挖矿木马为什么会成为病毒木马的中流砥柱???
挖矿木马为什么会成为病毒木马的中流砥柱
一、概述
根据情报中心监测数据,2018年挖矿木马样本月产生数量在百万级别,且上半年呈现快速增长趋势,下半年上涨趋势有所减缓。由于挖矿的收益可以通过数字加密货币系统结算,使黑产业变现链条十分方便快捷,少了中间商(团伙)赚差价。数字加密币交易系统的匿名性,给执法部门的查处工作带来极大难度。
在过去的2018年,挖矿病毒的流行程度已远超游戏盗号木马、远程控制木马、网络劫持木马、感染型病毒等等传统病毒。以比特币为代表的虚拟加密币经历了过山车行情,许多矿场倒闭,矿机跌落到轮斤卖的地步。但即使币值已大幅下跌,挖矿木马也未见减少。因为控制他人的肉鸡电脑挖矿,成本为零。
当电脑运行挖矿病毒时,计算机CPU、GPU资源占用会上升,电脑因此变得卡慢,如果是笔记本电脑,会更容易观察到异常:比如电脑发烫、风扇转速增加,电脑噪声因此增加,电脑运行速度也因此变慢。但是也有挖矿木马故意控制挖矿时占用的CPU资源在一定范围内,并且设置为检测到任务管理器时,将自身退出的特性,以此来减少被用户发现的几率。
根据情报中心监测数据,2018年挖矿木马样本月产生数量在百万级别,且全年呈现增长趋势。
我们对2018年挖矿病毒样本进行归类,对挖矿木马使用的端口号、进程名、矿池的特点进行统计,发现以下特点:
挖矿木马最偏爱的端口号依次为3333、8008、8080。
挖矿木马喜欢将自身进程名命名为系统进程来迷惑用户,除了部分挖矿进程直接使用xxxminer外,最常使用的进程名为windows系统进程名:以及。
挖矿木马连接矿池挖矿,从矿池获取任务,计算后将任务提交到矿池。矿工将自己的矿机接入矿池,贡献自己的算力共同挖矿,共享收益。2018年挖矿木马应用最广泛的矿池为f2pool,其次为minexmr。
流放之路贵族二、2018年挖矿木马传播特点
1.瞄准游戏高配机,高效率挖矿
辅助外挂是2018年挖矿木马最喜爱的藏身软件之一。由于游戏用户对电脑性能要求较高,不法分子瞄准游戏玩家电脑,相当于到了性能“绝佳”的挖矿机器。
案例1:tlMiner挖矿木马利用《绝地求生》玩家的高配置机器,搭建挖矿集
2017年年底杀毒软件发现一款名为“tlMiner”的挖矿木马,隐藏在《绝地求生》辅助程序中进行传播,单日影响机器量最高可达20万台。经溯源分析发现,该木马在2017年12月8号辅助新版发布后开始植入辅助工具,其间有过停用,但巨大的利益驱使不法分子在12月25号重新开放辅助及挖矿功能。
2018年1月杀毒软件对tlMiner挖矿行为及传播来源进行曝光,随即在3月份配合守护者计划安全团队,协助山东警方快速打击木马作者,并在4月初打掉这个链条顶端的黑产公司。据统计,该团伙合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金)、BCD(比特币钻石)等各种数字加密货币超过2000万枚,非法获利逾千万。
案例2:藏身《荒野行动》辅助的挖矿木马
2018年2月,杀毒软件发现一款门罗币挖矿木马藏身在上百款《荒野行动》辅助二次打包
程序中传播,并在2月中下旬通过社交、网盘等渠道传播,出现明显上涨趋势。
2018年6月,致力于传播病毒的病毒作者xiaoba也盯上了《荒野求生》辅助外挂,在网站上提供荒野行动游戏辅助,并将挖矿木马等植入其中。一旦从该网站下载运行所谓的吃鸡辅助,电脑CPU会被大量占用挖矿。黎明之前 结局
如果碰巧遇到中毒电脑有比特币、以太坊交易,xiaoba挖矿木马还会监视剪切板,当中毒电脑上发生比特币、以太坊币交易时,病毒会在交易瞬间将收款人地址替换为自己的,从而实现加密货币交易抢劫。
案例3:通杀游戏外挂的520Miner挖矿木马
2018年5月情报中心感知到一款名为“520Miner”的挖矿木马。由于520Miner仅能使用CPU挖取VIT币,对电脑性能要求不高,所有个人PC机都能参与,因此520Miner挖矿团伙通过游戏外挂传播挖矿木马,在上线短短两天,就感染了国内数千台机器。然而从收益来看,木马在几天内总共挖取67枚VIT币,总价值不到一毛钱人民币,可以说是史上最能穷折腾的挖矿木马。
2.应用独特技术逃避拦截
案例1:“美人蝎”矿工通过DNS隧道技术逃避拦截
2018年5月情报中心感知到一款挖矿木马,其隐藏在美女图片当中,利用图片加密传递矿池相关信息,因此得名为“美人蝎”挖矿木马。该木马控制超过2万台肉鸡电脑,分配不同的肉鸡集挖不少于4种数字加密币:BCX(比特无限),XMR(门罗币),BTV(比特票),SC(云储币)等。
木马特点还在于通过DNS隧道返回的信息来获取隐蔽的C2信息。首先通过DNS协议访问一级C2,第一级C2服务器会回应一段text串,解密后得到二级C2地址,DNS协议是建立在UDP协议之上,同时又是系统级协议,很少有杀软会侦测DNS数据是否异常。
3.挖矿木马版本快速升级
案例1:Apache Struts2高危漏洞致企业服务器被入侵安装KoiMiner挖矿木马
2018年7月情报中心发现有黑客利用攻击工具检测网络上存在Apache struts2漏洞(CVE-20
17-5638)服务器,发现存在漏洞的机器后通过远程执行各类指令进行提权、创建账户、系统信息搜集,然后将木马下载器植入,进而利用其下载挖矿木马。
由于挖矿木马netxmr解密代码后以模块名“koi”加载,因此将其命名为KoiMiner。
通过多个相似样本进行对比,发现木马作者在一个月内更新发布了4个挖矿木马版本。
陈奕迅歌词
简单介绍下变化较大的两个版本:
版本1:
2018年11月情报中心发现KoiMiner挖矿木马变种,该变种的挖矿木马已升级到6.0版本,木马作者对部分代码加密的方法来对抗研究人员调试分析,木马专门针对企业SQL Server 服务器的1433端破攻击,攻击成功后植入挖矿木马,并且继续下载SQL爆破工具进行蠕虫式传播。
版本2:
2018年12月情报中心再次检测到KoiMiner活动,此次的样本仍然专门针对企业SQL Server
服务器的1433端破攻击,攻击成功后会首先植入Zegost远程控制木马(知名远控木马Gh0st的修改版本,安装后会导致服务器被黑客完全控制),控制机器进一步植入挖矿木马。 黑客攻击时使用的SQL爆破工具加密方法与7月发现的样本一致,解密后以模块名“koi”加载执行。
通过SQL爆破工具的解压路径“1433腾龙3.0”进行溯源,发现与攻击事件相关联的一个黑客技术论坛(腾龙技术论坛),并通过信息对比确认相关的论坛活跃成员“*aoli**22”,论坛传播的挖矿木马生成器“SuperMiner v1.3.6”,以及该成员注册C2域名使用的姓名和电话号码。
4.暴力入侵多家医院,威胁医疗系统信息安全
案例:多家三甲医院服务器遭暴力入侵,黑客赶走50余款挖矿木马独享挖矿资源
医疗业务系统正在快速实现信息化,医疗业务系统成为黑客攻击的重点。2018年7月情报中心检测到多家三甲医院服务器被黑客入侵,攻击者暴力破解医院服务器的远程登录服务,之后利用有道笔记的分享文件功能下载多种挖矿木马。
攻击者将挖矿木马伪装成远程协助工具Teamviewer运行,并且挖矿木马会检测多达50个常
用挖矿程序的进程,将这些程序结束进程后独占服务器资源挖矿。木马还会通过修改注册表,破坏操作系统安全功能:禁用UAC(用户帐户控制)、禁用Windows Defender,关闭运行危险程序时的打开警告等等。已知样本分析发现,攻击者使用的挖矿木马拥有多个矿池,开挖的山寨加密币包括:门罗币(XMR)、以太坊(ETH)、零币(ZEC)等等,从矿池信息看,目前攻击者已累积获利达40余万元人民币。
5.应用NSA武器攻击,木马、蠕虫狼狈为奸
美国犯罪电影自从NSA武器库工具泄露以来,一直倍受黑客垂青,该工具包经过简单的修改利用便可达到蠕虫式传播病毒的目的。2018年情报中心发现大量的挖矿木马团伙应用NSA武器库工具传播挖矿木马,这使挖矿木马拥有蠕虫病毒的传播能力。
案例1:精通NSA十八般兵器的NSAFtpMiner感染约3万台电脑
2018年9月情报中心发现黑客通过1433端破入侵SQL Server服务器,再植入远程控制木马并安装为系统服务,然后利用远程控制木马进一步加载挖矿木马进行挖矿。随后,黑客还会下载NSA武器攻击工具在内网中攻击扩散,若攻击成功,会继续在内网机器上安装该远程控制木马。
木马加载的攻击模块几乎使用了NSA武器库中的十八般武器:
Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻击)等漏洞攻击工具均被用来进行内网攻击,攻击主进程伪装成“Ftp系统核心服务”,还会利用FTP功能进行内网文件更新。其攻击内网机器后,植入远程控制木马,并继续从C2地址下载挖矿和攻击模块,进行内网扩散感染。
案例2:NSABuffMiner挖矿木马霸占某校园服务器,非法获利115万元
2018年9月情报中心接到用户反馈,某学校内网水卡管理服务器被植入名为的挖矿木马。分析后发现该木马是NSASrvanyMiner挖矿木马的变种,此木马同样利用NSA武器工具在内网攻击传播,而该服务器存在未修复的ms17-010漏洞,因此受到攻击被利用挖矿。查询NSABuffMiner挖矿木马使用钱包信息,发现该钱包累计挖矿收益高达115万元人民币。高考几点考试时间
地理教学反思
案例3:ZombieboyMiner(僵尸男孩矿工)控制7万台电脑挖门罗币
2018年10月情报中心检测到利用ZombieboyTools传播的挖矿木马家族最新活动。木马对公开的黑客工具ZombieboyTools(集成NSA攻击模块)进行修改,然后将其中的NSA攻击模块进行打包利用,对公网以及内网IP进行攻击,并在中招机器执行Payload进一步植入挖矿、RAT(远程访问控制)木马。
通过对比确认从2017年9月以来多家厂商发布的Zombieboy攻击事件以及友商发布的NSASrvanyMiner攻击事件为同一团伙,因此我们将该团伙命名为ZombieboyMiner。情报中心监测发现,ZombieboyMiner(僵尸男孩矿工)木马出现近一年来,已感染超过7万台电脑,监测数据表明该病毒非常活跃。

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。