卡巴斯基報告:挖礦殭屍網路受害者數量攀升
前情提要
Miners是指一類惡意軟體,攻擊者將它安裝在受害者機器上,用來隱蔽的挖掘虛擬貨幣。受虛擬貨幣市場環境的影響,這類惡意軟體在今年大受歡迎。
儘管攻擊者會想辦法欺騙不知情的用戶、或利用軟體漏洞,在他們的電腦上安裝Miner軟體,但Miner開採虛擬貨幣的過程本身是完全合法的,只不過Miners挖到的所有的虛擬貨幣都歸攻擊者所有,而受害者的計算機系統性能被無辜的消耗了。
殭屍礦工的發展趨勢
僅在上個月,卡巴斯基實驗室就發現了好幾個大型的挖礦殭屍網路,攻擊者的目標是隱蔽地挖掘虛擬貨幣並從中獲利。與此同時,研究人員也觀察到越來越多的攻擊者試圖在企業/組織的伺服器上安裝Miner軟體,一旦成功,公司的業務可能就會受到影響,因為伺服器性能被損耗,數據處理速度大幅下降了。
總的來說,最近幾年,遭遇虛擬貨幣挖礦軟體攻擊的用戶數量急劇增加。2013年卡巴斯基在全球範圍內監測到大約205000個用戶受到過此類攻擊;2014年,這個數字增至701000個;2017年個前八個月,受攻擊的用戶數量達到165萬。
卡巴斯基實驗室檢測到的遭遇虛擬貨幣Miner軟體的用戶數量(從2011年到2017年)
傳播方法
安裝Miner的主要方法是通過廣告軟體安裝器,一般使用社會工程學手段進行傳播。也有更複雜的方法,如利用漏洞進行傳播,典型的例子是EternalBlue。如果受害者是一個伺服器,這對攻擊者尤其有利,因為他們將擁有更強大的挖礦能力,最終獲利更多。
在一些通信消息服務中可以找到以下類型的廣告:
網上宣傳賺錢機會的廣告(推廣Miner安裝器)
點擊圖中的廣告鏈接,用戶可以下載一個生成器的試用版本,它為礦工裝配一個dropper(滴管),並提供一些額外的功能,例如當用戶啟動一個流行遊戲時,暫停軟體。
Miner安裝器的截圖
這裡還有提示:想要獲得完整版,用戶可以聯繫的VKontakte社交媒體網站群的管理員。
運行機制
隱蔽的Miners很難被發現,因為它們具有特殊的性質和工作原理。任何用戶都可以在自己的計算機上獨立的安裝這種軟體,使用它挖掘虛擬貨幣也是合法的。
通常,隱蔽的Miners還提供其他額外的服務,用於維持其在系統中的持久性、開機時的自動啟動、執行隱藏操作,舉例如下:
嘗試關閉安全軟體;
跟蹤所有應用程序的啟動,當監視系統活動或運行進程中的某個程序被啟動時,就暫停它們自己的活動;
確保一個採礦軟體的副本總是存在於硬碟驅動器,在被刪除了後重新恢復它。
Miner搜索系統監控工具
我們最近發現了一個包括了大約5000 +計算機的殭屍網路,網路中的計算機都安裝了Minergate這一合法的礦工控制台,它是在用戶不知情的情況下或未同意的情況下被安裝到用戶的電腦上的。該軟體是通過一個廣告軟體進行分發,安裝流程概述如下:
Minergate安裝流程示意圖
用戶從一個文件託管服務下載一個安裝程序,偽裝成提供免費軟體或許可產品的激活密鑰;
啟動時,安裝程序將Miner的滴管(EXE)下載到受害者計算機上;
滴管使用srvany.exe將Minergate和二進位工具寫入到硬碟,當系統開機啟動時Miner作為windows driver.exe服務被開啟;
滴管創建一個額外的名為directx11b.exe的服務,作用是確保Minergate的的連續性,如果Minergate被刪除,滴管會在硬碟上恢復它。
滴管在註冊表項中存儲Miner的配置信息。
Minergate的配置數據
盈利方案
目前挖礦殭屍網路的操控者最偏愛monero (門羅幣)和zcash,因為這兩類虛擬貨幣的交易匿名性更好。
按照最保守的估計,挖礦殭屍網路每月為其操控者帶來高達30000美元的收入。
挖礦殭屍網路的錢包
上面的截圖顯示了一個挖礦殭屍網路錢包的配置數據。在本文編寫的時候,共有2289個門羅幣已經從這個錢包轉移出去了,按照目前的匯率相當於208,299美元。
假設一個普通的台式電腦產生30-100 H /秒的哈希算力,這個挖礦殭屍網路可能包含了4000台計算機。
挖礦殭屍網路的哈希算力隨時間的變化趨勢圖
結論
正如本文所講述的,網路犯罪分子會抓住一切賺錢的機會,而且他們在網上賺錢的方法是不斷演變的。目前虛擬貨幣市場處於一個爆炸性的增長階段,在這種情況下,挖礦殭屍程序在用戶不知道(或沒有徵得用戶同意)的情況下被安裝在用戶的電腦上,並執行採礦操作。
這種情況不足為怪,由於虛擬貨幣是一個新興的資產,從中賺錢很容易。攻擊者尋找並利用他人的硬體資源為自己牟取暴利。
目標檢測到的本文中描述的惡意軟體樣本:
IOCs
33e46f76bc9bf1ff8380406f111f56af
26f42df21371bd4afe86a643ac0a6b44
25451e6fe30b54b432854bde5b9abb74
TAG:MottoIN |