日前,星巴克某店wifi和知名激活工具KMS相繼爆出被植入挖礦木馬,將這個新興的網絡安全殺手推向熱潮。面對逐漸肆虐的挖礦木馬,360發佈2017年度挖礦木馬研究報告,對本年度挖礦木馬的種類、發展趨勢、危害進行全面分析,並提出了相關防範措施。
“寄生蟲”兩種吸血方式揭秘 “永恆之藍”成助力神器
360發佈的報告中詳細介紹了挖礦木馬的前世今生:數字貨幣的發行直接導致了挖礦木馬的出現。由於數字貨幣並非由特定的貨幣發行機構發行,而是由挖礦機程序依據特定算法通過大量運算所得,不法分子將挖礦機程序植入受害者的計算機中,利用受害者計算機的運算力進行挖礦,這種用戶不知情的挖礦機程序就是挖礦木馬。隨著數字貨幣交易價格的走高,挖礦木馬數量近年來急劇增加。
圖一:比特幣2013年-2017年交易價格變化趨勢
如果將明目張膽的勒索軟件比喻成威脅網絡安全的惡魔,那麼潛伏在計算機隱蔽之處的挖礦木馬,就好比會吸血的“寄生蟲”,這種“寄生蟲”的斂財方式主要有兩種——殭屍網絡和網頁挖礦。
挖礦木馬殭屍網絡就是黑客通過入侵其他計算機植入挖礦木馬,並通過木馬繼續入侵更多計算機,從而建立起龐大的傀儡計算機網絡。2017年同樣是挖礦木馬殭屍網絡大爆發的一年,出現了“Bondnet”,“Adylkuzz”,“隱匿者”等多個大規模挖礦木馬殭屍網絡。
圖二:挖礦木馬殭屍網絡配置“永恆之藍”模塊情況
報告中指出,早在WannaCry之前,就有挖礦木馬利用“永恆之藍”進行傳播,例如“隱匿者”殭屍網絡,就是憑藉“永恆之藍”站穩腳跟,在2017年4月底爆發式增長。“永恆之藍”因為攻擊無需載體、目標廣的絕對優勢,成為本年度挖礦木馬殭屍網絡的標配。
在2017年9月,因盜版資源集散地Pirate Bay(海盜灣)被發現在網頁中植入挖礦腳本,網頁挖礦開始走入大眾視線。正常情況下的用戶瀏覽器負責解析資源和腳本,併為用戶呈現最終解析結果,然而植入挖礦腳本的瀏覽器,解析對象就變成了挖礦腳本,利用用戶計算機資源進行挖礦從而獲利。
圖三:2017年11月-12月不同挖礦腳本佔比
據報告介紹,網頁挖礦會導致用戶計算機資源被嚴重佔用,出現計算機卡慢、甚至死機等情況,嚴重影響用戶計算機的正常使用。目前發現的網頁挖礦腳本有Coinhive、JSEcoin、reasedoper、LMODR.BIZ等眾多種類,報告表明,由於Coinhive腳本的便捷性,使其成為大多數不法分子的選擇。
應對挖礦木馬斂財暗流 360安全專家支招防範
數字貨幣交易價格的走高,加上自身不易被察覺的特點,挖礦木馬數量在近兩年急劇增加,如同附骨之疽,成為威脅網絡安全的另一大殺手,對此,該報告針對挖礦木馬的兩種傳播方式分別支招防範。
圖四:2013年-2017年國內披露的挖礦木馬攻擊事件
挖礦木馬殭屍網絡主要攻擊對象為服務器,由於報告中提到,一般規模龐大的殭屍網絡都有著極強的弱口令爆破能力,因此服務器應當避免使用弱口令。
同時,管理者應及時為操作系統和相關服務打補丁,避免殭屍網絡利用漏洞攻擊武器進行攻擊,定期維護服務器,可以從CPU使用率、執行任務可疑項等方面檢查持續駐留的挖礦木馬。
網頁挖礦腳本一般只針對PC端,因此用戶防範挖礦時,應關注瀏覽網頁時的CPU使用率,如果計算機CPU使用率飆升且大部分來自於瀏覽器,那麼網頁很可能被嵌入挖礦腳本。此外,用戶還需儘量避免訪問被標記的高危網站,一般主流瀏覽器和殺毒軟件都能夠對存在挖礦行為的網頁進行標記,用戶不訪問高危網站就能一定程度避免挖礦木馬的攻擊。
儘管網頁挖礦比起殭屍網絡更容易暴露,但是在利益的驅使下,仍有許多網站被植入挖礦腳本,其中色情網站因為高訪問量成為重點植入對象。報告中指出,網頁挖礦因為其隱蔽性較低,未來極有可能轉移到網頁和客戶端遊戲之中,以遊戲的高消耗率掩蓋挖礦運作,因此,移動平臺應該警惕挖礦木馬,及時作出相應防範。
閱讀更多 互聯觀察 的文章
