文:凱爾
來源:蜂巢財經
編者注:原標題為《五千臺電腦淪為挖礦“黑勞工”!》
加密貨幣業興起,不但帶來一個新興市場,也引誘來唯利是圖的黑產團伙,其中之一是挖礦木馬。
近日,騰訊安全御見威脅情報中心發文稱,他們檢測到通過社會工程騙術傳播的“老虎”挖礦木馬。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“內容”等文件名,在網絡上大肆傳播,不慎點擊者便會立即中招,電腦變得異常卡頓,淪為給黑產團伙挖礦的苦力。
據統計,“老虎”木馬已感染超過5000臺電腦。通過溯源發現,“老虎”的前身為2018年出現的“灰熊”木馬,當時“灰熊”曾感染近10萬主機,通過挖門羅幣,獲取了至少38萬元的非法收入。
除了“灰熊”、“老虎”外,KingMiner、BlueHero、“快Go礦工”等木馬挖礦程序屢見不鮮。有安全人士透露,由于部分木馬已在黑產圈開源,作惡成本降低,病危害加劇,每個人都可能成為“受害者”。
挖礦木馬4SHMiner利用漏洞針對云服務器攻擊 已控制約1.5萬臺服務器挖礦:據騰訊安全威脅情報中心11月18日消息,騰訊主機安全(云鏡)捕獲到挖礦木馬4SHMiner利用Apache Shiro反序列化漏洞CVE-2016-4437針對云服務器的攻擊行動。4SHMiner挖礦團伙入侵成功后會執行命令下載4.sh,然后下載XMRig挖礦木馬并通過Linux service、systemctl服務,系統配置文件$HOME/.profile,crontab定時任務等實現持久化運行。通過其使用的門羅幣錢包算力(約333KH/s)進行推算,4SHMiner挖礦木馬團伙已控制約1.5萬臺服務器進行挖礦,根據算力突變數據可知其在2020.11.16至17日一天之內就新增感染近1萬臺機器。安全專家建議企業及時檢查服務器是否部署了低于1.2.5版本的Apache Shiro,并將其升級到1.2.5及以上版本。[2020/11/19 21:21:43]
業內人士呼吁,在發展加密貨幣行業之時,行業建立者也應共同抵制作惡行為,加強安全普及,提升安全系數。
騰訊主機安全捕獲WatchBogMiner挖礦木馬新變種:騰訊主機安全(云鏡)捕獲WatchBogMiner挖礦木馬最新變種對云主機的攻擊,該變種利用Apache Flink任意Jar包上傳導致遠程代碼執行漏洞入侵云主機,然后下載文件名為“watohdog”的門羅幣挖礦木馬。該挖礦木馬最初的版本是針對Linux服務器利用Nexus Repository Manager、Supervisord、ThinkPHP等服務器組件的遠程代碼執行漏洞進行攻擊。根據其最初下載的挖礦木馬文件名,將其命名為“Watchbog”挖礦木馬。騰訊安全近期檢測到“Watchbog”挖礦木馬的最新變種開始利用Redis未授權訪問漏洞、Apache Flink遠程代碼執行漏洞入侵傳播,根據其算力推測,該變種已控制約8000臺服務器挖礦,挖礦收益折合人民幣約1.2萬元。(騰訊安全威脅情報中心)[2020/10/28]
木馬來襲,五千臺電腦秒變“礦機”
騰訊安全威脅數據:8月份挖礦木馬僵尸網絡表現活躍:9月4日,騰訊安全威脅情報中心發文稱,數據顯示,2020年8月惡意病家族活躍情況有上升趨勢,其中挖礦木馬、僵尸網絡、遠控木馬表現活躍。8月份,挖礦木馬針對Linux系統的攻擊依然嚴重。月初借助Muhstik僵尸網絡傳播的門羅幣挖礦木馬感染數千臺Linux服務器,導致挖礦木馬傳播有上漲情況;8月末,新型挖礦木馬家族MrbMiner通過SQL Server服務器弱口令爆破入侵,該木馬會在Windows系統安裝后門賬戶以便再次入侵,并且會監測任務管理器進程,當用戶啟動“任務管理器”進程查看系統時,挖礦進程會立刻退出,并刪除相關文件,具有很強的反檢測能力。[2020/9/4]
公司文員趙路不耐煩地點擊、移動鼠標,可鼠標箭頭壓根不聽使喚,在電腦屏幕上龜速移動,畫出一道道重影。
前一天,電腦還好好的,突然“變成了磚”,趙路很著急。他打開資源管理器,發現CPU占用率達到了97%,他并沒有運行什么大型軟件,反復重啟多次,問題仍未解決。
竊取加密貨幣的銀行木馬Mekotio正針對拉丁美洲用戶:金色財經報道,根據網絡安全公司ESET發布的報告,被稱為“Mekotio”的銀行木馬正針對拉丁美洲的Windows用戶。該木馬程序現專注于比特幣,而不僅僅是竊取銀行業務詳細信息。這意味著Mekotio的目標目前是個人用戶。Mekotio自2018年3月以來一直處于活動狀態,自那時其,該木馬一直在不斷升級攻擊的能力和范圍,主要針對的是超過51家銀行。[2020/7/18]
遭遇電腦系統嚴重卡頓的趙路并不知道,此時電腦高速運轉的CPU,正在進行大量計算來“挖礦”。這是一個離他認知有一些距離的產業——加密貨幣挖礦。在近十年的時間,該產業在一個還算不得龐大的幣圈里流行。
與趙路有相同遭遇的人不在少數。他們分布在北京、廣東、上海、河南、山東等地,手中的一臺臺電腦開機即挖礦,挖來的幣則落入了黑產團伙的錢包。
這些電腦感染了近期流行的一種木馬病。騰訊安全御見威脅情報中心通過層層解剖發現,黑產團伙挖礦使用的自建礦池包含字符“laofubtc”,因此,他們將其命名為老虎挖礦木馬。據騰訊御見統計,截至12月5日,老虎挖礦木馬已感染超過5000臺電腦。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“內容”、“隱私資料”、“詐騙技巧”等文件名,通過社交網絡發送到目標電腦,受害者雙擊查看文件后,會立刻被安裝遠程控制木馬。
動態 | 加密貨幣代碼庫木馬CoinTicker感染MAC電腦:據bleepingcomputer消息,一個偽裝成macOS加密貨幣代碼庫的木馬CoinTicker正在用戶的MAC電腦上安裝后門程序。安裝后,CoinTicker應用程序允許用戶選擇各種加密貨幣并監控價格。然后它將向macOS菜單欄添加一個信息小部件,可跟隨加密貨幣價格變化實時更新。但是在后臺,該應用程序將自動安裝兩個后門軟件到受感染的MAC上,從而允許攻擊者遠程控制計算機。[2018/10/30]
而后,攻擊者通過遠控木馬控制中電腦,下載挖礦木馬,這些電腦隨即淪為“礦工”。
從手法上看,這是一場在社交網絡上傳播的無差別攻擊。
騰訊御見總結了部分釣魚攻擊文件名,包括“某公司被襲擊”、“小姐姐視頻”、“會員資料”及“變聲器”等。這些抓人眼球的文件名全部與加密貨幣行業沒有直接關聯,中電腦的主人在出于獵奇心理點擊后,就可能成為幫助黑產團伙賺錢的“黑勞工”。
部分釣魚攻擊文件名
騰訊御見披露,病攻擊者非常狡猾。在挖礦木馬文件植入電腦后,該文件將偽裝成音頻設備公司“WavesAudio”,首次執行后,會用垃圾數據“增肥”到150MB,以此逃避殺軟件檢測。
礦機程序文件則被偽裝成顯卡制造商英偉達的驅動程序。一般來說,電腦用戶都認為英偉達的驅動是安全且必要的,不會隨意刪除,因此很難識破和處理。
目前,尚未得知上述黑產團伙通過“老虎木馬”挖的是什么幣。盡管該挖礦程序中出現了“laofubtc”字符,但加密行業人士認為,用電腦CPU挖比特幣的可能性不大,“現在早就過了電腦挖比特幣的時代,5000多臺電腦組成的分布式礦池,可能還不如幾十臺好的礦機。”
“灰熊”變異,黑產團伙作惡不斷
騰訊御見溯源查詢發現,“老虎”挖礦木馬的文件服務器baihes.com指向的IP為46.4.156.44。該IP在2018年就引起過安全人士的注意,當時一個名為“灰熊”的挖礦木馬BearMiner,其域名miner.gsbean.com也與上述IP直接相關。
騰訊御見推測,“灰熊”和“老虎”屬于同一團伙,“老虎”替代“灰熊”挖礦木馬,呈現了新的活躍趨勢。
2018年7月,深信服安全專家首次曝光了“灰熊”挖礦病。“灰熊”偽裝的方式與“老虎”異曲同工,能繞過主流的殺軟件,并且潛伏數月。
“灰熊”的危害性更強,據深信服統計,“灰熊”感染的主機近10萬臺,中主機多表現為異常卡頓,嚴重影響主機性能。
深信服將該病的危害等級劃分為“高危”,查殺難度為“難”。據披露,當時“灰熊”挖的幣主要是匿名幣門羅幣。與比特幣不同,門羅幣的挖礦門檻低,且容易上手,使用家用電腦便可通過CPU和顯卡來挖礦。
此外,由于所有的門羅交易都使用隱蔽地址來保護接收者的隱私,以致黑產團伙挖得的幣,難以追蹤去向。
根據深信服去年7月份的統計數據,“灰熊”病在當時挖了420個門羅幣。按當時927元的幣價換算,攻擊者通過木馬病非法挖礦所得超38萬元,而這花費的成本并不高。
在黑產圈,名為“大灰狼”的遠程控制木馬是較為流行的遠程控制工具,“老虎”病也正是通過這個遠控工具,在受害者的電腦中植入病。
據傳,“大灰狼”的原始作者已去世,但相關代碼已流落黑產圈,還開源共享起來。不同的病木馬團伙對其定制改造后,衍生出諸多變種,無形中減少了黑產團伙開發病的成本。
除了“灰熊”、“老虎”之外,這幾年,KingMiner挖礦木馬、BlueHero挖礦蠕蟲病、“快Go礦工”等木馬程序屢見不鮮。2018年底,湖南衡陽市局石鼓分局還曾破獲一起病挖礦案件,某計算機專業畢業生,通過給網吧電腦裝木馬,遠程挖礦獲利上億元。
“老虎”病入侵示意圖
在社交網絡發達的今天,人們每天都會接觸大量的信息,一不小心,就可能成為黑客的“挖礦苦力”。當你發現電腦突然出現嚴重卡頓的異常,你的電腦很可能在為別人緊鑼密鼓地創造不當利潤。
安全專家提示,互聯網用戶不要隨意打開來歷不明的文件。在點開文件之前,建議打開資源管理器文件夾選項,“查看已知文件的擴展名”。當發現文件圖標為Office、音樂、視頻文件,而文件的擴展名為“exe、com、pif、bat”時,即可立刻判斷為危險文件,應立即刪除,并使用殺軟件查殺。
區塊鏈和數字貨幣的興起,讓“挖礦”成為一個新興產業且逐漸繁榮。利益往往容易滋生罪惡,挖礦木馬、黑客盜幣、暗網交易等事件層出不窮,“黑產”也是這個新興行業的“硬幣背面”。
業內人士呼吁,在新技術、新行業初生之時,行業參與者應共同提升安全技術儲備,共同抵制黑客、黑產的作惡行為;專業的安全團隊不妨成立安全聯盟,向大眾普及基本的網絡安全常識,加強對新病的公示和預警,以免不了解加密貨幣的公眾淪為挖礦的“黑勞工”。
互動時間
你遭遇過挖礦木馬嗎?
大型匯款網絡公司速匯金宣布,基于區塊鏈的支付公司瑞波公司已經完成了最初的承諾,完成了最后一筆2000萬美元投資.
1900/1/1 0:00:00作者:?PoojaRanjan 翻譯:?阿劍 來源:以太坊愛好者 什么是網絡升級/硬分叉?網絡升級就是對以太坊協議的更改,為已有的以太坊協議加入新的規則來加強整個系統.
1900/1/1 0:00:00巴比特現場報道,12月5日,在由海南省工業和信息化廳主辦的“海南自貿港數字經濟和區塊鏈國際合作論壇”上.
1900/1/1 0:00:00據Cointelegraph11月28日報道,英國銀行業巨頭匯豐銀行計劃在2020年3月前將價值200億美元的資產轉移到區塊鏈托管平臺——DigitalVault上.
1900/1/1 0:00:00“中國區塊鏈近期發展重心一定在聯盟鏈。”在11月23日下午舉行的“2019網易未來大會”之“區塊鏈+實體經濟論壇”上,浙江大學區塊鏈研究中心常務副主任、浙江大學軟件學院副院長蔡亮表示.
1900/1/1 0:00:00證券日報記者馬方業李冰 來源:證券日報 作為區塊鏈技術的主要特征之一,“去中心化”被提及的最為頻繁,也被認為最具顛覆性.
1900/1/1 0:00:00