半年 700 萬美元 這波挖礦黑客靠着別人的電腦賺翻了

比特幣等虛擬貨幣價格的一路飆升讓一些手中有技術的黑客們坐不住了,一場虛擬貨幣淘金熱正在瘋狂進行中。不過,他們並沒有帶着自己的挖礦機參與這場狂歡,而是「奴役」起了其他無辜用戶的電腦。

事實證明,這還真是個暴利行業,研究人員在過去 6 個月內追蹤了一個挖礦團伙,它們居然利用 1 萬台感染了挖礦惡意軟件的電腦掙了 700 萬美元。

對於網絡安全從業者來說,挖礦惡意軟件的崛起是意料之中,不過此類軟件複雜度提升如此之快是人們始料未及的。黑客們為了暴利,手裡的黑科技可都用上了。研究人員發現,一些只在高級持續性威脅(APT)中才會用到的黑客技術和工具都成了挖礦小組們的標配。

據雷鋒網了解,卡巴斯基實驗室周一發佈了最新報告,研究人員剖析了三個挖礦小組,它們都是虛擬貨幣潮背景下的變種網絡罪犯。卡巴斯基實驗室研究人員 Anton Ivanov 指出,這些小組行事低調,完全沒有其它黑客咄咄逼人的氣勢,但他們卻悄悄潛伏在了電腦或數據中心裡。

研究人員估計,光是去年一年,就有 270 萬用戶中招,成了黑客的免費挖礦機,而 2016 年時感染此類病毒的電腦只有 187 萬台(增速高達 50%)。

「除了控制個人用戶的電腦,企業電腦也成了黑客的目標。這些惡意軟件則主要通過廣告軟件、破解遊戲和盜版軟件傳播。」研究人員在報告中寫道。「此外,黑客還通過被感染網頁上一個特殊的 JavaScript 代碼來入侵受害者電腦,Coinhive(網頁挖礦機)就是其中最為臭名昭著的,很多受歡迎的網站上都被黑客埋了雷。」

▲用別人電腦挖礦成了 2017 年的新潮流

為挖礦搭建的大型殭屍網絡

卡巴斯基實驗室將第一個挖礦團伙命名為 Group One,這波人為了挖礦牟利,居然利用遍布全球的 1 萬多台電腦和服務器搭建了殭屍網絡。研究人員還表示,這些電腦很容易被控制,只要他們沒打上漏洞補丁(如永恆之藍),就有可能成為黑客的免費挖礦機。

「該團伙主要挖門羅幣,而且還用上了定製版的挖礦機。」Ivanov 說道。「為了持續獲利,他們甚至用上了類似 Process Hollowing 和操縱 Windows 系統任務管理器等手法。」

這裡所說的 Process Hollowing 是現代安全軟件中常用的進程創建技術,雖然在使用任務管理器等工具查看時,這些進程是合法的,但事實上該進程的代碼已被惡意內容替代。卡巴斯基指出,這是它們第一次在挖礦攻擊中發現該技術。

Windows 上的任務管理器一直都是黑客的突破口,它幾乎成了惡意軟件最好的偽裝。感染了惡意軟件的用戶幾乎沒什麼察覺,因為在開始界面中,這些軟件都有着人畜無害的名字。不過,它們啟動后挖起礦來可是一點都不客氣。

攻擊前罪犯們會提前尋找受害者

第二個挖礦團伙(Group Two)與 Group One 不同,他們可「挑剔」的很。

在對該團伙進行分析后,卡巴斯基發現了 PowerShell 腳本中的硬編碼信息,他們認為「黑客會提前對受害者進行『空中偵察』,以選定自己的目標。Group Two 如此挑剔主要是怕將惡意軟件植入系統管理者或安全官電腦中,這樣的專家能很快識破他們的伎倆。

由於該團伙用的是私有礦池,因此他們到底賺取了多少暴利還是個未知數。不過,鑒於該團伙用了不少複雜技術且專挑大公司下手,Ivanov 認為他們的牟利金額至少在百萬美元級別。

倒賣計算能力

雷鋒網發現,Group Three 團伙的玩法又不一樣了,他們搭建起來的挖礦套件自己不用,而是拿到網上售賣。卡巴斯基的報告顯示,該套件基於一個定製的腳本,專挖在暗網上做廣告的門羅幣。

此外,這套挖礦套件還能進行深度定製,購買者可以調整 CPU 使用率,當受害者打開吃性能的遊戲時,它還會自動進入休眠狀態以防被發現。

「這些套件的目標是細水長流,普通用戶恐怕很難意識到它們的存在。」研究人員解釋道。

此外,在報告中卡巴斯基還警告稱,曾經在黑客界紅極一時的勒索軟件已經鋒芒不在,現在最火爆的就是這種虛擬貨幣惡意軟件,而其中的參與者有很多都是從勒索軟件開發轉行的。

這波「轉行」也是666。

再現「黑吃黑」,CPU竊賊的相殺

除了上述三個「搞事」挖礦組,雷鋒網發現,挖礦界也不乏黑吃黑事件。

根據不久前雲頭條的報道,編寫惡意軟件以挖礦加密貨幣的不法分子已開始編寫代碼,將競爭對手趕出已中了招的計算機。

最先注意到這個礦工的是SANS互聯網風暴中心的安全顧問澤維爾•默滕斯(Xavier Mertens)。3月4日,Martens發現了PowerShell腳本,其在感染機器前先檢查目標機器是32位系統還是64位系統,然後下載名為hpdriver.exe或hpw64的文件(它們佯稱是某種惠普驅動程序)。如果安裝成功,攻擊腳本會列出正在運行的進程,殺死發現的其他任何耗用CPU資源的進程。

▲圖片來源:雲頭條

「爭奪CPU周期的好戲開始上演了!」Mertens說道。

雷鋒網 Via.Threat Post 參考來源:雲頭條


想在手機閱讀更多Javascript資訊?下載【香港矽谷】Android應用
分享到Facebook
技術平台: Nasthon Systems