比特币等虚拟货币价格的一路飙升让一些手中有技术的黑客们坐不住了,一场虚拟货币淘金热正在疯狂进行中。不过,他们并没有带着自己的挖矿机参与这场狂欢,而是“奴役”起了其他无辜用户的电脑。
事实证明,这还真是个暴利行业,研究人员在过去 6 个月内追踪了一个挖矿团伙,它们居然利用 1 万台感染了挖矿恶意软件的电脑挣了 700 万美元。
对于网络安全从业者来说,挖矿恶意软件的崛起是意料之中,不过此类软件复杂度提升如此之快是人们始料未及的。黑客们为了暴利,手里的黑科技可都用上了。研究人员发现,一些只在高级持续性威胁(APT)中才会用到的黑客技术和工具都成了挖矿小组们的标配。
据雷锋网了解,卡巴斯基实验室周一发布了最新报告,研究人员剖析了三个挖矿小组,它们都是虚拟货币潮背景下的变种网络罪犯。卡巴斯基实验室研究人员 Anton Ivanov 指出,这些小组行事低调,完全没有其它黑客咄咄逼人的气势,但他们却悄悄潜伏在了电脑或数据中心里。
研究人员估计,光是去年一年,就有 270 万用户中招,成了黑客的免费挖矿机,而 2016 年时感染此类病毒的电脑只有 187 万台(增速高达 50%)。
“除了控制个人用户的电脑,企业电脑也成了黑客的目标。这些恶意软件则主要通过广告软件、破解游戏和盗版软件传播。”研究人员在报告中写道。“此外,黑客还通过被感染网页上一个特殊的 JavaScript 代码来入侵受害者电脑,Coinhive(网页挖矿机)就是其中最为臭名昭著的,很多受欢迎的网站上都被黑客埋了雷。”
卡巴斯基实验室将第一个挖矿团伙命名为 Group One,这波人为了挖矿牟利,居然利用遍布全球的 1 万多台电脑和服务器搭建了僵尸网络。研究人员还表示,这些电脑很容易被控制,只要他们没打上漏洞补丁(如永恒之蓝),就有可能成为黑客的免费挖矿机。
“该团伙主要挖门罗币,而且还用上了定制版的挖矿机。”Ivanov 说道。“为了持续获利,他们甚至用上了类似 Process Hollowing 和操纵 Windows 系统任务管理器等手法。”
这里所说的 Process Hollowing 是现代安全软件中常用的进程创建技术,虽然在使用任务管理器等工具查看时,这些进程是合法的,但事实上该进程的代码已被恶意内容替代。卡巴斯基指出,这是它们第一次在挖矿攻击中发现该技术。
Windows 上的任务管理器一直都是黑客的突破口,它几乎成了恶意软件最好的伪装。感染了恶意软件的用户几乎没什么察觉,因为在开始界面中,这些软件都有着人畜无害的名字。不过,它们启动后挖起矿来可是一点都不客气。
第二个挖矿团伙(Group Two)与 Group One 不同,他们可“挑剔”的很。
在对该团伙进行分析后,卡巴斯基发现了 PowerShell 脚本中的硬编码信息,他们认为“黑客会提前对受害者进行‘空中侦察’,以选定自己的目标。Group Two 如此挑剔主要是怕将恶意软件植入系统管理者或安全官电脑中,这样的专家能很快识破他们的伎俩。
由于该团伙用的是私有矿池,因此他们到底赚取了多少暴利还是个未知数。不过,鉴于该团伙用了不少复杂技术且专挑大公司下手,Ivanov 认为他们的牟利金额至少在百万美元级别。
雷锋网发现,Group Three 团伙的玩法又不一样了,他们搭建起来的挖矿套件自己不用,而是拿到网上售卖。卡巴斯基的报告显示,该套件基于一个定制的脚本,专挖在暗网上做广告的门罗币。
此外,这套挖矿套件还能进行深度定制,购买者可以调整 CPU 使用率,当受害者打开吃性能的游戏时,它还会自动进入休眠状态以防被发现。
“这些套件的目标是细水长流,普通用户恐怕很难意识到它们的存在。”研究人员解释道。
此外,在报告中卡巴斯基还警告称,曾经在黑客界红极一时的勒索软件已经锋芒不在,现在最火爆的就是这种虚拟货币恶意软件,而其中的参与者有很多都是从勒索软件开发转行的。
这波“转行”也是666。
除了上述三个“搞事”挖矿组,雷锋网发现,挖矿界也不乏黑吃黑事件。
根据不久前云头条的报道,编写恶意软件以挖矿加密货币的不法分子已开始编写代码,将竞争对手赶出已中了招的计算机。
最先注意到这个矿工的是SANS互联网风暴中心的安全顾问泽维尔•默滕斯(Xavier Mertens)。3月4日,Martens发现了PowerShell脚本,其在感染机器前先检查目标机器是32位系统还是64位系统,然后下载名为hpdriver.exe或hpw64的文件(它们佯称是某种惠普驱动程序)。如果安装成功,攻击脚本会列出正在运行的进程,杀死发现的其他任何耗用CPU资源的进程。
▲图片来源:云头条
“争夺CPU周期的好戏开始上演了!”Mertens说道。
雷锋网 Via.Threat Post 参考来源:云头条