会吸血的“寄生虫” 360报告揭秘疯狂敛财的挖矿木马
日前,星巴克某店wifi和知名激活工具KMS相继爆出被植入挖矿木马,将这个新兴的网络安全杀手推向热潮。面对逐渐肆虐的挖矿木马,360发布2017年度挖矿木马研究报告,对本年度挖矿木马的种类、发展趋势、危害进行全面分析,并提出了相关防范措施。
“寄生虫”两种吸血方式揭秘 “永恒之蓝”成助力神器
360发布的报告中详细介绍了挖矿木马的前世今生:数字货币的发行直接导致了挖矿木马的出现。由于数字货币并非由特定的货币发行机构发行,而是由挖矿机程序依据特定算法通过大量运算所得,不法分子将挖矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,这种用户不知情的挖矿机程序就是挖矿木马。随着数字货币交易价格的走高,挖矿木马数量近年来急剧增加。
图一:比特币2013年-2017年交易价格变化趋势
如果将明目张胆的勒索软件比喻成威胁网络安全的恶魔,那么潜伏在计算机隐蔽之处的挖矿木马,就好比会吸血的“寄生虫”,这种“寄生虫”的敛财方式主要有两种——僵尸网络和网页挖矿。
挖矿木马僵尸网络就是黑客通过入侵其他计算机植入挖矿木马,并通过木马继续入侵更多计算机,从而建立起庞大的傀儡计算机网络。2017年同样是挖矿木马僵尸网络大爆发的一年,出现了“Bondnet”,“Adylkuzz”,“隐匿者”等多个大规模挖矿木马僵尸网络。
图二:挖矿木马僵尸网络配置“永恒之蓝”模块情况
报告中指出,早在WannaCry之前,就有挖矿木马利用“永恒之蓝”进行传播,例如“隐匿者”僵尸网络,就是凭借“永恒之蓝”站稳脚跟,在2017年4月底爆发式增长。“永恒之蓝”因为攻击无需载体、目标广的绝对优势,成为本年度挖矿木马僵尸网络的标配。
在2017年9月,因盗版资源集散地Pirate Bay(海盗湾)被发现在网页中植入挖矿脚本,网页挖矿开始走入大众视线。正常情况下的用户浏览器负责解析资源和脚本,并为用户呈现最终解析结果,然而植入挖矿脚本的浏览器,解析对象就变成了挖矿脚本,利用用户计算机资源进行挖矿从而获利。
图三:2017年11月-12月不同挖矿脚本占比
据报告介绍,网页挖矿会导致用户计算机资源被严重占用,出现计算机卡慢、甚至死机等情况,严重影响用户计算机的正常使用。目前发现的网页挖矿脚本有Coinhive、JSEcoin、reasedoper、LMODR.BIZ等众多种类,报告表明,由于Coinhive脚本的便捷性,使其成为大多数不法分子的选择。
应对挖矿木马敛财暗流 360安全专家支招防范
数字货币交易价格的走高,加上自身不易被察觉的特点,挖矿木马数量在近两年急剧增加,如同附骨之疽,成为威胁网络安全的另一大杀手,对此,该报告针对挖矿木马的两种传播方式分别支招防范。
图四:2013年-2017年国内披露的挖矿木马攻击事件
挖矿木马僵尸网络主要攻击对象为服务器,由于报告中提到,一般规模庞大的僵尸网络都有着极强的弱口令爆破能力,因此服务器应当避免使用弱口令。
同时,管理者应及时为操作系统和相关服务打补丁,避免僵尸网络利用漏洞攻击武器进行攻击,定期维护服务器,可以从CPU使用率、执行任务可疑项等方面检查持续驻留的挖矿木马。
网页挖矿脚本一般只针对PC端,因此用户防范挖矿时,应关注浏览网页时的CPU使用率,如果计算机CPU使用率飙升且大部分来自于浏览器,那么网页很可能被嵌入挖矿脚本。此外,用户还需尽量避免访问被标记的高危网站,一般主流浏览器和杀毒软件都能够对存在挖矿行为的网页进行标记,用户不访问高危网站就能一定程度避免挖矿木马的攻击。
尽管网页挖矿比起僵尸网络更容易暴露,但是在利益的驱使下,仍有许多网站被植入挖矿脚本,其中色情网站因为高访问量成为重点植入对象。报告中指出,网页挖矿因为其隐蔽性较低,未来极有可能转移到网页和客户端游戏之中,以游戏的高消耗率掩盖挖矿运作,因此,移动平台应该警惕挖矿木马,及时作出相应防范。