2017 年底，一款名為“tlMiner”的挖礦木馬的傳播量達(dá)到峰值，12 月 20 日，騰訊電腦管家的安全研究員發(fā)現(xiàn)，有近 20 萬(wàn)臺(tái)機(jī)器受到該挖礦木馬影響，并發(fā)現(xiàn)“tlMiner”挖礦木馬瞄準(zhǔn)的是“吃雞”玩家及網(wǎng)吧高配電腦，搭建挖礦集群。

竟然利用“外掛＋木馬”的形式搞起了鵝廠爆款游戲的用戶？這事忍不了。安全研究人員決定，一查到底。沒(méi)想到，追蹤起來(lái)，他們發(fā)現(xiàn)了許多奇葩事。

“高新技術(shù)”企業(yè)搞“副業(yè)”

2017年，一家大連當(dāng)?shù)馗咝录夹g(shù)企業(yè)偷偷發(fā)展起了副業(yè)。雖然這是一家號(hào)稱“高新技術(shù)”的企業(yè)，事實(shí)上，沒(méi)多少員工，和村口開(kāi)小賣部的“夫妻店”規(guī)模不相上下。

2017 年 12 月，比特幣漲幅依舊驚人，主流幣種中，IOTA、XMR（門羅幣）、EOS表現(xiàn)十分亮眼。這家企業(yè)于是打起了挖礦的主意。

本來(lái)，這家號(hào)稱高新技術(shù)的企業(yè)是以推廣網(wǎng)絡(luò)廣告為主。有什么辦法可以利用現(xiàn)有分發(fā)渠道，“空手套白狼”一樣的做挖礦的生意呢？畢竟，采購(gòu)專業(yè)礦機(jī)，搭建礦場(chǎng)也需要很高的成本。

這家企業(yè)的老板 A 想了個(gè)法子：構(gòu)建僵尸網(wǎng)絡(luò)，讓大家“集資”給給自己挖礦！

怎么結(jié)合現(xiàn)有業(yè)務(wù)打造一個(gè)巨大的僵尸網(wǎng)絡(luò)呢？

這一年，吃雞游戲火遍中國(guó)，A 注意到了一個(gè)優(yōu)秀的吃雞游戲外掛作者B，這個(gè)人做的付費(fèi)掛不錯(cuò)。于是，A 聯(lián)系上了 B ，稱自己這里有一個(gè)賺錢的好生意。

A 對(duì) B 說(shuō)，要在 B 開(kāi)發(fā)的外掛里加入挖礦木馬，通過(guò)自己強(qiáng)大的分銷網(wǎng)絡(luò)推廣其外掛，B只要坐等分錢就好。

B 一聽(tīng)，動(dòng)了心。

黑吃黑的“合謀”

一場(chǎng)合謀開(kāi)始了。

A 利用自家現(xiàn)有的軟件分發(fā)渠道“賣起了掛”，比如網(wǎng)吧聯(lián)盟、論壇、下載站和云盤渠道等，干得輕車熟路，風(fēng)生水起。

一不小心，在半年的時(shí)間里，他們構(gòu)造了一個(gè)涉及 389 萬(wàn)臺(tái)電腦的僵尸網(wǎng)絡(luò)群，經(jīng)常打游戲的宅友可能知道，這些都是高配電腦，簡(jiǎn)直是挖礦神器。

而且，這事干得極其隱秘。

“機(jī)智”的挖礦木馬“tlMiner”能夠檢測(cè)受感染機(jī)器的CPU使用情況，做出以下決策：

1.機(jī)器CPU利用一旦超過(guò)50%，倫家就不要你挖礦了。

2.如果倫家挖礦的行為要占據(jù)你40%的進(jìn)程，哦，抱歉，我退出。

3.主人在吃雞？為了不影響你的游戲速度，咱們的挖礦大業(yè)靠邊站。

4.電腦息屏，主人玩累了在休息？行，挖礦全速開(kāi)進(jìn)。

“tlMiner”這么做，并不是因?yàn)樗辛夹模?strong>而是為了盡量降低自己對(duì)受感染電腦的影響，不被電腦主人發(fā)現(xiàn)，延長(zhǎng)自己挖礦的時(shí)間。。。

所謂“謀財(cái)不害命”，專注自己的主業(yè)說(shuō)的就是這個(gè)“誠(chéng)懇”的挖礦木馬了。

A 還頗有商人的“素養(yǎng)”：咱家好歹是高新技術(shù)企業(yè)，主業(yè)還是彈廣告，所以這 389 萬(wàn)臺(tái)電腦里，只要選出 100 萬(wàn)臺(tái)高配電腦種挖礦木馬就行，其他電腦就老老實(shí)實(shí)地繼續(xù)彈廣告吧。

A 和 B 初步合作后，效果不錯(cuò)，于是 A 給 B 的帳戶打了一筆不小的感謝費(fèi)。

B 一看：這事可以搞啊！A 居然能這么坐躺收錢，我也可以做是不是？

于是，“機(jī)智”的 B 在 A 不知情的情況下，偷偷在自己的外掛軟件上開(kāi)了個(gè)后門，主挖 HSR（紅燒肉幣）。此刻，老板 A 正樂(lè)此不疲地繼續(xù)盯著 XMR（門羅幣）、SHR（超級(jí)現(xiàn)金幣）、BCD（比特幣鉆石）、SIA（云儲(chǔ)幣）、DGB（極特幣）等山寨幣繼續(xù)挖。

兩人看上去井水不犯河水。

事實(shí)上，為了不讓 A 察覺(jué)“好風(fēng)憑借力”的另一后門，B 也是費(fèi)盡了心思：畢竟電腦的資源是有限的，當(dāng)然偶爾搶搶資源挖礦就好。但就是這樣一個(gè)后門，讓 B 在 A 的分銷渠道上繼續(xù)躺著賺了兩百來(lái)萬(wàn)，A 則賺了 1000 多萬(wàn)，兩人相安無(wú)事。

落網(wǎng)

直到 2017 年 12 月，這一木馬的傳播量引起了安全研究員在云端部署的安全大腦的警覺(jué)。

安全人員還發(fā)現(xiàn)，該挖礦木馬走了“白＋黑”的套路：某個(gè)正常的程序或進(jìn)程，調(diào)用了一個(gè)異常的模塊。

除了機(jī)器捕捉到的零散的行為，還有一項(xiàng)直接的證據(jù)：近 20 萬(wàn)臺(tái)機(jī)器受到該挖礦木馬影響。

鵝廠安全運(yùn)營(yíng)部門的研究員把相關(guān)的樣本、分布情況、樣本來(lái)源、攻擊者的 IP 地址、控制服務(wù)器的 IP 地址、域名、病毒下載鏈接、受害電腦的 IP 地址信息等等信息收集整理成完整的安全威脅情報(bào)。研判之后認(rèn)為，這是一起威脅嚴(yán)重的網(wǎng)絡(luò)犯罪行為，可能危害上百萬(wàn)臺(tái)電腦。有必要通過(guò)公司安全管理部門向國(guó)家執(zhí)法部門報(bào)告。

于是，電腦管家的運(yùn)營(yíng)團(tuán)隊(duì)趕緊和騰訊守護(hù)者計(jì)劃部門聯(lián)系，將這一線索反饋給了警方，拔出蘿卜帶出泥，找出了一個(gè)公司化運(yùn)營(yíng)的大型挖礦木馬黑色團(tuán)伙。

據(jù)《法制日?qǐng)?bào)》報(bào)道，警方接案后，通過(guò)互聯(lián)網(wǎng)提取到外掛木馬樣本，找到木馬開(kāi)發(fā)者建立的木馬交流群，初步落查發(fā)現(xiàn)該款木馬程序開(kāi)發(fā)者為楊某寶。楊某寶通過(guò)建立了多個(gè)外掛討論群，在群文件中共享外掛程序，利用“天下網(wǎng)吧論壇”版主的身份，將上傳含有木馬的外掛程序到“天下網(wǎng)吧”論壇供網(wǎng)民下載，還有通過(guò)某網(wǎng)盤進(jìn)行分享下載的形式傳播外掛。

3 月 8 日，楊某寶被抓獲。原來(lái)，楊某寶曾為 58 迅推增值聯(lián)盟雇傭，利用該平臺(tái)增值客戶端非法挖礦共同獲利。警方順藤摸瓜，發(fā)現(xiàn) 58 迅推增值聯(lián)盟的幕后公司為大連某網(wǎng)絡(luò)科技有限公司。

4 月 11 日，警方抓獲該案全部涉案嫌疑人 16 名。隨后，警方對(duì)大連該網(wǎng)絡(luò)科技有限公司的下線進(jìn)行梳理，并開(kāi)展抓捕。

原來(lái)，大連該網(wǎng)絡(luò)科技有限公司作為上線提供技術(shù)支持，研發(fā)了挖礦監(jiān)控軟件、集成挖礦程序，然后發(fā)展了全國(guó)幾百名下線從事代理。這些下線手中掌著全國(guó) 389 萬(wàn)臺(tái)電腦的龐大資源，大連這家公司一一與下線達(dá)成合作協(xié)議，不僅向這 389 萬(wàn)臺(tái)電腦發(fā)送廣告獲利，還選擇其中 100 多萬(wàn)臺(tái)進(jìn)行后臺(tái)靜默挖礦，這兩部分的利潤(rùn)由上線與下線按比例分成。

[區(qū)塊鏈木馬挖礦黑產(chǎn)流程圖]

＊＊花絮＊＊

一個(gè)好奇的編輯寶寶 VS 騰訊電腦管家高級(jí)安全專家李鐵軍

1.雷鋒網(wǎng)：如何評(píng)價(jià)這起案件的規(guī)模？

李：位于大連的“tlMiner”挖礦木馬團(tuán)伙，并不是我們捕捉到的規(guī)模最大的一個(gè)，但是其構(gòu)建的僵尸網(wǎng)絡(luò)是目前歸案的國(guó)內(nèi)同類案件中規(guī)模最大的一起。

300萬(wàn)臺(tái)規(guī)模的僵尸網(wǎng)絡(luò)，如果搞DDoS攻擊，很容易造成網(wǎng)絡(luò)癱瘓。如果搜集肉雞電腦個(gè)人信息，比如遠(yuǎn)程控制桌面、攝像頭，后果也十分嚴(yán)重。因?yàn)楝F(xiàn)階段，絕大多數(shù)病毒的感染量都不高，能感染上千臺(tái)已經(jīng)算不錯(cuò)了，上萬(wàn)臺(tái)稱得上感染嚴(yán)重，百萬(wàn)臺(tái)就是超級(jí)嚴(yán)重了。

2018 年 4 月，我們?cè)O(jiān)控到一個(gè)遍布全球的 PhotoMiner 木馬挖礦組織，該組織通過(guò)入侵感染FTP服務(wù)器、SMB服務(wù)器暴力破解來(lái)擴(kuò)大傳播范圍。自 2016 年首次被發(fā)現(xiàn)至今，PhotoMiner木馬團(tuán)伙通過(guò)門羅幣挖礦累計(jì)收入已達(dá)到令人驚嘆的 8900 萬(wàn)人民幣，是 2018 年上半年的“黃金礦工”，但是，由于其服務(wù)器在國(guó)外，涉及到很多問(wèn)題，抓捕有難度。

2.雷鋒網(wǎng)：在這起案件中，他們構(gòu)建了一個(gè)龐大的僵尸網(wǎng)絡(luò)，為什么不同時(shí)用來(lái)提供DDoS攻擊服務(wù)？

李：現(xiàn)在國(guó)家對(duì)DDoS攻擊監(jiān)控十分嚴(yán)密，后果很嚴(yán)重，這些人本就是圖財(cái)不想賠上命，而且挖礦收益大多了，所以。。。

3.雷鋒網(wǎng)：現(xiàn)在這些僵尸網(wǎng)絡(luò)除了打D、挖礦，還有什么生財(cái)之道？

李：我們監(jiān)測(cè)到，還有人可能利用各種手段獲取短視頻平臺(tái)以及社交網(wǎng)站的帳號(hào)組成僵尸粉大軍，搞水軍，刷評(píng)論，捧網(wǎng)紅。。。

4.雷鋒網(wǎng)：不同的僵尸網(wǎng)絡(luò)可能覆蓋同一些容易獲取的肉雞，要是大家都用它來(lái)挖礦，資源有限，互相打架怎么辦？

李：厲害的會(huì)踢掉之前的挖礦木馬，然后開(kāi)展自己的挖礦大業(yè)。

5.雷鋒網(wǎng)：以前很多木馬主要干些鎖主頁(yè)、彈廣告、推廣軟件的臟活，現(xiàn)在它專注挖礦，用戶是不是“可能還能松了口氣”？

李：當(dāng)前個(gè)人電腦的主流配置性能很強(qiáng)，即使木馬已經(jīng)在挖礦，性能變差的直觀感受也并不明顯。只有挖礦木馬啟動(dòng)挖礦程序，同時(shí)用戶啟動(dòng)較耗資源的應(yīng)用，比如大型游戲，此時(shí)才會(huì)感覺(jué)電腦速度變慢、溫度升高、風(fēng)扇噪音增加等現(xiàn)象。通過(guò)大量計(jì)算機(jī)運(yùn)算獲取數(shù)字貨幣獎(jiǎng)勵(lì)，挖礦對(duì)電腦硬件配置要求比較高，主機(jī)經(jīng)常長(zhǎng)期高負(fù)荷運(yùn)轉(zhuǎn)，顯卡、主板、內(nèi)存等硬件會(huì)提前報(bào)廢，對(duì)電腦的損害極大（編輯腦補(bǔ)了潛臺(tái)詞：傻孩子，并沒(méi)有松口氣）。

雷鋒網(wǎng)注：該案件涉案團(tuán)伙落網(wǎng)信息參考自《法制日?qǐng)?bào)》相關(guān)報(bào)道。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。