闷声发大财年度之星：2017挖矿木马的疯狂敛财暗流(3)

发布时间：2018-01-10 04:20 所属栏目：53 来源：厂商

导读：“隐匿者”僵尸网络就拥有一套完善的控制体系。图 13 展示了“隐匿者”僵尸网络中僵尸程序与控制端之间的交互。图13 “隐匿者”僵尸网络僵尸程序与控制端交互图 “隐匿者”有多个功能不同的控制服务器，分别负责挖

　　“隐匿者”僵尸网络就拥有一套完善的控制体系。图 13 展示了“隐匿者”僵尸网络中僵尸程序与控制端之间的交互。

　　图13 “隐匿者”僵尸网络僵尸程序与控制端交互图

　　“隐匿者”有多个功能不同的控制服务器，分别负责挖矿木马的更新、僵尸程序的更新以及远控木马的下发。当傀儡机中的僵尸程序启动时，会进行一次自检，以确定是否有新版本的僵尸程序存在。同时，“隐匿者”也在SQLServer中写入这样一段自检的shellcode，以保证僵尸程序被杀后还能从控制端下载新的僵尸程序。而僵尸程序所请求的控制端ip地址是不固定的，“隐匿者”通过访问指定博客获取博文内容，通过博文内容解密得到控制端ip。控制者只需修改博文内容就能够实现控制端ip的更换。

　　当然，将控制端ip的快速更新展现得淋漓尽致的当数“yamMiner”挖矿木马僵尸网络了。其控制端ip地址基本保持了一星期一更新的频率。图 14 展示了“yamMiner”僵尸网络 2017 年 11 月至 12 月控制端ip地址更新时间线。

　　图14 “yamMiner”僵尸网络 2017 年 11 月- 12 月更新概况

　　通过观察“yamMiner”僵尸网络 2017 年 11 月到 12 月向控制端发起的请求数量我们发现了一个有趣的细节。这可以从图 15 展现。

　　图15 “yamMiner”僵尸网络 2017 年 11 月- 12 月发送请求数量概况

　　不难看出，当“yamMiner”的控制端ip发生变化的时候，傀儡机中的僵尸程序能够立即连接新的ip地址，所以就有了图中新控制端ip地址出现时旧控制端ip地址请求数量下降到 0 的现象。实现这样的效果就要求傀儡程序能够实时获知ip地址的变化情况，而“yamMiner”就是利用Java Commons Collections反序列化漏洞周期性地在傀儡机上执行命令，修改傀儡程序连接的控制端ip。由于这一功能是在Java进程中实现的，能够有效躲避杀软的查杀。一般情况下僵尸网络控制端ip地址存活时间不长，优秀的挖矿木马僵尸网络会利用漏洞在傀儡机执行命令更改控制端ip或者将控制端ip存储在例如博客内容这类容易修改又不容易被发现的位置。如果傀儡机所有者不修补计算机系统中存在的漏洞或者删除计算机中持续工作的一些项目(例如SQLServer中的恶意Job)，僵尸程序就能在傀儡机中生生不息。

　　(4)总结

　　挖矿机僵尸网络是 2017 年大规模爆发的一个安全威胁，它的危害程度可以从黑客获利的金额展现。图 16 和图 17 分别展示了 “yamMiner”僵尸网络的门罗币钱包之一和“隐匿者”僵尸网络的门罗币钱包。

　　图16 “yamMiner”僵尸网络门罗币钱包之一概况

　　图17 “隐匿者”僵尸网络门罗币钱包概况

　　截至笔者撰稿时“隐匿者”僵尸网络从傀儡机中总共挖到了 2010 枚门罗币，合计 61 万美元。“yamMiner”僵尸网络其中一个钱包就获利 4 万美元，而“yamMiner”拥有多个门罗币钱包，可想而知其总获利金额。挖矿木马带来的暴利导致各家僵尸网络竞争的白热化，其中不乏对其他僵尸网络的攻击。例如“mateMiner”僵尸网络会根据其他僵尸网络的矿池端口结束相应进程，如图 18 所示。

　　图18 “mateMiner”僵尸网络结束其他挖矿木马进程代码片段

　　当然，这样的竞争还会持续下去，数字货币交易价格的持续走高必将使更多的不法分子加入到这场僵尸网络之战中。

　　2. 网页挖矿脚本横空出世

　　 2017 年 9 月，著名的BT站点，同样也是盗版资源集散地的Pirate Bay(海盗湾)被发现在网页中植入挖矿脚本，网页挖矿开始进入公众的视野。

　　当用户访问一个网页时，用户的浏览器负责解析该网站中的资源、脚本，并将解析的结果展示在用户面前。当用户访问的网页中植入了挖矿脚本，浏览器将解析并执行挖矿脚本，利用用户计算机资源进行挖矿从而获利。挖矿脚本的执行会导致用户计算机资源被严重占用，导致计算机卡慢，甚至出现死机等情况，严重影响用户计算机的正常使用。

　　网页挖矿脚本种类众多，目前发现的植入到网页中的挖矿脚本有Coinhive，JSEcoin，reasedoper，LMODR.BIZ，MineCrunch，MarineTraffic，Crypto-Loot，ProjectPoi等，大部分挖矿脚本项目都是开源的，这也方便一些站长或网站入侵者在网页中植入挖矿脚本。

　　图 19 展示了 2017 年 11 月至 12 月不同网页挖矿脚本的占比情况。

　　图192017 年 11 月- 12 月不同挖矿脚本占比

　　可以看出，Coinhive是大多数不法分子的选择，这也归功于Coinhive的便捷性。入侵网站的黑客或者贪图利益的站长并不需要将挖矿的js代码写入网页中，而是在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可。图 20 展示了Coinhive的代码范例。

　　图20 “Coinhive”挖矿脚本代码范例

　　随着网页挖矿脚本的兴起，许多网站开始通过一些特殊技巧掩盖挖矿时所产生的大量系统资源消耗。 2017 年 9 月，有安全研究人员发现后缀为.com.com的域名挂有挖矿代码。这些网站以“安全检查”作为幌子掩盖挖矿时系统的卡慢。如图 21 所示。

　　图21 挖矿脚本用“安全检查”迷惑用户

　　无独有偶，前段时间，malwarebytes安全研究人员发现某些包含挖矿代码的网页会在用户关闭浏览器窗口后隐藏在任务栏右下角继续挖矿。如图 22 所示。(图片来自：https://blog.malwarebytes.com/cybercrime/2017/11/persistent-drive-by-cryptomining-coming-to-a-browser-near-you/)

　　图22 挖矿脚本利用任务栏隐藏自身

（编辑：ASP站长网）