0
本文作者: 李勤 | 2018-07-19 17:02 |
2017 年底,一款名為“tlMiner”的挖礦木馬的傳播量達(dá)到峰值,12 月 20 日,騰訊電腦管家的安全研究員發(fā)現(xiàn),有近 20 萬(wàn)臺(tái)機(jī)器受到該挖礦木馬影響,并發(fā)現(xiàn)“tlMiner”挖礦木馬瞄準(zhǔn)的是“吃雞”玩家及網(wǎng)吧高配電腦,搭建挖礦集群。
竟然利用“外掛+木馬”的形式搞起了鵝廠爆款游戲的用戶?這事忍不了。安全研究人員決定,一查到底。沒(méi)想到,追蹤起來(lái),他們發(fā)現(xiàn)了許多奇葩事。
2017年,一家大連當(dāng)?shù)馗咝录夹g(shù)企業(yè)偷偷發(fā)展起了副業(yè)。雖然這是一家號(hào)稱“高新技術(shù)”的企業(yè),事實(shí)上,沒(méi)多少員工,和村口開(kāi)小賣部的“夫妻店”規(guī)模不相上下。
2017 年 12 月,比特幣漲幅依舊驚人,主流幣種中,IOTA、XMR(門羅幣)、EOS表現(xiàn)十分亮眼。這家企業(yè)于是打起了挖礦的主意。
本來(lái),這家號(hào)稱高新技術(shù)的企業(yè)是以推廣網(wǎng)絡(luò)廣告為主。有什么辦法可以利用現(xiàn)有分發(fā)渠道,“空手套白狼”一樣的做挖礦的生意呢?畢竟,采購(gòu)專業(yè)礦機(jī),搭建礦場(chǎng)也需要很高的成本。
這家企業(yè)的老板 A 想了個(gè)法子:構(gòu)建僵尸網(wǎng)絡(luò),讓大家“集資”給給自己挖礦!
怎么結(jié)合現(xiàn)有業(yè)務(wù)打造一個(gè)巨大的僵尸網(wǎng)絡(luò)呢?
這一年,吃雞游戲火遍中國(guó),A 注意到了一個(gè)優(yōu)秀的吃雞游戲外掛作者B,這個(gè)人做的付費(fèi)掛不錯(cuò)。于是,A 聯(lián)系上了 B ,稱自己這里有一個(gè)賺錢的好生意。
A 對(duì) B 說(shuō),要在 B 開(kāi)發(fā)的外掛里加入挖礦木馬,通過(guò)自己強(qiáng)大的分銷網(wǎng)絡(luò)推廣其外掛,B只要坐等分錢就好。
B 一聽(tīng),動(dòng)了心。
一場(chǎng)合謀開(kāi)始了。
A 利用自家現(xiàn)有的軟件分發(fā)渠道“賣起了掛”,比如網(wǎng)吧聯(lián)盟、論壇、下載站和云盤渠道等,干得輕車熟路,風(fēng)生水起。
一不小心,在半年的時(shí)間里,他們構(gòu)造了一個(gè)涉及 389 萬(wàn)臺(tái)電腦的僵尸網(wǎng)絡(luò)群,經(jīng)常打游戲的宅友可能知道,這些都是高配電腦,簡(jiǎn)直是挖礦神器。
而且,這事干得極其隱秘。
“機(jī)智”的挖礦木馬“tlMiner”能夠檢測(cè)受感染機(jī)器的CPU使用情況,做出以下決策:
1.機(jī)器CPU利用一旦超過(guò)50%,倫家就不要你挖礦了。
2.如果倫家挖礦的行為要占據(jù)你40%的進(jìn)程,哦,抱歉,我退出。
3.主人在吃雞?為了不影響你的游戲速度,咱們的挖礦大業(yè)靠邊站。
4.電腦息屏,主人玩累了在休息?行,挖礦全速開(kāi)進(jìn)。
“tlMiner”這么做,并不是因?yàn)樗辛夹模?strong>而是為了盡量降低自己對(duì)受感染電腦的影響,不被電腦主人發(fā)現(xiàn),延長(zhǎng)自己挖礦的時(shí)間。。。
所謂“謀財(cái)不害命”,專注自己的主業(yè)說(shuō)的就是這個(gè)“誠(chéng)懇”的挖礦木馬了。
A 還頗有商人的“素養(yǎng)”:咱家好歹是高新技術(shù)企業(yè),主業(yè)還是彈廣告,所以這 389 萬(wàn)臺(tái)電腦里,只要選出 100 萬(wàn)臺(tái)高配電腦種挖礦木馬就行,其他電腦就老老實(shí)實(shí)地繼續(xù)彈廣告吧。
A 和 B 初步合作后,效果不錯(cuò),于是 A 給 B 的帳戶打了一筆不小的感謝費(fèi)。
B 一看:這事可以搞啊!A 居然能這么坐躺收錢,我也可以做是不是?
于是,“機(jī)智”的 B 在 A 不知情的情況下,偷偷在自己的外掛軟件上開(kāi)了個(gè)后門,主挖 HSR(紅燒肉幣)。此刻,老板 A 正樂(lè)此不疲地繼續(xù)盯著 XMR(門羅幣)、SHR(超級(jí)現(xiàn)金幣)、BCD(比特幣鉆石)、SIA(云儲(chǔ)幣)、DGB(極特幣)等山寨幣繼續(xù)挖。
兩人看上去井水不犯河水。
事實(shí)上,為了不讓 A 察覺(jué)“好風(fēng)憑借力”的另一后門,B 也是費(fèi)盡了心思:畢竟電腦的資源是有限的,當(dāng)然偶爾搶搶資源挖礦就好。但就是這樣一個(gè)后門,讓 B 在 A 的分銷渠道上繼續(xù)躺著賺了兩百來(lái)萬(wàn),A 則賺了 1000 多萬(wàn),兩人相安無(wú)事。
直到 2017 年 12 月,這一木馬的傳播量引起了安全研究員在云端部署的安全大腦的警覺(jué)。
安全人員還發(fā)現(xiàn),該挖礦木馬走了“白+黑”的套路:某個(gè)正常的程序或進(jìn)程,調(diào)用了一個(gè)異常的模塊。
除了機(jī)器捕捉到的零散的行為,還有一項(xiàng)直接的證據(jù):近 20 萬(wàn)臺(tái)機(jī)器受到該挖礦木馬影響。
鵝廠安全運(yùn)營(yíng)部門的研究員把相關(guān)的樣本、分布情況、樣本來(lái)源、攻擊者的 IP 地址、控制服務(wù)器的 IP 地址、域名、病毒下載鏈接、受害電腦的 IP 地址信息等等信息收集整理成完整的安全威脅情報(bào)。研判之后認(rèn)為,這是一起威脅嚴(yán)重的網(wǎng)絡(luò)犯罪行為,可能危害上百萬(wàn)臺(tái)電腦。有必要通過(guò)公司安全管理部門向國(guó)家執(zhí)法部門報(bào)告。
于是,電腦管家的運(yùn)營(yíng)團(tuán)隊(duì)趕緊和騰訊守護(hù)者計(jì)劃部門聯(lián)系,將這一線索反饋給了警方,拔出蘿卜帶出泥,找出了一個(gè)公司化運(yùn)營(yíng)的大型挖礦木馬黑色團(tuán)伙。
據(jù)《法制日?qǐng)?bào)》報(bào)道,警方接案后,通過(guò)互聯(lián)網(wǎng)提取到外掛木馬樣本,找到木馬開(kāi)發(fā)者建立的木馬交流群,初步落查發(fā)現(xiàn)該款木馬程序開(kāi)發(fā)者為楊某寶。楊某寶通過(guò)建立了多個(gè)外掛討論群,在群文件中共享外掛程序,利用“天下網(wǎng)吧論壇”版主的身份,將上傳含有木馬的外掛程序到“天下網(wǎng)吧”論壇供網(wǎng)民下載,還有通過(guò)某網(wǎng)盤進(jìn)行分享下載的形式傳播外掛。
3 月 8 日,楊某寶被抓獲。原來(lái),楊某寶曾為 58 迅推增值聯(lián)盟雇傭,利用該平臺(tái)增值客戶端非法挖礦共同獲利。警方順藤摸瓜,發(fā)現(xiàn) 58 迅推增值聯(lián)盟的幕后公司為大連某網(wǎng)絡(luò)科技有限公司。
4 月 11 日,警方抓獲該案全部涉案嫌疑人 16 名。隨后,警方對(duì)大連該網(wǎng)絡(luò)科技有限公司的下線進(jìn)行梳理,并開(kāi)展抓捕。
原來(lái),大連該網(wǎng)絡(luò)科技有限公司作為上線提供技術(shù)支持,研發(fā)了挖礦監(jiān)控軟件、集成挖礦程序,然后發(fā)展了全國(guó)幾百名下線從事代理。這些下線手中掌著全國(guó) 389 萬(wàn)臺(tái)電腦的龐大資源,大連這家公司一一與下線達(dá)成合作協(xié)議,不僅向這 389 萬(wàn)臺(tái)電腦發(fā)送廣告獲利,還選擇其中 100 多萬(wàn)臺(tái)進(jìn)行后臺(tái)靜默挖礦,這兩部分的利潤(rùn)由上線與下線按比例分成。
[區(qū)塊鏈木馬挖礦黑產(chǎn)流程圖]
一個(gè)好奇的編輯寶寶 VS 騰訊電腦管家高級(jí)安全專家李鐵軍
李:位于大連的“tlMiner”挖礦木馬團(tuán)伙,并不是我們捕捉到的規(guī)模最大的一個(gè),但是其構(gòu)建的僵尸網(wǎng)絡(luò)是目前歸案的國(guó)內(nèi)同類案件中規(guī)模最大的一起。
300萬(wàn)臺(tái)規(guī)模的僵尸網(wǎng)絡(luò),如果搞DDoS攻擊,很容易造成網(wǎng)絡(luò)癱瘓。如果搜集肉雞電腦個(gè)人信息,比如遠(yuǎn)程控制桌面、攝像頭,后果也十分嚴(yán)重。因?yàn)楝F(xiàn)階段,絕大多數(shù)病毒的感染量都不高,能感染上千臺(tái)已經(jīng)算不錯(cuò)了,上萬(wàn)臺(tái)稱得上感染嚴(yán)重,百萬(wàn)臺(tái)就是超級(jí)嚴(yán)重了。
2018 年 4 月,我們?cè)O(jiān)控到一個(gè)遍布全球的 PhotoMiner 木馬挖礦組織,該組織通過(guò)入侵感染FTP服務(wù)器、SMB服務(wù)器暴力破解來(lái)擴(kuò)大傳播范圍。自 2016 年首次被發(fā)現(xiàn)至今,PhotoMiner木馬團(tuán)伙通過(guò)門羅幣挖礦累計(jì)收入已達(dá)到令人驚嘆的 8900 萬(wàn)人民幣,是 2018 年上半年的“黃金礦工”,但是,由于其服務(wù)器在國(guó)外,涉及到很多問(wèn)題,抓捕有難度。
李:現(xiàn)在國(guó)家對(duì)DDoS攻擊監(jiān)控十分嚴(yán)密,后果很嚴(yán)重,這些人本就是圖財(cái)不想賠上命,而且挖礦收益大多了,所以。。。
李:我們監(jiān)測(cè)到,還有人可能利用各種手段獲取短視頻平臺(tái)以及社交網(wǎng)站的帳號(hào)組成僵尸粉大軍,搞水軍,刷評(píng)論,捧網(wǎng)紅。。。
李:厲害的會(huì)踢掉之前的挖礦木馬,然后開(kāi)展自己的挖礦大業(yè)。
李:當(dāng)前個(gè)人電腦的主流配置性能很強(qiáng),即使木馬已經(jīng)在挖礦,性能變差的直觀感受也并不明顯。只有挖礦木馬啟動(dòng)挖礦程序,同時(shí)用戶啟動(dòng)較耗資源的應(yīng)用,比如大型游戲,此時(shí)才會(huì)感覺(jué)電腦速度變慢、溫度升高、風(fēng)扇噪音增加等現(xiàn)象。通過(guò)大量計(jì)算機(jī)運(yùn)算獲取數(shù)字貨幣獎(jiǎng)勵(lì),挖礦對(duì)電腦硬件配置要求比較高,主機(jī)經(jīng)常長(zhǎng)期高負(fù)荷運(yùn)轉(zhuǎn),顯卡、主板、內(nèi)存等硬件會(huì)提前報(bào)廢,對(duì)電腦的損害極大(編輯腦補(bǔ)了潛臺(tái)詞:傻孩子,并沒(méi)有松口氣)。
雷鋒網(wǎng)注:該案件涉案團(tuán)伙落網(wǎng)信息參考自《法制日?qǐng)?bào)》相關(guān)報(bào)道。
雷峰網(wǎng)原創(chuàng)文章,未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。