全景剖析挖礦黑色產業鏈

新聞 03-12

2017年，卡巴斯基實驗室就發布過一個報道，揭示了全球挖礦產業的崛起。當時研究人員就發現了有一個通過殭屍網路賺取數百萬美元的挖礦產業。當時，他們就分析這只是產業鏈形成的前兆，果然不出所料，今年挖礦已成為新的黑色產業鏈，且發展得很快。

為此，研究人員一直在關注加密貨幣的價格變化，例如，比特幣和Altcoin的價格在2017年持續創下新的價格紀錄。

2017年比特幣和Altcoin價格增長趨勢圖

挖礦產業鏈的發展過程

對於數字貨幣的價格上漲，人們一般都是習慣從經濟的角度來討論，比如「我是否該入市」「對實體經濟有什麼影響」……但對那些挖礦的攻擊者來說，價格上漲無疑讓數字貨幣成了他們眼中的肥肉，對於偷盜慣了的黑客們來說，沒有什麼比盜取加密貨幣更讓人興奮的事了。

於是，許多網路犯罪團伙已經從其它攻擊方向（比如勒索軟體）轉向挖礦，這從近段時間頻繁發生的挖礦事件就可以看出，研究人員發現，到2017年底，已有270萬用戶受到惡意挖礦的襲擊，這一數量比2016年（188萬）高了近1.5倍。

2017年卡巴斯基實驗室監測到受到惡意挖礦攻擊的用戶數量

挖礦產業變得如此活躍和流行，甚至連在過去幾年裡一直讓世界震驚的勒索軟體攻擊也甘拜下風。對於如此猛地變化，卡巴斯基實驗室的研究人員給出了以下解釋：

首先，挖礦和勒索軟體都有很強的盈利動機。以勒索軟體為例，攻擊者會通過感染用戶的設備，將重要文件加密，如果用戶要恢復這些文件就要繳納贖金。而挖礦模式也非常類似，就是通過感染用戶的設備，使用CPU或GPU來為他們挖掘加密貨幣，從而換取高額利潤。

通過挖礦進行獲利的流程

其次，與勒索軟體不同的是，用戶很難發現他們是否被挖礦攻擊者攻擊。這意味著，相比于勒索軟體，挖礦攻擊更具隱蔽性。一般來說，用戶使用他們的電腦進行正常工作時，對於CPU的功率利用都不是很高。但如果有了挖礦程序，則CPU就會高速運轉，有的甚至發出很大的聲響，不過很多用戶都會以為是程序載入太多或電腦老化的原因。研究人員測算了一下，在高速的挖礦過程中，有70％-80％的CPU功率被挖掘程序使用。其中挖礦軟體還有比較隱蔽的一些特殊功能，比如有的用戶是遊戲玩家，那在運行遊戲時，CPU的功率就會比平時消耗更多，如果這時挖礦軟體還要繼續挖礦的話，那就會很容易引起用戶的警覺或讓電腦死機，所以比較高級的挖礦軟體會在此時相應地減少挖礦進程或直接取消進程。

最重要的是，現在由於挖礦產業鏈的成熟，任何人都可以在黑市定製自己的挖礦軟體，得到想要的服務，比如：

1.與軟體開發者實行合作分成；

2.找到合適的採礦池；

3.找到合適的挖礦軟體開發者；

研究人員發現Nanopool是挖礦軟體的開發者的最受歡迎的礦池：

使用的合法採礦池的統計信息

如果攻擊者使用開放的採礦池，就可以分析出攻擊者能通過挖礦賺取多少錢。

此外，根據研究者的分析數據，80％的非法挖礦軟體都包含合法軟體的開源代碼，或者乾脆把自己偽裝成為一個合法的挖礦軟體。

挖礦軟體的傳播方式

通常，惡意攻擊者會利用一些潛在的可能不需要的應用程序（ potentially unwanted application ，PUA）來傳播挖礦軟體。但是，一些小型犯罪集團會試圖通過使用不同的社會工程技巧來傳播惡意軟體，比如偽造的彩票信息等。潛在受害者需要從文件共享服務中下載一個隨機數字生成器，然後在個人電腦上運行。這雖然是一個簡單的技巧，但是非常有效。

另一個流行的方法是通過在瀏覽器中執行的特殊腳本進行網頁挖掘。例如，在2017年，卡巴斯基實驗室的安全解決方案已經阻止了總共7000多萬次的網頁挖掘。目前惡意挖礦者使用的最流行的腳本是Coinhive，coinhive專門提供一個用來挖礦的JS引擎，在被攻擊網站上的網頁內嵌一段JS代碼，只要有人訪問被攻擊網站，挖礦程序就會在網民的電腦上工作，佔用大量的系統資源，導致CPU利用率突然提升，甚至100％！通常利用Coinhive挖礦的網站都是流量很大的網站。這些網站上的用戶會話時間越長，網站所有者從採礦中獲得的收益就越多。比如目前關於使用Coinhive進行挖礦的重大事件有The Pirate Bay(海盜灣)事件， YouTube事件。2017年9月，海盜灣在其網站上添加了一個由 Coinhive 提供的 Javascript 比特幣挖掘腳本，即採用加密方式注入到訪問海盜灣的用戶電腦當中挖掘比特幣。2018年2月，Coinhive侵入了視頻平台YouTube廣告服務，並試圖劫持該網站訪問者的CPU，偷偷使用它來挖掘加密貨幣。

還有其它一些黑客組織，他們不是向擁有很多用戶的網站傳播挖礦軟體。相反，他們的目標是大公司強大的伺服器。例如，2018年2月，一款名為 WannaMine 的新型門羅幣加密挖掘蠕蟲，其利用與 NSA 相關的 EternalBlue （「永恆之藍」）漏洞進行傳播。據研究人員測試，WannaMine 能夠感染從 Windows 2000 起的所有 Windows 系統（包括 64 位版本和 Windows Server 2003），並使其設備性能明顯下降。目前攻擊者，已經以這種方式獲得了9000個門羅幣(大約二百萬美元)的收入。其實，第一個使用永恆藍色發起挖礦攻擊的惡意軟體是Adylkuzz。另外還有被稱為「Winder」的挖礦軟體家族，它會使用額外的服務來恢復被殺毒軟體刪除的那些挖礦功能。

越來越複雜的挖礦技術

今年研究人員還觀察到了一個趨勢，就是挖礦技術越來越複雜，惡意攻擊者已經開始使用具有針對性攻擊技術，比如最新發現的PlugX挖礦就是使用process hollowing技術將惡意代碼注入到svchost.exe進程地址空間中進行挖礦。Process Hollowing是現代惡意軟體常用的一種進程創建技術。一般來說，使用Process Hollowing技術所創建出來的進程在使用任務管理器之類的工具進行查看時，它們看起來是正常的，但是這種進程中包含的所碼實際上就是惡意代碼。

使用 process hollowing進行挖礦時，感染載體是一個PUA模塊。受害者可能當初只是想下載一個合法的應用程序，但他們卻下載了一個帶有挖礦安裝程序的PUA模塊。該挖礦安裝程序會會創建一個隨機名稱的文件並使用隨機名稱刪除合法的Windows實用程序msiexec，然後該名稱會從遠程伺服器下載並執行惡意模塊。接著，攻擊者會通過惡意模塊安裝一個惡意的調度程序任務，該任務將刪除挖礦軟體的安全程序。這樣攻擊者就會在執行合法的系統進程中使用 process hollowing 技術，將合法進程代碼更改為惡意代碼。另外，使用process hollowing 技術發起挖礦攻擊時，還有一個特殊的攻擊標誌，即系統關鍵標誌，將被設置為新的進程。如果受害者試圖終止此進程，則Windows系統就將重新啟動。因此，如何正確檢測並處理這種使用 process hollowing的惡意行為將會是未來的一個挑戰。

process hollowing的感染流程

process hollowing挖礦示例

使用process hollowing這種先進的挖礦技術，殭屍網路在2017年下半年總共賺了700多萬美元。

同樣是在2018年，研究人員還發現一個惡意攻擊組織的目標針對的是某個大型組織，其主要目的是利用他們的計算機資源進行採礦。當攻擊者進入企業網路後，他們可以訪問域控制器，這樣他們就可以使用域策略啟動惡意代碼。在這種特殊攻擊環境下，被攻擊的企業網路內的每個端點和伺服器都會執行惡意的PowerShell腳本。