日前, 星巴克某店wifi和知名啟動工具KMS相繼爆出被植入挖礦木馬, 將這個新興的網路安全殺手推向熱潮。 面對逐漸肆虐的挖礦木馬, 360發佈2017年度挖礦木馬研究報告, 對本年度挖礦木馬的種類、發展趨勢、危害進行全面分析, 並提出了相關防範措施。
“寄生蟲”兩種吸血方式揭秘 “永恆之藍”成助力神器
360發佈的報告中詳細介紹了挖礦木馬的前世今生:數字貨幣的發行直接導致了挖礦木馬的出現。 由於數字貨幣並非由特定的貨幣發行機構發行, 而是由挖礦機程式依據特定演算法通過大量運算所得, 不法分子將挖礦機程式植入受害者的電腦中,
圖一:比特幣2013年-2017年交易價格變化趨勢
如果將明目張膽的勒索軟體比喻成威脅網路安全的惡魔, 那麼潛伏在電腦隱蔽之處的挖礦木馬, 就好比會吸血的“寄生蟲”, 這種“寄生蟲”的斂財方式主要有兩種——僵屍網路和網頁挖礦。
挖礦木馬僵屍網路就是
駭客通過入侵其他電腦植入挖礦木馬, 並通過木馬繼續入侵更多電腦, 從而建立起龐大的傀儡電腦網路。 2017年同樣是挖礦木馬僵屍網路大爆發的一年, 出現了“Bondnet”, “Adylkuzz”, “隱匿者”等多個大規模挖礦木馬僵屍網路。
圖二:挖礦木馬僵屍網路配置“永恆之藍”模組情況
報告中指出, 早在WannaCry之前, 就有挖礦木馬利用“永恆之藍”進行傳播, 例如“隱匿者”僵屍網路, 就是憑藉“永恆之藍”站穩腳跟, 在2017年4月底爆發式增長。 “永恆之藍”因為攻擊無需載體、目標廣的絕對優勢, 成為本年度挖礦木馬僵屍網路的標配。
在2017年9月, 因盜版資源集散地Pirate Bay(海盜灣)被發現在網頁中植入挖礦腳本, 網頁挖礦開始走入大眾視線。 正常情況下的使用者流覽器負責解析資源和腳本, 並為用戶呈現最終解析結果, 然而植入挖礦腳本的流覽器, 解析物件就變成了挖礦腳本, 利用使用者電腦資源進行挖礦從而獲利。
圖三:2017年11月-12月不同挖礦腳本占比
據報告介紹, 網頁挖礦會導致使用者電腦資源被嚴重佔用, 出現電腦卡慢、甚至死機等情況, 嚴重影響使用者電腦的正常使用。 目前發現的網頁挖礦腳本有Coinhive、JSEcoin、reasedoper、LMODR.BIZ等眾多種類, 報告表明, 由於Coinhive腳本的便捷性, 使其成為大多數不法分子的選擇。
應對挖礦木馬斂財暗流 360安全專家支招防範
數位貨幣交易價格的走高, 加上自身不易被察覺的特點, 挖礦木馬數量在近兩年急劇增加, 如同附骨之疽, 成為威脅網路安全的另一大殺手, 對此, 該報告針對挖礦木馬的兩種傳播方式分別支招防範。
圖四:2013年-2017年國內披露的挖礦木馬攻擊事件
挖礦木馬僵屍網路主要攻擊物件為伺服器, 由於報告中提到, 一般規模龐大的僵屍網路都有著極強的弱口令爆破能力, 因此伺服器應當避免使用弱口令。
同時, 管理者應及時為作業系統和相關服務打補丁, 避免僵屍網路利用漏洞攻擊武器進行攻擊, 定期維護伺服器, 可以從CPU使用率、執行任務可疑項等方面檢查持續駐留的挖礦木馬。
網頁挖礦腳本一般只針對PC端, 因此用戶防範挖礦時, 應關注流覽網頁時的CPU使用率, 如果電腦CPU使用率飆升且大部分來自於流覽器, 那麼網頁很可能被嵌入挖礦腳本。 此外, 使用者還需儘量避免訪問被標記的高危網站, 一般主流流覽器和殺毒軟體都能夠對存在挖礦行為的網頁進行標記, 使用者不訪問高危網站就能一定程度避免挖礦木馬的攻擊。
儘管網頁挖礦比起僵屍網路更容易暴露,但是在利益的驅使下,仍有許多網站被植入挖礦腳本,其中色情網站因為高訪問量成為重點植入對象。報告中指出,網頁挖礦因為其隱蔽性較低,未來極有可能轉移到網頁和用戶端遊戲之中,以遊戲的高消耗率掩蓋挖礦運作,因此,移動平臺應該警惕挖礦木馬,及時作出相應防範。
使用者不訪問高危網站就能一定程度避免挖礦木馬的攻擊。儘管網頁挖礦比起僵屍網路更容易暴露,但是在利益的驅使下,仍有許多網站被植入挖礦腳本,其中色情網站因為高訪問量成為重點植入對象。報告中指出,網頁挖礦因為其隱蔽性較低,未來極有可能轉移到網頁和用戶端遊戲之中,以遊戲的高消耗率掩蓋挖礦運作,因此,移動平臺應該警惕挖礦木馬,及時作出相應防範。