年薪千万的“黄金矿工”:PC平台挖矿木马研究报告
2018年1月18日
摘 要
- 在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序称为挖矿木马。
- 挖矿木马最早出现于2013年,2017年披露的挖矿木马攻击事件数量呈现出爆发式的增长。
- 2017年挖矿木马攫取金额超千万人民币。
- PC平台挖矿木马主要有挖矿木马僵尸网络、网页挖矿脚本以及其他类型的挖矿木马。
- 挖矿木马挖取的数字货币种类繁多,门罗币是广受挖矿木马青睐的数字货币。
- 漏洞利用工具的使用是挖矿木马僵尸网络建立的根基。
- 漏洞利用工具的使用、端口扫描和爆破帮助挖矿木马僵尸网络扩张。
- 挖矿木马僵尸网络使用多种方法实现持续驻留。
- 2017年网页挖矿脚本横空出世,网页挖矿脚本使用多种方式隐蔽自身。
- 部分挖矿木马伪装成具有诱导性的应用程序诱导用户双击运行。
- 服务器管理员应该从避免弱口令、及时打补丁、定期维护服务器三方面防御挖矿木马。
- 普通PC用户可以通过,安装具有“反挖矿功能”的安全防护软件查杀防御此类木马。
- 2018年预计将是挖矿木马爆发的一年,将全面利用现有网络机制和系统平台存在安全漏洞,在更大范围,更多领域进行传播。
- 为了防御挖矿木马的攻击,360安全卫士推出挖矿木马防护功能,全面防御各类挖矿木马。
目 录
第一章 PC平台挖矿木马介绍... 1
一、 挖矿木马概述... 1
二、 挖矿木马发展趋势... 1
第二章 PC平台挖矿木马现状... 3
一、 挖矿木马类型... 3
(一) 挖矿木马僵尸网络... 3
(二) 网页挖矿脚本... 4
(三) 其他挖矿木马... 6
二、 挖矿币种... 6
第三章 PC平台挖矿木马技术原理... 8
一、 挖矿木马僵尸网络技术原理... 8
(一) 僵尸网络的建立... 8
(二) 僵尸网络的扩张... 10
(三) 僵尸程序的持续驻留... 12
二、 网页挖矿脚本技术原理... 15
(一) 网页挖矿脚本的植入... 15
(二) 网页挖矿脚本的隐蔽手法... 16
三、 其他挖矿木马技术原理... 17
第四章 PC平台挖矿木马防御策略... 19
一、 挖矿木马僵尸网络防御策略... 19
二、 网页挖矿脚本防御策略... 19
三、 其他防御措施... 19
第五章 PC平台挖矿木马发展趋势预测... 20
一、 漏洞利用依然是挖矿僵尸网络发展的根基... 20
二、 网页挖矿大行其道,诞生更多挖矿形式... 20
三、 参与人员更具多样性... 20
第六章 总结... 22
参考资料... 23
第一章:PC平台挖矿木马介绍
一、挖矿木马概述
2009年,比特币横空出世。得益于去中心化的货币机制,比特币受到许多行业的青睐,其交易价格也是一路走高。图1展示了比特币从2013年7月到2017年12月交易价格(单位:美元)变化趋势。
图1 比特币2013年-2017年交易价格变化趋势
由于比特币的成功,许多基于区块链技术的数字货币纷纷问世,例如以太币,门罗币,莱特币等。这类数字货币并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得。而完成大量运算的工具就是挖矿机程序。
挖矿机程序运用计算机强大的运算力进行大量运算,由此获取数字货币。由于硬件性能的限制,数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币,因此,一些不法分子通过各种手段将挖矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序称为挖矿木马。
二、挖矿木马发展趋势
挖矿木马最早出现于2013年。图2和图3分别展示了自2013年来国内披露的大规模挖矿木马攻击事件数量以及具有代表性的挖矿木马事件。
图2 2013年-2017年国内披露的挖矿木马攻击事件数量
图3 近年来具有代表性的挖矿木马事件
从图2及图3可以看出,2017年披露的挖矿木马攻击事件数量呈现出爆发式的增长,大于2013年至2016年披露的挖矿木马攻击事件数量总和。由于数字货币交易价格不断走高,挖矿木马攻击事件也越来越频繁,未来一段时间挖矿木马数量将继续攀升。
第二章:PC平台挖矿木马现状
一、挖矿木马类型
(一)挖矿木马僵尸网络
僵尸网络(Botnet)是黑客通过入侵其他计算机,在其他计算机中植入恶意程序并通过该恶意程序继续入侵更多计算机,从而建立起来的一个庞大的傀儡计算机网络。僵尸网络中的每一台计算机都是一个被黑客控制的节点,也是一个发起攻击的节点。黑客入侵计算机并植入挖矿木马,之后利用被入侵的计算机继续向其他计算机植入挖矿木马最终构建的僵尸网络就是挖矿木马僵尸网络。图4是挖矿木马僵尸网络的攻击方式简图。
图4 挖矿木马攻击方式简图
2017年是挖矿木马僵尸网络成规模出现的一年,出现了“Bondnet”,“Adylkuzz”,“隐匿者”,“yamMiner”等多个大规模挖矿木马僵尸网络,而其中很大一部分挖矿木马僵尸网络来自中国。这些僵尸网络大多数利用公开的或未公开的漏洞入侵服务器,控制服务器进行挖矿活动,攫取价值数超千万人民币的数字货币。图5和图6分别展示了“隐匿者”挖矿木马僵尸网络和“yamMiner”挖矿木马僵尸网络的门罗币钱包情况,两个僵尸网络通过挖矿攫取的门罗币当前折合人民币分别为390万元和127万元。
图5 “隐匿着”挖矿木马僵尸网络门罗币钱包概况
图6 “yamMiner”挖矿木马僵尸网络门罗币钱包概况
(二)网页挖矿脚本
浏览器是用户使用频率最高的应用程序之一。当用户通过浏览器访问一个网页时,用户的浏览器负责解析该网页中的内容、资源和脚本,并将解析的结果展示在用户面前。当用户访问的网页中植入挖矿脚本时,浏览器将解析挖矿脚本的内容并执行挖矿脚本,这将导致浏览器占用大量计算机资源进行挖矿。挖矿脚本的执行会使用户计算机出现卡慢甚至死机的情况,严重影响用户计算机的正常使用。图7描绘了网页挖矿脚本的执行与危害。
图7 网页挖矿脚本的执行与危害
网页挖矿脚本种类繁多,目前发现的植入到网页中的挖矿脚本有Coinhive,JSEcoin,reasedoper,LMODR.BIZ,MineCrunch,MarineTraffic,Crypto-Loot,ProjectPoi等,大部分挖矿脚本项目都是开源的,这也方便一些站长或网站入侵者在网页中植入挖矿脚本。图8展示了2017年11月至12月网页挖矿脚本的占比情况。
图8 2017年11月-12月网页挖矿脚本占比情况
可以看出,Coinhive是不法分子的首选,这也归功于Coinhive使用上的便捷性。入侵网站的黑客或者贪图利益的站长并不需要将挖矿的js代码写入网页中,而是在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可。图9展示了Coinhive的代码范例。
图9 Coinhive代码范例
2017年11月至2018年1月三个月间,360互联网安全中心拦截了超过15万个植入挖矿脚本的网页,同时,每月拦截的网页挖矿脚本数量呈现不断上升的趋势。图10展示了这三个月拦截的植入挖矿脚本的网页数量,预计未来将会有更多网站加入或被加入“挖矿大军”中。
图10 2017年11月-2018年1月拦截的植入挖矿脚本的网页数量
仅1月下旬,日均拦截挖矿代码次数已经超过27W次,而网站被插入网页挖矿代码常见的几种原因分别是:
- 站长主动挂挖矿代码,增加收益。
- 网络链路劫持,站点被插入挖矿代码。
- 引入的广告,在后台偷偷带入了挖矿代码。
- 站点被黑客攻击,插入挖矿代码。
图10展示了除网络链路劫持外,网页挖矿脚本在各类网站中出现的比例,能够看出,色情网站是网页挖矿脚本的重灾区。
图10 各类网站植入网页挖矿脚本比例
相比较挖矿木马僵尸网络,网页挖矿脚本属于后起之秀,但出现时间晚并不能阻止此类挖矿木马的兴起,巨大的利益驱动促使更多的黑产从业者投身挖矿事业中。
(三)其他挖矿木马
不同于挖矿木马僵尸网络和网页挖矿脚本使用主动攻击的方式进行挖矿,还有一些挖矿木马需要用户运行可执木马程序后挖矿,这类挖矿木马很多都具有利益诱导性。部分不法分子将挖矿木马伪装成游戏外挂、激活工具等用户“急需”的应用程序,另一部分不法分子则将矛头指向挂机软件、网吧VIP视频播放器这类可使用户直接或间接获取利益的应用程序。图11展示了360互联网安全中心2017年11月发现的释放挖矿木马的挂机软件“太极挂机”与其释放的挖矿木马。
图11 “太极挂机”与其释放的挖矿木马
不难预测,未来会有更多挖矿木马借助这类具有利益诱导性的应用程序传播。只要用户能够触及的地方,都是挖矿木马的藏身之所。
二、挖矿币种
对于挖矿木马而言,选择一种交易价格较高且对运算力的要求适中的数字货币是短期内获得较大收益的保障。图12展示了挖矿木马所选择的币种比例。
图12挖矿木马所选币种比例
可以看出,门罗币是最受挖矿木马亲睐的币种。黑客之所以选择门罗币作为目标主要有以下几个原因[4]:
(1)门罗币交易价格不俗。虽然门罗币在交易价格上不如比特币,但依然保持较高的交易价格。
(2)门罗币是一种匿名币,安全性更高。匿名币是一种在交易过程中隐藏交易金额、隐藏发送方与接收方的一种特殊的区块链代币。由于这样一个特性,任何人都无法在区块链浏览器中查找到门罗币交易的金额和交易双方的地址。这也为黑客转移门罗币提供便利。
(3)门罗币是基于CryptoNight 算法运算得到的,通过计算机的CPU和GPU即可进行该算法的运算而不需要其他特定的硬件支持。
(4)互联网上有许多优秀的开源门罗币挖矿项目,黑客可以“即拿即用”。
(5)暗网市场支持门罗币交易。
由于门罗币的这些“优点”,将会有越来越多的挖矿木马选择门罗币作为目标。
第三章:PC平台挖矿木马技术原理
一、挖矿木马僵尸网络技术原理
(一)僵尸网络的建立
僵尸网络是否能成规模关键在于僵尸网络的初步建立。黑客需要一个能够完成大规模入侵的攻击武器以获得更多计算机的控制权。而这个攻击武器,就是漏洞利用工具。
2017年4月,shadow broker公布了NSA(美国国家安全局)方程式组织的漏洞攻击武器“永恒之蓝”。2017年5月爆发的造成空前影响的“WannaCry”勒索病毒就是通过“永恒之蓝”进行传播的。而2017年上半年爆发的挖矿木马僵尸网络大多数也是依靠“永恒之蓝”漏洞攻击武器实现僵尸网络的初步建立。“永恒之蓝”有两个大部分漏洞利用工具无法企及的优势:
(1) 攻击无需载体。不同于利用浏览器漏洞或者办公软件漏洞进行的“被动式攻击”,“永恒之蓝”漏洞利用攻击是一种“主动式攻击”,黑客只需要向目标发送攻击数据包而不需要目标进行额外的操作即可完成攻击。
(2) 攻击目标广。只要目标计算机开启445端口且未及时打补丁,黑客就可以成功入侵目标计算机。黑客完全可以进行全网扫描捕捉猎物。正因此,“永恒之蓝”一时间成了挖矿木马僵尸网络的标配。表1展示了2017年爆发的几个大规模挖矿木马僵尸网络配备“永恒之蓝”漏洞攻击武器的情况。
表1 2017年挖矿木马僵尸网络配备“永恒之蓝”漏洞攻击武器的情况
随着漏洞的更多细节公之于众,各式各样的“永恒之蓝”漏洞攻击工具问世。在2017年9月出现并呈增长趋势的“mateMiner”僵尸网络中集成了由PowerShell编写的“永恒之蓝”漏洞攻击模块。图13展示了部分攻击代码。
图13 mateMiner”僵尸网络“永恒之蓝”攻击模块部分代码片段
除了“永恒之蓝”漏洞攻击武器之外,一些针对服务器的漏洞也备受挖矿木马僵尸网络的亲睐。2017年11月,已问世将近一年的“yamMiner”僵尸网络使用之前未披露攻击细节的WebLogic XMLDecoder反序列化漏洞CVE-2017-10271对国内外的服务器发动攻击[5]。此次攻击使该僵尸网络控制的僵尸机数量增加了将近1000台。图14展示了国外安全研究人员捕捉到的“yamMiner”僵尸网络使用CVE-2017-10271攻击服务器时发送的数据包内容。
图14 “yamMiner”僵尸网络使用CVE-2017-10271攻击服务器时发送的数据包内容
诸如CVE-2017-10271这类针对服务器组件的漏洞和“永恒之蓝”漏洞攻击武器具有相同的优点,黑客只需通过扫描工具确认存在漏洞的服务器ip地址就可以轻松地对其进行打击。除了CVE-2017-10271外,还有多个远程命令执行漏洞被挖矿木马僵尸网络利用,表2展示了被挖矿木马僵尸网络利用的远程命令执行漏洞。
表2 被挖矿木马僵尸网络利用的远程命令执行漏洞
使用漏洞对计算机进行入侵攻击对于未打补丁的计算机而言效果立竿见影。而国内未能及时打补丁的计算机数量并不少,这也是这类挖矿木马僵尸网络持续保持活跃的重要原因之一。
(二)僵尸网络的扩张
当僵尸网络初具雏形后,黑客需要通过现有的傀儡机攻击更多的计算机,通过量的积累转化为可见的利益。因此,僵尸网络中的每一台傀儡机都是攻击的发起者,而他们的目标是互联网中的所有计算机。
漏洞利用工具在僵尸网络的扩张中依然起到重要的作用。黑客通过漏洞利用工具控制了一定量的傀儡机之后,将傀儡机作为攻击者继续攻击其他计算机。得益于傀儡机数量上的优势,其对其他计算机进行漏洞扫描和漏洞攻击的效率远高于黑客控制端进行扫描和攻击的效率,有助于黑客扩张僵尸网络。
端口扫描和爆破也是僵尸网络扩张的帮手。以“隐匿者”僵尸网络为例,其僵尸程序中带有全网扫描模块,会不断地对随机ip进行指定端口扫描,若端口开放则尝试进行爆破,爆破成功后则登录目标计算机植入挖矿木马和僵尸程序,继续进一步的扩张。图15展示了“隐匿者”挖矿木马僵尸网络端口扫描模块代码片段。表3展示了“隐匿者”僵尸网络爆破模块、爆破对象以及当前支持情况。
图15 “隐匿者”挖矿木马僵尸网络端口扫描模块代码片段
表3 “隐匿者”僵尸网络爆破模块、爆破对象以及当前支持情况
除了上文提到的攻击手法外,高级内网渗透攻击也开始出现在挖矿木马僵尸网络的扩张中。“mateMiner”僵尸网络中就使用了“pass the hash”攻击进行内网渗透。僵尸网络释放了凭证窃取工具mimikatz获取保存在傀儡机的凭证,并用其进行“pass the hash”攻击。图16展示了“mateMiner”僵尸网络凭证获取模块的代码片段。
图16 “mateMiner”僵尸网络凭证获取模块代码片段
“mateMiner”僵尸网络首先尝试使用这些凭证登录内网中的其他计算机,一旦登录成功就往这些计算机中植入挖矿木马和僵尸程序,只有尝试登录失败才会使用“永恒之蓝”漏洞攻击武器进行入侵。可见,随着“永恒之蓝”漏洞攻击成功率的降低,诸如 mimikatz这类高级内网渗透工具已经开始被挖矿木马僵尸网络所使用。图17展示了“mateMiner”僵尸网络进行内网渗透的代码片段。
图17 “mateMiner”僵尸网络内网渗透模块代码片段
(三)僵尸程序的持续驻留
黑客是否能够持续控制傀儡机关键在于傀儡机中的僵尸程序能否持续驻留。而挖矿木马僵尸网络也是用尽了各种办法让僵尸程序持续驻留在傀儡机中。
将僵尸程序直接寄生在系统进程中是最好的选择。“yamMiner”僵尸网络在利用Java反序列化漏洞入侵计算机后执行命令,命令执行者为合法进程java.exe。而“隐匿者”僵尸网络在通过爆破MSSQL服务入侵其他计算机后以SQLServer Job的形式运行挖矿机,并且在SQLServer中写入多段shellcode。通过将僵尸程序寄生在系统进程中能够有效逃避杀毒软件的拦截,保证僵尸程序的持续驻留。图18展示了“隐匿者”在SQLServer中写入的一段shellcode。
图18 “隐匿者”僵尸网络在SQLServer中写入的shellcode
此外,WMI、PowerShell也是持续驻留的好帮手。许多僵尸网络通过WMI实现僵尸程序在目标计算机中的持续驻留,并且使用PowerShell协助完成工作。得益于PowerShell和WMI极高的灵活性,僵尸网络能够通过两者有效管理傀儡机,并且减少恶意文件的释放,躲避杀毒软件的查杀。
“隐匿者”僵尸网络在SQLServer中的shellcode就包含了使用WMI进行挖矿机配置文件定时更新的功能。而“mateMiner”僵尸网络更是将PowerShell的便捷性和可扩展性发挥到了极致,其仅仅使用一个PowerShell脚本作为僵尸程序,这个PowerShell脚本完成了包括入侵、持续驻留、挖矿在内的所有功能。图19展示了“mateMiner”僵尸网络从黑客服务器下载执行PowerShell脚本的命令行。
图19 “mateMiner”僵尸网络下载PowerShell命脚本片段
除了利用PowerShell脚本完成工作,“mateMiner”也充分利用WMI的灵活性,不仅使用WMI的__EventFilter类实现持续驻留,还将shellcode保存为WMI下类属性的值,需要时载入内存执行,真正实现“无文件”攻击。图20展示“mateMiner”使用WMI下类属性存储shellcode的代码片段。
图20 “mateMiner”使用WMI存储shellcode代码片段
除了利用合法进程实现持续驻留之外,先进的控制与命令方式也十分重要。每个僵尸网络都有一个最终的控制端,这个控制端负责向僵尸网络中的每个节点下发控制指令。由于控制端的存活时间并不长,其ip地址会频繁进行更换,因此挖矿木马僵尸网络需要一套完备的控制体系以保证随时与控制端联系。
“隐匿者”僵尸网络就拥有一套完善的控制体系。图21展示了“隐匿者”僵尸网络中僵尸程序与控制端之间的交互。
图21 “隐匿者”僵尸网络僵尸程序与控制端交互图
“隐匿者”有多个功能不同的控制服务器,分别负责挖矿木马的更新、僵尸程序的更新以及远控木马的下发。傀儡机中的僵尸程序启动时会进行一次自检,以确定是否有新版本的僵尸程序存在。同时,“隐匿者”也在SQLServer中写入一段自检的shellcode,以保证僵尸程序被杀后还能从控制端下载新的僵尸程序。而僵尸程序所请求的控制端ip地址是不固定的,“隐匿者”通过访问指定博客获取博文内容,通过博文内容解密得到控制端ip。控制者只需修改博文内容就能够实现控制端ip的更换。
除了“隐匿者”僵尸网络之外,热衷于控制端ip快速更新的当数“yamMiner”挖矿木马僵尸网络了,其控制端ip地址基本保持一星期一更新的频率。图22展示了“yamMiner”僵尸网络2017年11月至12月控制端ip地址更新时间线。
图22 “yamMiner”僵尸网络2017年11月-12月控制端ip地址更新概况
通过观察“yamMiner”僵尸网络2017年11月到12月向控制端发起的请求数量我们发现了一个有趣的细节,当“yamMiner”的控制端ip发生变化的时候,傀儡机中的僵尸程序能够立即连接新的ip地址,这能通过图23清楚的展现。图23展示了“yamMiner”僵尸网络傀儡机向控制端ip地址发送请求的数量变化情况。
图23 “yamMiner”僵尸网络傀儡机向控制端ip发送请求的数量变化情况
“yamMiner”僵尸网络能实现这样的效果,原因在于被入侵的计算机并未及时打上补丁,而“yamMiner”僵尸网络控制端已经保存这一批计算机的ip地址。当“yamMiner”僵尸网络需要更换控制端ip地址时,只需使用相同的方法再次入侵这批计算机,替换掉旧的僵尸程序即可完成更新。
二、网页挖矿脚本技术原理
(一)网页挖矿脚本的植入
正如上文所提到的,挖矿脚本一般会向挖矿者提供了一个方便的入口供用户进行挖矿。以Coinhive为例,挖矿者只需在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可,其他挖矿脚本植入方式和Coinhive基本相同,在此不再赘述。
值得一提的是,在一些植入挖矿脚本的网页中,挖矿脚本的标示符是相同的,这意味着这些挖矿脚本为同一人工作。如果这些网站关联性不大,那么这些网站极有可能遭到黑客入侵。2017年11月,360互联网安全中心发现一批网站被植入带有相同标识符的ProjectPoi挖矿脚本并且网站间的关联性不大。事实证明,这批网站遭到黑客入侵。
除了黑客入侵植入挖矿脚本和站长主动植入挖矿脚本外,部分不法分子通过网络劫持的方式,修改正常网页内容,在网页中插入挖矿脚本。2018年1月,360互联网安全中心发现一些国内知名视频网站遭网络劫持,正常网页中被植入挖矿脚本。图24展示了不法分子劫持网络植入挖矿脚本的流程。
图24 劫持网络植入挖矿脚本流程
以某视频网站为例,当用户播放视频时,服务端返回的实现视频播放的js脚本遭到网络劫持,脚本中被插入挖矿脚本main.js。图25展示了遭到网络劫持后返回的js脚本内容,可以明显发现脚本中被植入了main.js。
图25 遭到网络劫持后返回的js脚本
相比较入侵网站植入挖矿脚本和站长主动植入挖矿脚本,通过网络劫持植入挖矿脚本大大增加了用户中招的概率。若用户的网络遭到劫持,用户访问正常站点都有可能中招,网络劫持植入挖矿脚本的危害性不容小觑。
(二)网页挖矿脚本的隐蔽手法
由于网页挖矿脚本执行时会导致浏览器CPU占用率过高,计算机运行卡慢等情况,这会引起浏览器用户的注意。一些挖矿脚本为了不引起用户的注意使用了一些手法隐蔽网页挖矿脚本的运行。
2017年9月,有安全研究人员发现后缀为.com.com的域名挂有挖矿代码。这些网站以“安全检查”作为幌子掩盖挖矿时产生的卡慢,如图26所示。
图26 挖矿脚本用“安全检查”迷惑用户
无独有偶,前段时间,MalwareBytes安全研究人员发现某些包含挖矿代码的网页会在用户关闭浏览器窗口后隐藏在任务栏右下角继续挖矿,如图27所示。
图27 挖矿脚本利用任务栏隐藏自身
还有一部分网页挖矿脚本借助网页视频播放,网页游戏等本身资源消耗较大的项目隐蔽自身。由于这些项目自身资源消耗较大,用户可能误认为资源消耗来自于这些项目而不会注意到隐藏在这些项目身后悄悄“吸血”的挖矿脚本。上文提到的通过网络劫持在主流视频网站中植入挖矿脚本的攻击事件也是利用这样一个特性隐蔽自身。
三、其他挖矿木马技术原理
上文提到一些挖矿木马通过具有诱导性的应用程序诱导用户双击运行,在此不再赘述。而为了防止用户发现,这些挖矿木马也使用多种手段隐蔽自身,主要有以下几种手段:
(1)通过正常更新下发挖矿木马。360互联网安全中心在2018年1月披露的网吧视频播放软件挖矿事件中,网吧视频播放器就是在2017年7月的一次更新中通过修改组件flashapp.dll的内容下发挖矿木马。由于这是一次正常的更新,无论是对于用户还是杀毒软件而言都不大容易引起注意,有效地隐蔽挖矿木马。图28展示了flashapp.dll更新后被插入的用于释放挖矿木马的代码片段。
图28 flashapp.dll更新后被插入的用于释放挖矿木马的代码片段
(2)伪装成正常应用程序持续驻留。同样以网吧视频播放器为例,其将挖矿木马释放到一些网吧管理软件的路径下,并以“删除顽固桌面广告图标”,“Steam防卡更新”,“文网卫士”等文件路径名隐蔽自身,不仅实现持续驻留,还不容易引起用户注意。
不同于挖矿木马僵尸网络和网页挖矿脚本拥有固定的进入用户计算机的方式,其他挖矿木马进入用户计算机的方式五花八门,但这些方式都具有同一个特征—利益诱导性。只要有利益的诱惑,用户就会运行这个应用程序,正是利用这一点,这些挖矿木马才得以进入用户计算机攫取资源。
第四章:PC平台挖矿木马防御策略
一、挖矿木马僵尸网络防御策略
挖矿木马僵尸网络的目标是服务器,黑客通过入侵服务器植入挖矿机程序获利。如果能对黑客的入侵行为进行有效防范,就能够将挖矿木马僵尸网络扼杀在摇篮中。作为服务器管理员,进行如下工作是防范挖矿木马僵尸网络的关键:
(1)避免使用弱口令。从上文可知,“隐匿者”这类规模庞大的僵尸网络拥有完备的弱口令爆破模块,因此避免使用弱口令可以有效防范僵尸程序发起的弱口令爆破。管理员不仅应该在服务器登录帐户上使用强密码,在开放端口上的服务(例如MSSQL服务,MySQL服务)也应该使用强密码。
(2)及时为操作系统和相关服务打补丁。许多挖矿木马僵尸网络利用“永恒之蓝”漏洞攻击武器进行传播,而“隐匿者”和“yamMiner“更是在漏洞细节公布之后的极短时间内甚至是漏洞细节公布之前就将这些漏洞用于实战,可见黑客对于1day,Nday漏洞的利用十分娴熟。由于大部分漏洞细节公布之前相应厂商已经推送相关补丁,如果服务器管理员能够及时为系统和相关服务打补丁就能有效避免漏洞利用攻击。服务器管理员需要为存在被攻击风险的服务器操作系统、Web服务端、开放的服务等及时打补丁。
(3)定期维护服务器。由于挖矿木马会持续驻留在计算机中,如果服务器管理员未定期查看服务器状态,那么挖矿木马就难以被发现。因此服务器管理员应定期维护服务器,内容包括但不限于:查看服务器CPU使用率是否异常、是否存在可疑进程、WMI中是否有可疑的类、计划任务中是否存在可疑项、是否有可疑的诸如PowerShell进程、mshta进程这类常被用于持续驻留的进程存在。
二、网页挖矿脚本防御策略
网页挖矿脚本一般针对PC,因此也较容易被发现,用户可以通过以下几方面防范网页挖矿脚本:
(1)使用带有反挖矿功能的浏览器或杀毒软件,如今市面上已经有部分杀软和浏览器具备反挖矿功能,使用这一功能,可以自动标注出现的挖矿代码并进行拦截。能够做到网页正常访问,挖矿自动拦截的效果。另外通过杀软还可以拦截网页挂马等其它类型的网络攻击。
(2)养成良好的上网习惯,不访问来路不明的站点,尤其是色情类站点。不下载执行来路不明的程序。
三、其他防御措施
除了上文提到的防御策略外,还有一些防御措施能够有效防范挖矿木马的攻击。
(1)不运行来源不明的可疑程序。对于来源不明的可疑程序,用户应该谨慎对待,尽量不运行这些应用程序,如果因为特殊原因需要运行这些应用程序,需确保杀毒软件为开启状态。
(2)定期杀毒。定期杀毒能够清除藏在计算机角落中的挖矿程序,确保用户计算机的安全。
第五章:PC平台挖矿木马发展趋势预测
一、漏洞利用依然是挖矿僵尸网络发展的根基
如上文所述,无论是“永恒之蓝”漏洞还是一系列Java反序列化漏洞都为挖矿木马僵尸网络的发展奠定了基础。在未来,这些简便的漏洞利用工具依然是挖矿木马的好帮手。黑客可以使用这些漏洞利用工具对全网的计算机进行攻击,在极短的时间内扩张自己的“势力范围”。我们预测,在未来很长一段时间内,哪里有可利用性高的漏洞或者方便的漏洞利用工具被披露,哪里就会有挖矿木马的身影。
二、网页挖矿大行其道,诞生更多挖矿形式
网页挖矿由于其投放简单,虽然单个用户收益率低,但容易形成规模,整体收益可观,将成为挖矿领域一个热点。网页挖矿也是原来网站广告投放的一个新的尝试,如果形式合理,用户认可,也可能取代部分现有广告形式。而非法网页挖矿,也将是继网页挂马,网络流量劫持之后,站长们要面对的另外一个网站安全问题。而防御方面,越来越多的浏览器和安全软件都将具备防网页挖矿功能。图29展示了Coinhive向用户展示的提示框。
图29 Coinhive向用户提供的提示框
目前挖矿攻击的手法翻新,浏览器插件挖矿,网吧客户端挖矿,游戏外挂挖矿等层出不穷。未来一段时间,将会有更多形式的挖矿出现,各类IOT设备,智能硬件,客户端软件都将面临挖矿攻击。而挖矿的方式也可能将不在局限于利用设备的算力,执行计算,各类系统资源都可能被利用成为矿工。
三、参与人员更具多样性
目前的挖矿参与人员主要有两类,一类是专业的矿场矿主,通过组织专业矿机进行挖矿。另一类则更多的是黑产、灰产人员,在原有的各类攻击收益中,加入挖矿程序和挖矿代码后,获得额外的收益。目前越来越多开源和公开的工具,为挖矿提供了更多的便利性,降低了使用门槛。在利益的驱动下,未来可能会有更多的人员参与进来,在计算机的各个环节都可能出现挖矿攻击的情况。在一些方面,也可能会出现一些积极的产品形态,通过合理的引导和使用用户资源,使多方都能受益。
第六章:总结
2017年是挖矿木马新起的一年,而2018年可能是挖矿木马从隐匿的角落走向大众视野的一年。阻击各类木马攻击是安全厂商的重要责任,而每一位用户和管理员也需要注意防范此类木马的攻击。为了防御挖矿木马,保护网民计算机安全,360安全卫士推出了反挖矿功能,全面防御从各种渠道入侵的挖矿木马。用户开启了该功能后,360安全卫士将会实时拦截各类挖矿木马的攻击,为用户计算机保驾护航。
参考资料
[1] 比特币价格变化趋势;https://www.feixiaohao.com/currencies/bitcoin/
[2] Coinhive;https://coinhive.com/
[3] “太极挂机”软件圈钱骗局:披着网赚外衣的“三合一”挖矿木马;http://www.freebuf.com/articles/system/156691.html
[4] “门罗币最近没落了吗?什么原因?”问题“艾俊强”的回答;https://www.zhihu.com/question/60058310/answer/222755086
[5] 360CERT:利用WebLogic漏洞挖矿事件分析;https://www.anquanke.com/post/id/92223
[6] thInk3r的推特;https://twitter.com/thlnk3r/status/951587350416564224
[7] 悄然崛起的挖矿机僵尸网络:打服务器挖价值百万门罗币;http://www.freebuf.com/articles/web/146393.html
[8] http://bbs.360.cn/thread-15312774-1-1.html
[9] Persistent drive-by cryptomining coming to a browser near you;https://blog.malwarebytes.com/cybercrime/2017/11/persistent-drive-by-cryptomining-coming-to-a-browser-near-you/
[10] 一本万利的黑客“致富经”,挖矿木马横扫网吧怒赚百万;http://www.freebuf.com/news/160021.html
[11] Android平台挖矿木马研究报告;https://www.anquanke.com/post/id/96028
[12] 彻底曝光黑客组织“隐匿者”,目前作恶最多的网络攻击团伙;http://www.freebuf.com/news/141644.html
[13] 利用服务器漏洞挖矿黑产案例分析;http://www.freebuf.com/articles/system/129459.html
[14] 闷声发大财年度之星:2017挖矿木马的疯狂敛财暗流;http://www.freebuf.com/articles/paper/157537.html
官方 