要說今年最火的病毒類別,應屬勒索病毒,連街上戴紅袖章的大媽都能跟你聊兩句 " 想哭 " 病毒。
但要論賺錢能力,可能 " 悶聲發大財 " 的挖礦木馬更勝一籌,尤其在 " 炒幣 " 風暴來襲,比特幣、以太坊等數字貨幣價格屢創新高的 2017 年。
隨著不斷攀升的價格和日益減少的加密貨幣數量,各類挖礦木馬也層出不窮。
與那些自願為礦池提供算力並獲取報酬的普通礦工不同," 挖礦木馬 " 是黑客在未授權的情況下向服務器惡意植入程序,並盜用瞭個人計算機的算力來獲取不義之財。
也許你從來都沒有擁有過數字貨幣,但就在你看 " 小片片 "、玩遊戲、喝咖啡的過程中,很有可能你電腦的 CPU 正在被黑客利用,偷偷為他挖礦賺取數額不等的數字貨幣。
上面這句話並非雷鋒網危言聳聽,不信,請看雷鋒網對頻頻爆出的各種挖礦木馬的盤點,它真的就在你身邊,從未走遠 ~~~
1、上色情網站:掏空你的身體 …… 還有 CPU
以後看 " 小片片 " 要小心瞭,色站不隻會掏空你的身體,還會掏空你的電腦!
2017 年 7 月,來自騰訊電腦管傢的安全研究人員發現,有多個網站在其網頁內嵌瞭挖礦 JavaScript 腳本,用戶一旦進入此類網站,JS 腳本就會自動執行,占用大量的 CPU 資源以挖取門羅幣,使電腦出現卡頓。
到底是什麼樣的網站會成為目標?
咳咳,愛看小說、愛打小遊戲、愛看小片片的同學們註意瞭!
研究人員發現,內嵌 JS 挖礦的站點主要有色情視頻、小說、網頁遊戲等類型,由於這類站點打開後往往會停留一段時間才出現界面,用戶可能不會懷疑是因為機器卡頓的原因,這也成為黑客利用色情網頁挖礦的原因之一。
該 JS 挖礦機是由 Coinhive(專門提供挖礦的 JS 引擎) 提供的一個服務,采用瞭 Cryptonight 挖礦算法挖門羅幣,而 Cryptonight 算法復雜、占用資源高,常被植入普通用戶機器,占用其 CPU 資源來挖礦。
諷刺的是,Coinhive 特別說明不要在不提示用戶的情況下使用該服務,因為用戶的利益比任何公司短期利益都要重要的多。然而實際情況是該服務已經被各個站點濫用,有媒體評價 Coinhive 為最受惡意軟件開發者喜歡的 " 門羅幣收割機 "。
目前,門羅幣也成為黑客最喜歡挖的一類幣,據騰訊電腦管傢安全專傢分析,主要原因是因為比特幣挖礦難度太大,需要專業的礦機,而門羅幣挖掘難度相對較小,普通的 PC 電腦就可以挖掘。
2、" 蹭網 " 當心被挖礦,甩鍋隻服星巴克
在世界各地的星巴克裡,我們經常能看到帶著筆記本 " 蹭網 " 辦公的白領們。
在 2017 年年末,黑客盯上瞭這些電腦配置還不錯的人,他們通過植入挖礦木馬,把筆記本變成瞭自己的礦機,瘋狂挖掘門羅幣。
最先發現該情況的是一位名為 Dinkin 的推特用戶,他對佈宜諾斯艾利斯的星巴克喊話:喂,老兄,你傢的公共 WiFi 被黑客挖礦瞭,延遲瞭 10 秒啊,快來看看哪 ~~~
但佛系商傢星巴克卻很淡定,在事件曝光 10 天後,才終於做出瞭回應,而且回應的主要內容是甩鍋給 WiFi 提供商 ~~~
大意就是,已聯系瞭互聯網服務提供商,發現 WiFi 不是由星巴克運營的,所以這不是星巴克可以控制的東西。(言外之意,這事兒不怪本寶寶,我也很無奈啊 ~)上述情況隻發生在個別門店,目前對此事已經進行瞭處理。(大傢不要太擔心,該幹嘛幹嘛。)
可以說是一點認錯的態度都沒有 ~~~
不過,根據公佈的腳本可以看出,黑客主要通過入侵 WIFI 提供商, 在 WIFI 連接頁面被植入挖礦代碼,導致用戶在連接 WIFI 時執行挖礦程序。Hackread.com(黑客研究網站)和 Blockexplorer.com(比特幣挖礦網站)均表示,這確實是 Coinhive 代碼,專門負責幫黑客挖掘門羅幣。
3、披著 " 網賺 " 項目的外衣,幹著惡意挖礦的勾當
最近很流行一個網賺項目,叫做 " 太極掛機 " 軟件,先看看它的宣傳語,可以說是很誘惑人心瞭。
大意就是你隻需下載運行該軟件,剩下的,啥都不用做就可以輕松賺錢,就等著天下掉餡餅瞭!
其實號稱掛機軟件的網賺項目一直以來都有,但還是有很多人真的相信天下就是有免費的午餐。
據安全人員研究,所謂的掛機網賺隻是木馬病毒的幌子。包括 " 太極掛機軟件 " 在內的多款類似惡意程序一旦被用戶下載並安裝,不但會大量占用 CPU 資源進行挖礦操作,還會在用戶機器上傳播 Ramnit 感染型木馬,更有甚者,直接給電腦添加上 MBR 密碼使用戶無法正常登錄系統!
話說,中大獎還得先買彩票呢?這種無投入就能賺錢的事,怎麼能相信呢?
4、傍上僵屍網絡的挖礦木馬,我裸奔我怕誰
僵屍網絡和挖礦木馬這對病毒,可以說是很絕配瞭。
這哥倆搭夥,很像是可以幹出一番 " 事業 " 的樣子。
騰訊電腦管傢安全專傢指出,僵屍網絡具有隱秘、數量大等特點,而挖礦木馬為瞭提升算力,需要更多的機器,僵屍網絡無疑是最佳選擇。
在挖礦木馬還沒有隱藏在普通軟件之前時,它還隻是僵屍網絡一個新拓展的 " 業務 ",能同時做到挖礦、DDoS 兩不誤,這時的挖礦行為還處於 " 裸奔期 "。
比如,2017 年 5 月發現的 "Adylkuzz" 僵屍網絡,它比 "WannaCry" 出現的時間還要早,威力也不小,影響瞭全球幾十萬臺機器。
不過有意思的是,"Adylkuzz" 入侵成功後會利用 " 永恒之藍 " 漏洞阻止其他病毒也利用此類漏洞,安全專傢認為這在一定程度上限制瞭 "WannaCry" 的傳播。
"WannaCry" 及 "Adylkuzz" 都會利用 windows SMB 遠程提漏洞,"Adylkuzz" 入侵到用戶機器後,會阻止 SMB 通信,這樣就阻止瞭 "WannaCry" 傳播。
木馬入侵成功後,就會鏈接 C&C 服務器,接受挖礦指令,該木馬目前專門挖取門羅幣。
5、病毒能打組合拳,挖礦刷量兩不誤
病毒坑的可能不僅是 PC 的個人電腦的 CPU,還有可能坑金主爸爸。
在 2017 年 11 月,雷鋒網接到來自多個安全實驗室的消息,中國電信校園門戶網站【zsteduapp.10000.gd.cn】提供下載的 " 天翼校園客戶端 " 攜帶後門病毒 "Backdoor/Modloader",該病毒可隨時接收遠程指令,利用被感染電腦刷廣告流量和 " 挖礦 "(生產 " 門羅幣 "),讓這些校園用戶的電腦淪為他們牟取利益的 " 肉雞 "。
" 天翼校園客戶端 " 安裝包運行後,後門病毒即被植入電腦。該病毒會訪問遠程 C&C 服務器存放的廣告配置文件,然後構造隱藏 IE 瀏覽器窗口執行暗刷流量,同時也會釋放門羅幣挖礦者病毒進行挖礦。
天翼校園客戶端安裝後,安裝目錄中會釋放 speedtest.dll 文件,speedtest.dll 扮演病毒 " 母體 " 角色。執行下載、釋放其他病毒模塊,最終完成刷廣告流量和實現挖礦。
也就是說,這種挖礦病毒坑的不隻一個個的 PC 使用者,還有很多在這些網站投廣告的金主爸爸。
通過監測發現,該病毒下載的廣告鏈接約 400 餘個,由於廣告頁面被病毒隱藏,並沒有在用戶電腦端展示出來,這致使廣告主白白增加瞭流量成本。受該病毒點擊欺詐影響的廣告主不乏騰訊、百度、搜狗、淘寶、IT168、風行網等等。
6、當心 KMS 植入激活:各大搜索引擎都中招
Key Management Service(KMS)原本隻是在 Windows Vista 之後的產品中,所提供的一種新型產品激活機制,目的是為瞭微軟能更好地遏制非法軟件授權行為。
但正是這個看起來 " 一身正氣 " 的激活工具,卻成為黑客傳播挖礦木馬的途徑之一。
2017 年 12 月 19 日,雷鋒網接到火絨安全團隊的報告,當用戶從網站 kmspi.co 下載激活工具 KMS 時,電腦將被植入挖礦病毒 "Trojan/Miner"。該病毒入侵用戶電腦後,會利用電腦瘋狂 " 挖礦 ",讓這些用戶電腦淪為他們牟取利益的 " 肉雞 "。
安全人員發現,該網站在百度、谷歌、必應等多傢搜索引擎中,搜索結果位置都極靠前。在百度搜索關鍵詞 "KMSpico" 時,帶毒網站赫然排在第二的位置上。
除瞭大量用戶通過搜索引擎進入帶毒網站,由於 KMS 極為流行,極有可能已經被網友分享到各大技術論壇,形成二次傳播。
7、吃雞開掛需謹慎,害人終害己
為瞭取得更好的戰績,很多遊戲玩傢都選擇使用外掛,尤其是爆火的《絕地求生》幾乎成瞭外掛的代名詞,很多玩傢已沉浸在外掛殺人的快感中無法自拔。
來自騰訊電腦管傢的安全專傢告訴雷鋒網,想通過挖礦獲取更多的數字加密貨幣,隻有提升算力一條途徑,提升算力就隻能從機器數量及配置入手。而《絕地求生》吃雞遊戲對用戶的 PC 配置要求比較高,這與挖礦木馬的需求相符,這類開掛玩傢自然成為黑客盯上的目標。
這下,開掛帶來的惡果終於輪到自己吃瞭。
2018 年 1 月 4 日,雷鋒網接到騰訊電腦管傢的消息,稱其捕獲瞭一款名為 "tlMiner" 的 HSR 幣(紅燒肉幣)挖礦木馬,隱藏在遊戲《絕地求生》的輔助程序中,根據網絡上的數據來看,僅僅在 20 日一天就有將近 20 萬臺電腦遭到病毒感染。
雖然感染此木馬挖礦後外掛依然可以繼續使用,但安全專傢建議,曾經使用過外掛的朋友還是應該回傢徹底查一次毒,因為此木馬導致用戶顯卡滿負荷工作,壽命將大幅縮減。
想不到吧,打倒外掛的,竟然是一款挖礦的木馬病毒。
8、瀏覽器插件也能挖礦,手動安裝需謹慎
2017 年末,360 安全衛士檢測發現,一款名為 " 百度網盤高速下載 " 的 Chrome 插件暗藏挖礦腳本,占用大約 30% 的 CPU 資源挖門羅幣。
據 360 稱,這是國內首次出現瀏覽器插件挖礦事件。
該惡意插件為第三方制作的非正規插件,它打著 " 不限速下載 " 的幌子,吸引網民關註,再加上添加安裝步驟十分簡單,目前流傳度較廣。安全人員提醒,需要手動添加安裝的插件,一般都不安全,用戶安裝插件一定要通過瀏覽器官方應用商店進行。
與可疑郵件或陌生網址等常見的木馬感染渠道相比,瀏覽器插件的安全性並沒有引起網民的足夠重視,再加上不法分子對某些功能的刻意渲染,很容易吸引網民中招。
2018,挖礦病毒還將放出哪些么蛾子?如何防?
據來自騰訊電腦管傢的安全專傢預測,與早期的裸奔狀態不同,2018 年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外,部分玩傢對遊戲輔助的 " 青睞 ",或將促使不法分子將更多惡意程序植入到遊戲輔助等常規軟件中。
對於普通的用戶,應從以下幾點來防止挖礦病毒木馬入侵。
1. 開啟系統自動更新,及時打補丁,防止被惡意木馬利用。
2. 機器卡慢時應立即查看 CPU 使用情況,若發現可疑進程可及時關閉。
3. 不瀏覽色情、輔助等被標記為不可信的網站。
4. 不使用輔助及來路不明的軟件,使用未知軟件前先用安全軟件進行安全掃描。
參考來源:騰訊安全 2017 年度互聯網安全報告、Freebuf、360。
歡迎關註宅客頻道,聽我們講述黑客背後的故事。
