根據騰訊御見威脅情報中心監測資料,2018年挖礦木馬樣本月產生數量在百萬級別,且全年呈現增長趨勢。
我們對2018年挖礦病毒樣本進行歸類,對挖礦木馬使用的埠號、程序名、礦池的特點進行統計,發現以下特點:
挖礦木馬最偏愛的埠號依次為3333、8008、8080。
挖礦木馬喜歡將自身程序名命名為系統程序來迷惑使用者,除了部分挖礦程序直接使用xxxminer外,最常使用的程序名為windows系統程序名:svchost.exe以及csrss.exe。
挖礦木馬連線礦池挖礦,從礦池獲取任務,計算後將任務提交到礦池。礦工將自己的礦機接入礦池,貢獻自己的算力共同挖礦,共享收益。2018年挖礦木馬應用最廣泛的礦池為f2pool.com,其次為minexmr.com。
二、2018年挖礦木馬傳播特點
1.瞄準遊戲高配機,高效率挖礦
輔助外掛是2018年挖礦木馬最喜愛的藏身軟體之一。由於遊戲使用者對電腦效能要求較高,不法分子瞄準遊戲玩家電腦,相當於找到了效能“絕佳”的挖礦機器。
案例1:tlMiner挖礦木馬利用《絕地求生》玩家的高配置機器,搭建挖礦叢集
2017年年底騰訊電腦管家發現一款名為“tlMiner”的挖礦木馬,隱藏在《絕地求生》輔助程式中進行傳播,單日影響機器量最高可達20萬臺。經溯源分析發現,該木馬在2017年12月8號輔助新版釋出後開始植入輔助工具,其間有過停用,但巨大的利益驅使不法分子在12月25號重新開放輔助及挖礦功能。
2018年1月騰訊電腦管家對tlMiner挖礦行為及傳播來源進行曝光,隨即在3月份配合騰訊守護者計劃安全團隊,協助山東警方快速打擊木馬作者,並在4月初打掉這個鏈條頂端的黑產公司。據統計,該團伙合計挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門羅幣)、SHR(超級現金)、BCD(比特幣鑽石)等各種數字加密貨幣超過2000萬枚,非法獲利逾千萬。
案例2:藏身《荒野行動》輔助的挖礦木馬
2018年2月,騰訊電腦管家發現一款門羅幣挖礦木馬藏身在上百款《荒野行動》輔助二次打包程式中傳播,並在2月中下旬透過社交群、網盤等渠道傳播,出現明顯上漲趨勢。
2018年6月,致力於傳播勒索病毒的病毒作者xiaoba也盯上了《荒野求生》輔助外掛,在網站xiaobaruanjian.xyz上提供荒野行動遊戲輔助,並將挖礦木馬等植入其中。一旦從該網站下載執行所謂的吃雞輔助,電腦CPU會被大量佔用挖礦。
如果碰巧遇到中毒電腦有比特幣、以太坊交易,xiaoba挖礦木馬還會監視剪下板,當中毒電腦上發生比特幣、以太坊幣交易時,病毒會在交易瞬間將收款人地址替換為自己的,從而實現加密貨幣交易搶劫。
案例3:通殺遊戲外掛的520Miner挖礦木馬
2018年5月騰訊御見威脅情報中心感知到一款名為“520Miner”的挖礦木馬。由於520Miner僅能使用CPU挖取VIT幣,對電腦效能要求不高,所有個人PC機都能參與,因此520Miner挖礦團伙透過遊戲外掛傳播挖礦木馬,在上線短短兩天,就感染了國內數千臺機器。然而從收益來看,木馬在幾天內總共挖取67枚VIT幣,總價值不到一毛錢人民幣,可以說是史上最能窮折騰的挖礦木馬。
2.應用獨特技術逃避攔截
案例1:“美人蠍”礦工透過DNS隧道技術逃避攔截
2018年5月騰訊御見威脅情報中心感知到一款挖礦木馬,其隱藏在美女圖片當中,利用圖片加密傳遞礦池相關資訊,因此得名為“美人蠍”挖礦木馬。該木馬控制超過2萬臺肉雞電腦,分配不同的肉雞叢集挖不少於4種數字加密幣:BCX(位元無限),XMR(門羅幣),BTV(位元票),SC(雲儲幣)等。
木馬特點還在於透過DNS隧道返回的資訊來獲取隱蔽的C2資訊。首先透過DNS協議訪問一級C2,第一級C2伺服器會迴應一段text串,解密後得到二級C2地址,DNS協議是建立在UDP協議之上,同時又是系統級協議,很少有殺軟會偵測DNS資料是否異常。
3.挖礦木馬版本快速升級
案例1:Apache Struts2高危漏洞致企業伺服器被入侵安裝KoiMiner挖礦木馬
2018年7月騰訊御見威脅情報中心發現有駭客利用攻擊工具檢測網路上存在Apache struts2漏洞(CVE-2017-5638)伺服器,發現存在漏洞的機器後透過遠端執行各類指令進行提權、建立賬戶、系統資訊蒐集,然後將木馬下載器植入,進而利用其下載挖礦木馬netxmr4.0.exe。
由於挖礦木馬netxmr解密程式碼後以模組名“koi”載入,因此將其命名為KoiMiner。
透過多個相似樣本進行對比,發現木馬作者在一個月內更新發布了4個挖礦木馬版本。
簡單介紹下變化較大的兩個版本:
版本1:
2018年11月騰訊御見威脅情報中心發現KoiMiner挖礦木馬變種,該變種的挖礦木馬已升級到6.0版本,木馬作者對部分程式碼加密的方法來對抗研究人員除錯分析,木馬專門針對企業SQL Server 伺服器的1433埠爆破攻擊,攻擊成功後植入挖礦木馬,並且繼續下載SQL爆破工具進行蠕蟲式傳播。
版本2:
2018年12月騰訊御見威脅情報中心再次檢測到KoiMiner活動,此次的樣本仍然專門針對企業SQL Server 伺服器的1433埠爆破攻擊,攻擊成功後會首先植入Zegost遠端控制木馬(知名遠控木馬Gh0st的修改版本,安裝後會導致伺服器被駭客完全控制),控制機器進一步植入挖礦木馬。 駭客攻擊時使用的SQL爆破工具CSQL.exe加密方法與7月發現的樣本一致,解密後以模組名“koi”載入執行。
透過SQL爆破工具的解壓路徑“1433騰龍3.0”進行溯源,發現與攻擊事件相關聯的一個駭客技術論壇(騰龍技術論壇),並透過資訊對比確認相關的論壇活躍成員“*aoli**22”,論壇傳播的挖礦木馬生成器“SuperMiner v1.3.6”,以及該成員註冊C2域名使用的姓名和電話號碼。
4.暴力入侵多家醫院,威脅醫療系統資訊保安
案例:多家三甲醫院伺服器遭暴力入侵,駭客趕走50餘款挖礦木馬獨享挖礦資源
醫療業務系統正在快速實現資訊化,醫療業務系統成為駭客攻擊的重點。2018年7月騰訊御見威脅情報中心檢測到多家三甲醫院伺服器被駭客入侵,攻擊者暴力破解醫院伺服器的遠端登入服務,之後利用有道筆記的分享檔案功能下載多種挖礦木馬。
攻擊者將挖礦木馬偽裝成遠端協助工具Teamviewer執行,並且挖礦木馬會檢測多達50個常用挖礦程式的程序,將這些程式結束程序後獨佔伺服器資源挖礦。木馬還會透過修改登錄檔,破壞作業系統安全功能:禁用UAC(使用者帳戶控制)、禁用Windows Defender,關閉執行危險程式時的開啟警告等等。已知樣本分析發現,攻擊者使用的挖礦木馬擁有多個礦池,開挖的山寨加密幣包括:門羅幣(XMR)、以太坊(ETH)、零幣(ZEC)等等,從礦池資訊看,目前攻擊者已累積獲利達40餘萬元人民幣。
5.應用NSA武器攻擊,木馬、蠕蟲狼狽為奸
自從NSA武器庫工具洩露以來,一直倍受駭客垂青,該工具包經過簡單的修改利用便可達到蠕蟲式傳播病毒的目的。2018年騰訊御見威脅情報中心發現大量的挖礦木馬團伙應用NSA武器庫工具傳播挖礦木馬,這使挖礦木馬擁有蠕蟲病毒的傳播能力。
案例1:精通NSA十八般兵器的NSAFtpMiner感染約3萬臺電腦
2018年9月騰訊御見威脅情報中心發現駭客透過1433埠爆破入侵SQL Server伺服器,再植入遠端控制木馬並安裝為系統服務,然後利用遠端控制木馬進一步載入挖礦木馬進行挖礦。隨後,駭客還會下載NSA武器攻擊工具在內網中攻擊擴散,若攻擊成功,會繼續在內網機器上安裝該遠端控制木馬。
木馬載入的攻擊模組幾乎使用了NSA武器庫中的十八般武器:
Eternalblue(永恆之藍)、Doubleplsar(雙脈衝星)、EternalChampion(永恆冠軍)、Eternalromance(永恆浪漫)、Esteemaudit(RDP漏洞攻擊)等漏洞攻擊工具均被用來進行內網攻擊,攻擊主程序偽裝成“Ftp系統核心服務”,還會利用FTP功能進行內網檔案更新。其攻擊內網機器後,植入遠端控制木馬,並繼續從C2地址下載挖礦和攻擊模組,進行內網擴散感染。
案例2:NSABuffMiner挖礦木馬霸佔某校園伺服器,非法獲利115萬元
2018年9月騰訊御見威脅情報中心接到使用者反饋,某學校內網水卡管理伺服器被植入名為rundllhost.exe的挖礦木馬。分析後發現該木馬是NSASrvanyMiner挖礦木馬的變種,此木馬同樣利用NSA武器工具在內網攻擊傳播,而該伺服器存在未修復的ms17-010漏洞,因此受到攻擊被利用挖礦。查詢NSABuffMiner挖礦木馬使用錢包資訊,發現該錢包累計挖礦收益高達115萬元人民幣。
案例3:ZombieboyMiner(殭屍男孩礦工)控制7萬臺電腦挖門羅幣
2018年10月騰訊御見威脅情報中心檢測到利用ZombieboyTools傳播的挖礦木馬家族最新活動。木馬對公開的駭客工具ZombieboyTools(整合NSA攻擊模組)進行修改,然後將其中的NSA攻擊模組進行打包利用,對公網以及內網IP進行攻擊,並在中招機器執行Payload進一步植入挖礦、RAT(遠端訪問控制)木馬。
透過對比確認從2017年9月以來多家廠商釋出的Zombieboy攻擊事件以及友商釋出的NSASrvanyMiner攻擊事件為同一團伙,因此騰訊御見將該團伙命名為ZombieboyMiner。騰訊御見威脅情報中心監測發現,ZombieboyMiner(殭屍男孩礦工)木馬出現近一年來,已感染超過7萬臺電腦,監測資料表明該病毒非常活躍。
6.同時針對多個平臺進行攻擊、植入不同版本的挖礦木馬
2018年11月御見威脅情報中心發現一個雙平臺挖礦木馬,該木馬具有Windows和Android雙平臺版本,在中毒電腦和手機上執行門羅幣挖礦程式。其Windows版本使用有合法數字簽名的檔案藉助遊戲下載站傳播,木馬的Android版本則偽裝成Youtube影片播放器,當中毒使用者在手機上看Youtube影片時,病毒會在後臺執行門羅幣挖礦程式,從而令手機發熱增加,續航縮短。
2018年12月御見威脅情報中心透過蜜罐系統部發現了利用Aapche Struts2-045(CVE-2017-5638)漏洞攻擊Linux伺服器,並透過計劃任務植入的挖礦木馬。並透過進一步分析發現了針對Windows系統和Linux系統進行攻擊的挖礦木馬,且不同平臺的挖礦木馬最終均使用了相同的礦池及錢包。
7.利用網頁掛馬,大範圍傳播
挖礦木馬的傳播渠道不限於透過偽裝成電腦軟體下載,還普遍採用了網頁掛馬這種最高效率的傳播方式,而以往利用網頁掛馬傳播最多的是盜號木馬。
案例1:廣告聯盟的分發系統被掛馬,傳播挖礦木馬等病毒
2018年4月12日,騰訊御見威脅情報中心監測到國內一起大規模的網頁掛馬事件。當天包括多款知名播放器軟體、影片網站客戶端、常見的工具軟體在內的50餘款使用者量千萬級別的電腦軟體遭遇大規模網頁掛馬攻擊。
攻擊者將攻擊程式碼透過某廣告聯盟的系統主動分發帶毒頁面,而這個帶毒頁面被內嵌在50餘款千萬級別使用者群的常用軟體中,這些使用者的電腦一開機會主動連網下載廣告資源,電腦會因此下載若干個病毒,其中就包括挖礦病毒。騰訊電腦管家當天攔截超過20萬次病毒下載。
案例2:S e情網站被掛馬,利用Flash高危安全漏洞植入挖礦木馬
此外,騰訊御見威脅情報中心還監測到一款挖礦病毒感染量異常增高,經病毒溯源分析發現,受害者電腦上的挖礦木馬均來自某些打著“人體藝術”旗號的Se 情網站。
當網民瀏覽這些網站時,由於部分系統存在Flash高危安全漏洞,開啟網頁會立刻中毒。之後,受害者電腦便會執行挖礦程式碼,電腦淪為一名礦工。攻擊者會控制大量礦工電腦集中算力挖礦,並以此牟利。
8.入侵控制企業伺服器,組建殭屍網路雲上挖礦
隨著各種數字加密貨幣的挖礦難度越來越大,透過普通使用者的個人電腦難以實現利益最大化。而實施短時間內的大範圍挖礦,除了網頁掛馬,最普遍的作法就是控制肉雞電腦組建殭屍網路挖礦。伺服器效能強、24小時線上的特徵,吸引更多不法礦工將攻擊目標轉向企業、政府機構、事業單位的伺服器實現雲上挖礦。
騰訊御見威脅情報中心就發現一個感染量驚人的黃金礦工“PhotoMiner木馬”,該木馬2016年首次被發現,該木馬透過入侵感染FTP伺服器和SMB伺服器,該木馬2016年首次被發現,透過入侵感染FTP伺服器和SMB伺服器暴力破解來擴大傳播範圍。查詢木馬控制的門羅幣錢包地址,發現該木馬控制肉雞電腦挖到8萬枚門羅幣,挖礦累計收益達到驚人的8900萬人民幣,成為名副其實的“黃金礦工”。
9.網頁挖礦:在正常網頁插入挖礦程式碼,利用瀏覽器挖礦
由於防毒軟體的存在,挖礦木馬檔案一落地到使用者電腦就可能被攔截,不利於擴大挖礦規模,一部分攻擊者採用新的挖礦方式實施網頁挖礦。透過大規模入侵存在安全漏洞的網站,在網頁中植入挖礦程式碼。訪客電腦只要瀏覽器訪問到這個網頁,就會淪為礦工。
案例1:JS挖礦機利用廣告分發平臺,大規模攻擊江蘇湖南網民
2018年1月騰訊御見威脅情報中心發現一廣告分發平臺被惡意嵌入挖礦JavaScript指令碼,該挖礦攻擊在江蘇、湖南地區集中爆發。挖礦頁面單日訪問量近百萬次,中招機器CPU資源被佔用90%以上,直接影響系統執行。
此次惡意JavaScript程式碼存放在國內某電商平臺伺服器上。頁面中匯入惡意JS指令碼為Coinhive JavaScript Miner程式碼,該程式碼基於CryptoNight挖礦演算法,挖取數字加密貨幣—門羅幣。
此外,為了不被輕易發現,該挖礦指令碼僅在非IE瀏覽器內執行,並透過Math.random()設定50%的啟動概率。這就意味著,當使用者發現電腦卡頓、CPU佔用率過高,懷疑有惡意程式執行進而進行確認時,挖礦環境並不一定重現。
案例2:C0594組織惡意挖礦攻擊,攻陷數千個網站植入JS挖礦指令碼
2018年4月騰訊御見威脅情報中心監測發現,包括傳統企業、網際網路公司、學校和政府機構等在內的多個網站網頁被植入挖礦JS指令碼。經分析,該批站點中的核心JS檔案被注入惡意程式碼,透過請求同一個指令碼檔案(http[:]//a.c0594.com/?e=5),載入另一個指令碼檔案(http[:]//a.c0594.com/?js=1)提供的CoinHive挖礦程式碼,從而在使用者機器上執行挖礦。
案例3:使用Drupal系統構建的網站遭遇大規模JS挖礦攻擊
2018年5月騰訊御見威脅情報中心監測到,大批使用Drupal系統構建的網站遭到JS挖礦攻擊。經分析,受攻擊網站所使用的Drupal系統為存在CVE-2018-7600遠端程式碼執行漏洞的較低版本。駭客利用Drupal系統漏洞將混淆後的挖礦JS注入到網站程式碼中進行挖礦。
網頁JS挖礦分佈
2018年在感染JS挖礦程式的網站型別中,Se 情網站佔比最高,其次是菠菜網站、小說網站和影片網站。其中使用者在網站上觀看影片或閱讀時停留時間較長,駭客利用這些網站進行挖礦,可以獲取持續的收益。
三、挖礦殭屍網路
殭屍網路透過多種攻擊方法傳播殭屍程式感染網際網路上的大量主機,從而形成龐大的受控叢集,接收同一個個木馬控制端的指令完成相應的行為。挖礦木馬變得流行起來後,許多大型殭屍網路也開始將挖礦作為其系統功能的一部分,從而更快地獲取收益。2018年活躍的挖礦殭屍網路包括MyKings,WannaMiner等。
1.MyKings
Mykings殭屍網路是目前發現的最複雜的殭屍網路之一,其攻擊手段主要為“永恆之藍”漏洞利用,SQL Server密碼爆破等,並在失陷主機植入挖礦模組,遠端控制模組,以及掃描攻擊模組進行蠕蟲式傳播。
2018年5月御見威脅情報中心監測到MyKings殭屍網路開始傳播新型挖礦木馬,該木馬利用Windows 系統下安裝程式製作程式NSIS的外掛和指令碼功能實現了挖礦木馬的執行、更新和寫入啟動項,同時該木馬的NSIS指令碼還具備透過SMB爆破進行區域網傳播的能力。
2018年12月御見威脅情報中心發現Mykings殭屍網路攻擊方式升級,在其攻擊模組中整合永恆之藍漏洞、閉路電視物聯網裝置漏洞、MySQL漏洞攻擊以及RDP爆破、Telnet爆破弱口令爆破等多種攻擊方式。並且首次發現其使用“暗雲”木馬感染器感染機器MBR,感染後payload會下載配置檔案執行主頁鎖定和挖礦功能。
2.WannaMiner
2018年3月騰訊御見威脅情報中心監控到有攻擊者利用“永恆之藍”漏洞,傳播一種門羅幣挖礦木馬WannaMiner。WannaMiner木馬將染毒機器構建成一個健壯的殭屍網路,還支援內網病毒自更新,並且以一種相對低調的獲利方式“挖礦”來長期潛伏。
儘管早在2017.5月WannaCry事件爆發時,很多機器已經在安全軟體幫助下安裝了相應補丁。但本次WannaMiner攻擊事件揭示,仍有部分企事業單位未安裝補丁或者部署防護類措施。由於其在內網傳播過程中透過SMB進行核心攻擊,可能造成企業內網大量機器出現藍色畫面現象。
2018年11月騰訊御見威脅情報中心發現WannaMiner最新變種攻擊,該變種病毒利用永恆之藍漏洞在企業內網快速傳播。變種的主要變化為,漏洞攻擊成功後釋放的母體檔案由壓縮包變為特殊格式的加密檔案,因此木馬在使用該檔案時由簡單的解壓變為解密,特殊的加密方式給殺軟查殺造成了一定難度。
四、2018年挖礦木馬典型事件
五、幣圈疲軟,挖礦木馬還有未來嗎?
數字加密貨幣在2018年經歷了持續暴跌,比特幣已從去年年底的2萬美元,跌至現在不足4000美元,透過“炒幣”暴富的希望似乎越來越渺茫,但這並沒有影響挖礦木馬的熱度,相對於投資礦機來說,控制肉雞電腦挖礦成本為0。
而從2018年的挖礦木馬事件中發現,挖礦木馬可選擇的幣種越來越多,設計越來越複雜,隱藏也越來越深,因此我們認為2019年挖礦木馬仍會持續活躍,與防毒軟體的對抗也會愈演愈烈。除非幣圈持續爆跌到一文不值,挖礦黑產才會有新的變化。
綜合分析,我們估計2019年,挖礦木馬產業會有以下特點:
(1)利用多種攻擊方法,短時間快速傳播
漏洞利用攻擊是木馬傳播的重要手段之一,挖礦木馬將受害者機器作為新的攻擊源,對系統中的其他機器進行掃描攻擊,達到迅速傳播的效果,例如WannaMiner挖礦木馬的爆發,幾天之內可以達到感染數萬臺裝置,如何快速響應和阻止此類木馬是安全廠商面臨的考驗。
(2)針對伺服器攻擊,企業使用者受威脅
企業裝置上往往執行著數量龐大的應用程式,例如提供對外訪問的web服務,對企業內部提供的遠端登入服務等,這些服務作為企業服務的一個視窗,也成為了不法份子瞄準的弱點。一旦入侵內網,再利用大量廉價的攻擊工具可以快速組成挖礦殭屍網路。
例如對伺服器遠端登入埠爆破,利用伺服器元件攻擊傳播的挖礦木馬攻擊,未來需要更加有效的解決方案。
(3)隱藏技術更強,與安全軟體對抗愈加激烈
病毒發展至今,PC機上隱藏技術最強的無疑是Bootkit/Rootkit類病毒,這類木馬編寫複雜,各模組設計精密,可直接感染磁碟引導區或系統核心,其許可權視角與殺軟平行,屬於頑固難清除的一類病毒,可以最大限度在受害電腦系統中存活。
例如在2018年12月發現的Mykings木馬最新變種,加入了“暗雲”MBR感染功能,透過修改系統系統啟動引導扇區載入挖礦模組,使得其難以徹底清除。2019年數字加密貨幣安全形勢依然嚴峻,挖礦木馬的隱藏對抗或將更加激烈。
六、針對挖礦木馬的應對措施
1、 不要下載來歷不明的軟體,謹慎使用破解工具、遊戲輔助工具。
2、 及時安裝系統補丁,特別是微軟釋出的高危漏洞補丁。
3、 伺服器使用安全的密碼策略 ,使用高強度密碼,切勿使用弱口令,防止駭客暴力破解。
4、 企業使用者及時修復伺服器元件漏洞,包括但不限於以下型別:
Apache Struts2漏洞、WebLogic XMLDecoder反序列化漏洞、Drupal的遠端任意程式碼執行漏洞、JBoss反序列化命令執行漏洞、Couchdb的組合漏洞、Redis未授權訪問漏洞、Hadoop未授權訪問漏洞;
5、監測裝置的CPU、GPU佔用情況,發現異常程式及時清除,部署更完善的安全防禦系統。個人電腦使用防毒軟體仍是明智之舉。
