欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

KSN安全报告:勒索软件和恶意矿工的威胁景观(2016~2018)

来源:本站整理 作者:佚名 时间:2018-09-06 TAG: 我要投稿
百分比和绝对数字都表明,移动挖矿是一种新兴威胁,主要针对发展中国家。原因是网络犯罪分子倾向于选择PC作为目标,因为PC提供的算力远远超过移动设备。粗略地看,移动挖矿软件似乎并不值得担忧。
但是,总体的增长率表明我们应该继续谨慎地监控移动挖矿攻击。此外,我们的研究表明,许多流行恶意软件家族都包含挖矿功能 – 作为附加价值,并且是犯罪分子从用户身上赚钱的另一种方式。臭名昭著的Loapi就是这种情况 ,Loapi是一个包含多个模块的恶意软件,这使得它几乎具有无穷无尽的恶意功能-从加密货币挖掘到DDoS攻击。
还有一个有趣的点:对一个随机选择的手机进行的测试表明,Loapi恶意软件会在受感染的手机上增加繁重的工作量,以至于设备产生过多热量,甚至导致电池变形。显然,恶意软件的作者并不希望这种情况发生,因为他们渴望通过保持恶意软件运行来获得尽可能多的钱!但他们对恶意软件的优化缺失导致了这种意外的物理攻击方式(可能对用户的设备造成严重的损害)。
第三部分. 黑与白之间:灰色软件正在取代恶意软件吗?
现在,挖矿作为网络犯罪分子非法赚钱的一种方式已经使得勒索软件黯然失色。就像其他行业一样,数据最能说明情况。勒索软件再一次成为一种典型的感染媒介。它现在已被商业网络犯罪分子所抛弃,但却被高级攻击者所接受。它从受害者身上赚钱的方式现在已变得费力而又不讨好 – 吸引了大量媒体和国家的关注。看起来犯罪分子越来越多地认为勒索软件已经比不上它带来的麻烦。
那么,网络犯罪分子如何以谨慎、稳定和风险较低的方式来非法赚钱呢? 除了恶意软件外,还有很多赚钱方式 – 通过各种灰色软件、广告软件和恶意矿工。数据已经证明了这一点; 现在让我们来试着了解挖矿如此受欢迎的原因。
1)      盈利模式简单
勒索软件的受害者往往被迫去支付赎金,或者他们可以等待免费的解密工具。而挖矿模式相比之下更简单而且更稳定 – 你攻击你的受害者,通过他们的CPU或GPU算力挖掘加密货币,然后从合法交易所中交易成现金。

图27:挖矿攻击的盈利模式
隐蔽的挖矿攻击中最常用的的两种加密货币是门罗币(XMR)和zcash币。这两者都确保了交易的匿名性,这对攻击者来说非常便利。根据最保守的估计,挖矿网络每月可为其所有者带来高达30,000美元的收益。

图28:一个挖矿僵尸网络的钱包地址
2)      攻击本身较为谨慎
同样,与勒索软件不同,由于其具体的性质和运行规则,大部分人都很难发现他们是否已被恶意矿工所感染。大多数人很少使用到他们计算机的大部分算力; 然后挖矿软件就利用这些70%到80%的空闲算力进行挖矿。此外,如果用户启动了一项需要资源的任务(例如视频游戏),一些恶意矿工还具有降低挖矿算力或停止挖矿的特殊功能,使得用户更难发现。
通常恶意矿工还附带有保证持久性的额外功能,例如每次开启计算机时自动启动,并且在用户不知情的情况下运行。
这些功能可能包括,例如:
· 尝试关闭安全软件;
· 跟踪当前启动的所有程序,并在监控系统或进程的程序启动时暂停运行。
·  确保硬盘上始终存在挖矿软件的备份,并在挖矿软件被卸载时重新安装
3)    现在很容易开发自己的挖矿软件
对挖矿感兴趣的人可以得到他们所需要的一切:
· 可用的第三方项目
· 公开的矿池
· 多种挖矿软件生成器
结果就是,恶意矿工同广告软件、破解游戏以及盗版内容一起,被安装在消费者以及企业的电脑上。由于现在存在许多可用的第三方项目、公开的矿池以及挖矿软件生成器,犯罪分子生成恶意矿工已经十分容易。另一种方式是网页挖矿,网络犯罪分子将挖矿脚本植入网站,以在用户访问该网站时进行挖矿。还有一些犯罪分子更具有选择性,他们选择利用漏洞在大型公司的服务器上安装恶意矿工,而不是试图去感染更多的个人电脑。部分网络犯罪分子在企业网络中安装恶意矿工的方式十分精巧复杂,就像APT攻击一样。
就像不久前勒索软件那样,挖矿软件作者也可能会转向有针对性的攻击以赚取更多的金钱。这种情况是否会发生,让我们拭目以待。
PS. 对恶意矿工的传播方式保持警惕
最后但依然重要的是,恶意矿工的传播方式值得进行讨论。其主要的传播方式是社交工程。

图29:telegram的一个频道中的挖矿软件生成器的广告,宣称可以提供在线赚钱的机会
通常,攻击者与“潜在有害的软件”(PUA)项目进行合作,以传播恶意矿工。然而,也有一些小型犯罪集团试图通过不同的社交工程策略来传播挖矿软件,例如假彩票等。在这些场景中,受害者需要从一个文件共享服务下载一个随机数生成器,并在计算机上运行以参与其中。简单的诡计,但很有效。
另一种流行的模式是通过用户的浏览器使用脚本进行挖矿。例如,2017年我们的安全解决方案共阻止了超过7000万次网页挖矿攻击。最常被犯罪分子利用的挖矿脚本是Coinhive,该脚本通常被挂在流量较大的网站上。用户访问该网站的时间越长,攻击者赚的钱就越多。大多数情况下涉及Coinhive的挖矿攻击都与网站渗透有关,例如海盗湾事件、YouTube广告以及UFC Fight Pass挖矿事件。无论怎样,该挖矿脚本本身是合法的。
还有一些犯罪团伙,他们根本不需要去向普通用户分发恶意矿工,而是瞄准大型企业的服务器。例如,利用永恒之蓝漏洞在内网传播的Wannamine共赚取了约9000个门罗币(价值约200万美元)。此外,第一个使用永恒之蓝的恶意矿工是Adylkuzz。在之前的研究中,我们还介绍过另一个挖矿家族 – Winder – 当它被防病毒软件删除时,它会通过另外的服务来自我恢复。该僵尸网络共赚取了约50万美元。

上一页  [1] [2] [3] [4] [5] [6] [7]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载