闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流
0x1 前言 如果说勒索病毒是暴露在大众视野中的“恶魔”,那么挖矿木马就是潜藏在阴暗之处的“寄生虫”。在 2017 年这个安全事件频发的年份,除了受到全世界关注的“WannaCry”勒索病毒的出现之外,一大波挖矿木马也悄然崛起。不同于勒索病毒的明目张胆,挖矿木马隐蔽在几乎所有安全性脆弱的角落中,悄悄消耗着计算机的资源。由于其隐蔽性极强,大多数PC用户和服务器管理员难以发现挖矿木马的存在,这也导致挖矿木马数量的持续上涨。本文将通过多个方面介绍挖矿木马的种类,发展趋势,危害以及防范措施。 0x2 挖矿木马概述 2009 年,比特币横空出世。得益于其去中心化的货币机制,比特币受到许多行业的青睐,其交易价格也是一路走高。图 1 展示了比特币从 2013 年 7 月到 2017 年 12 月交易价格(单位:美元)变化趋势。 图1 比特币 2013 年- 2017 年交易价格变化趋势 由于比特币的成功,许多基于区块链技术的数字货币纷纷问世,例如以太币,门罗币等。这类数字货币并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得。而完成如此大量运算的工具就是挖矿机程序。 挖矿机程序运用计算机强大的运算力进行大量运算,由此获取数字货币。由于硬件性能的限制,数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币,因此,一些不法分子通过各种手段将挖矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序就是挖矿木马。 挖矿木马最早出现于 2013 年。图 2 展示了自 2013 年开始国内披露的大规模挖矿木马攻击事件数量。 图22013 年- 2017 年国内披露的挖矿木马攻击事件 由于数字货币交易价格不断走高,挖矿木马的攻击事件也越来越频繁,不难预测未来挖矿木马数量将继续攀升。 对于挖矿木马而言,选择一种交易价格较高且运算力要求适中的数字货币是短期内获得较大收益的保障。图 3 展示了挖矿木马所选择的币种比例。 图3 挖矿木马所选币种比例 不难看出,门罗币是最受挖矿木马亲睐的币种。黑客之所以选择门罗币作为目标主要有以下几个原因: (1) 门罗币交易价格不俗。虽然门罗币在交易价格上不比比特币,但其依然保持在一个较高的交易价格。 (2) 门罗币是一种匿名币,安全性更高。匿名币是一种在交易过程中隐藏交易金额、隐藏发送方与接收方的一种特殊的区块链代币。由于这样一个特性,任何人都无法在区块链浏览器中查找到门罗币交易的金额和交易双方的地址。这也为黑客转移门罗币提供便利。 (3) 门罗币是基于CryptoNight 算法运算得到的,通过计算机的CPU和GPU即可进行该算法的运算而不需要其他特定的硬件支持。 (4) 互联网上有许多优秀的开源门罗币挖矿项目,黑客可以“即拿即用”。 (5) 暗网市场支持门罗币交易。 由于门罗币的这些“优点”,越来越多的挖矿木马选择门罗币作为目标。 在下文中我们将根据挖矿木马的种类分别对不同类型的挖矿木马进行详细介绍和分析。 0x3 挖矿木马详解 1. 挖矿木马僵尸网络兴起 僵尸网络(Botnet)是黑客通过入侵其他计算机,在其他计算机中植入恶意程序并通过该恶意程序继续入侵更多计算机,从而建立起来的一个庞大的傀儡计算机网络。僵尸网络中的每一台计算机都是一个被黑客控制的节点,也是一个发起攻击的节点。黑客入侵计算机并植入挖矿木马,之后利用被入侵的计算机继续向其他计算机植入挖矿木马从而构建的僵尸网络就是挖矿木马僵尸网络。 2017 年是挖矿木马僵尸网络大规模爆发的一年,出现了“Bondnet”,“Adylkuzz”,“隐匿者”等多个大规模挖矿木马僵尸网络,而其中很大一部分的挖矿木马僵尸网络来自于中国。 (1) 僵尸网络的建立 僵尸网络是否能成规模关键在于僵尸网络的初步建立。黑客需要一个能够完成大规模入侵的攻击武器以获得更多计算机的控制权。 “永恒之蓝”漏洞攻击武器的出现助长了挖矿木马僵尸网络的建立。 2017 年 4 月,shadow broker公布了NSA(美国国家安全局)方程式组织的漏洞攻击武器“永恒之蓝”。 2017 年 5 月爆发的造成空前影响的“WannaCry”勒索病毒就是通过“永恒之蓝”进行传播的。而在“WannaCry”爆发之前,已有挖矿木马利用“永恒之蓝”进行传播。“永恒之蓝”有两个其他漏洞利用工具无法企及的优势: (1) 攻击无需载体。不同于利用浏览器漏洞或者办公软件漏洞进行的“被动式攻击”,“永恒之蓝”漏洞利用攻击是一种“主动式攻击”,黑客只需要向目标发送攻击数据包而不需要目标进行额外的操作即可完成攻击。 (2) 攻击目标广。只要目标计算机开启 445 端口且未及时打补丁,黑客就可以成功入侵目标计算机。黑客完全可以进行全网扫描捕捉猎物。 正因此,“永恒之蓝”一时间成了挖矿木马僵尸网络的标配。表 1 展示了 2017 年爆发的几个大规模挖矿木马僵尸网络配备“永恒之蓝”漏洞利用武器的情况。 表1 挖矿木马僵尸网络配置“永恒之蓝”模块情况 其中一些僵尸网络是完全依靠“永恒之蓝”漏洞攻击武器站稳脚跟的,例如“隐匿者”僵尸网络。图 4 展示了“隐匿者”僵尸网络僵尸程序传播量变化趋势。不难看出,借助于“永恒之蓝”漏洞攻击武器,“隐匿者”在 2017 年 4 月底爆发式增长。(更多细节见报告:http://www.freebuf.com/articles/web/146393.html) 图4 “隐匿者”僵尸网络僵尸程序各版本传播量 随着漏洞的更多细节公之于众,各式各样的“永恒之蓝”漏洞攻击工具问世。在 2017 年 9 月出现并呈增长趋势的“mateMiner”僵尸网络中集成了由Powershell编写的“永恒之蓝”漏洞攻击模块。图 5 展示了部分攻击代码。 图5 “mateMiner”僵尸网络“永恒之蓝”模块部分代码片段 除了“永恒之蓝”漏洞攻击武器之外,其它各类Nday漏洞也备受挖矿木马僵尸网络的亲睐。“yamMiner”僵尸网络就是利用Java 反序列化漏洞进行服务器入侵的。 (编辑:ASP站长网) |