白癜风的专科 https://yyk.39.net/bj/zhuanke/89ac7.html典型挖矿家族系列分析专题01典型挖矿家族系列分析一Outlaw(亡命徒)挖矿僵尸网络02典型挖矿家族系列分析二TeamTNT挖矿组织0典型挖矿家族系列分析三Sysrv-hello挖矿蠕虫
01引言
随着近些年区块链技术和加密货币等虚拟货币的兴起,挖矿木马的开源导致获取挖矿木马的门槛降低,除大量黑产组织持续运营挖矿木马之外,更有其他此前非运营挖矿木马的黑产组织将运营方向转为挖矿木马,导致挖矿木马的持续活跃。年9月日,国家发展改革委等部门发布关于整治虚拟货币“挖矿”活动的通知[1],明确要求整治虚拟货币挖矿活动,打击挖矿活动已然势在必行。在发文后的这一年里挖矿整治活动效果显著,*企校等组织单位所遭遇的挖矿木马数量持续降低。依据有关数据,年加密货币价格多次下跌、市场价值整体呈现下降趋势,但传播挖矿木马对于攻击者而言仍有利可图,因此,在年中还是有很多小型挖矿木马家族兴起。例如Hezb、“17”和Kthmimu等挖矿木马家族等。
安天CERT将近几年历史跟踪储备的典型流行挖矿木马家族组织梳理形成专题报告,在近几个月依次发布,并持续追踪新的流行挖矿家族。专题报告将详细介绍挖矿木马家族历史演进、详细分析家族样本迭代版本、梳理历史攻击事件、提供感染后排查手段以及公布更多的IoCs,另外我们也会不断完善自身安全产品能力,采取有效技术方案对挖矿木马实施检测和清除,帮助*企校等组织单位有效防护和清除挖矿木马。
02挖矿木马简介
2.1什么是挖矿
“挖矿”是指通过执行工作量证明或其他类似的电脑算法来获取虚拟货币,“矿”代表的是虚拟货币,挖矿的工人通常称为“矿工”。而“挖矿木马”是一种集成化恶意代码,能够通过各种手段将挖矿程序植入受害者的计算机中,在用户不知情的情况下,利用受害者计算机的运算力进行挖矿,从而获取非法收益。这类非法入侵用户计算机的挖矿程序被称作挖矿木马。
挖矿方式有两种:一种是solo式(直接连入中心网络工作),产出收益均归自己所有;另一种是连入矿池,收益与矿池分成。由于连入矿池的技术难度较低并且收益相对稳定,所以挖矿木马通常会采用这种方式。挖矿类型也有两种:一种是被动型挖矿,在用户不知情的情况下被植入挖矿程序,获取的虚拟货币归植入挖矿程序的入侵者所有;另一种是主动型挖矿,人员主动利用计算资产运行挖矿程序,获取的虚拟货币归计算资产所有者或使用者所有。挖矿的本质是计算符合条件的hash值并返回,采用的方式为暴力破解式计算,主要特征表现为消耗主机资源,浪费用户电力资源。
2.2为什么挖矿活动会日益猖獗?
将其与同样很流行的勒索活动进行对比可以发现,相对于勒索软件,挖矿活动收入更加稳定。在勒索事件中,一方面很难精确定位加密到有重要内容的主机,另一方面受害者交付赎金后又不能保证一定得到解锁服务,这就导致了勒索活动的规模和获得的赎金严重不成正比。
而在挖矿活动中,挖矿木马只要运行在计算机上就可以在矿池中获得shares(具体情况要根据矿池的分配模式)并转换成收益。挖矿的难度也比勒索活动要低,其大部分会使用开源的程序并注册一个钱包地址,挖矿过程中不需要投入其他精力便可坐享其成。
另外,虚拟货币的增值性和匿名性也是促使挖矿木马日益猖獗的原因之一。通过虚拟货币不仅可以逃避现实世界的金融追查手段而且还获得了具有增值潜力的货币,可谓一箭双雕,这也是挖矿木马更喜欢匿名货币(例:门罗币)的原因。
2.挖矿木马的危害
通常情况下,受害者会认为挖矿木马只是会让系统卡顿,并不会对自身造成太大的影响,但是挖矿木马除了会让系统卡顿之外,还会降低计算机设备性能和使用寿命,危害组织运营,浪费电力能源。不仅如此,现在的挖矿木马普遍会留置后门,导致受害者主机沦为攻击者的控制节点,以此组建僵尸网络,继而下发命令攻击其他计算机,因此,现阶段的挖矿木马已经不单单是执行挖矿这一简单操作,而是逐步开始利用入侵能力牟取更多非法利益。
0概述
LemonDuck挖矿僵尸网络首次活动于年12月14日,其运营组织采用了供应链传播的方式,即入侵驱动人生更新服务器,替换其中的更新程序下载链接,使得用户在更新驱动人生相关软件时,向用户主机植入该挖矿僵尸网络程序,同时借助永恒之蓝漏洞传播,实现广泛传播。据研究人员披露,其在活动后的两个小时内感染了10万台主机[2]。在运营恶意挖矿木马或僵尸网络领域出现了供应链传播,这引起了大部分网络安全厂商的高度