PowerShell 腳本中的硬編碼信息,他們認(rèn)為“黑客會(huì)提前對(duì)受害者進(jìn)行‘空中偵察’,以選定自己的目標(biāo)。Group Two 如此挑剔主要是怕將惡意軟件植入系統(tǒng)管理者或安全官電腦中,這樣的專家能很快識(shí)破他們的伎倆。
由于該團(tuán)伙用的是私有礦池,因此他們到底賺取了多少暴利還是個(gè)未知數(shù)。不過,鑒于該團(tuán)伙用了不少復(fù)雜技術(shù)且專挑大公司下手,Ivanov 認(rèn)為他們的牟利金額至少在百萬美元級(jí)別。
雷鋒網(wǎng)發(fā)現(xiàn),Group Three 團(tuán)伙的玩法又不一樣了,他們搭建起來的挖礦套件自己不用,而是拿到網(wǎng)上售賣。卡巴斯基的報(bào)告顯示,該套件基于一個(gè)定制的腳本,專挖在暗網(wǎng)上做廣告的門羅幣。
此外,這套挖礦套件還能進(jìn)行深度定制,購買者可以調(diào)整 CPU 使用率,當(dāng)受害者打開吃性能的游戲時(shí),它還會(huì)自動(dòng)進(jìn)入休眠狀態(tài)以防被發(fā)現(xiàn)。
“這些套件的目標(biāo)是細(xì)水長流,普通用戶恐怕很難意識(shí)到它們的存在。”研究人員解釋道。
此外,在報(bào)告中卡巴斯基還警告稱,曾經(jīng)在黑客界紅極一時(shí)的勒索軟件已經(jīng)鋒芒不在,現(xiàn)在最火爆的就是這種虛擬貨幣惡意軟件,而其中的參與者有很多都是從勒索軟件開發(fā)轉(zhuǎn)行的。
這波“轉(zhuǎn)行”也是666。
除了上述三個(gè)“搞事”挖礦組,雷鋒網(wǎng)發(fā)現(xiàn),挖礦界也不乏黑吃黑事件。
根據(jù)不久前云頭條的報(bào)道,編寫惡意軟件以挖礦加密貨幣的不法分子已開始編寫代碼,將競爭對(duì)手趕出已中了招的計(jì)算機(jī)。
最先注意到這個(gè)礦工的是SANS互聯(lián)網(wǎng)風(fēng)暴中心的安全顧問澤維爾?默滕斯(Xavier Mertens)。3月4日,Martens發(fā)現(xiàn)了PowerShell腳本,其在感染機(jī)器前先檢查目標(biāo)機(jī)器是32位系統(tǒng)還是64位系統(tǒng),然后下載名為hpdriver.exe或hpw64的文件(它們佯稱是某種惠普驅(qū)動(dòng)程序)。如果安裝成功,攻擊腳本會(huì)列出正在運(yùn)行的進(jìn)程,殺死發(fā)現(xiàn)的其他任何耗用CPU資源的進(jìn)程。
▲圖片來源:云頭條
“爭奪CPU周期的好戲開始上演了!”Mertens說道。
雷鋒網(wǎng) Via.Threat Post 參考來源:云頭條
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。
