比特幣等虛擬貨幣價格的一路飆升讓一些手中有技術(shù)的黑客們坐不住了，一場虛擬貨幣淘金熱正在瘋狂進行中。不過，他們并沒有帶著自己的挖礦機參與這場狂歡，而是“奴役”起了其他無辜用戶的電腦。

事實證明，這還真是個暴利行業(yè)，研究人員在過去 6 個月內(nèi)追蹤了一個挖礦團伙，它們居然利用 1 萬臺感染了挖礦惡意軟件的電腦掙了 700 萬美元。

對于網(wǎng)絡(luò)安全從業(yè)者來說，挖礦惡意軟件的崛起是意料之中，不過此類軟件復(fù)雜度提升如此之快是人們始料未及的。黑客們?yōu)榱吮├?，手里的黑科技可都用上了。研究人員發(fā)現(xiàn)，一些只在高級持續(xù)性威脅（APT）中才會用到的黑客技術(shù)和工具都成了挖礦小組們的標配。

據(jù)雷鋒網(wǎng)了解，卡巴斯基實驗室周一發(fā)布了最新報告，研究人員剖析了三個挖礦小組，它們都是虛擬貨幣潮背景下的變種網(wǎng)絡(luò)罪犯?？ò退够鶎嶒炇已芯咳藛T Anton Ivanov 指出，這些小組行事低調(diào)，完全沒有其它黑客咄咄逼人的氣勢，但他們卻悄悄潛伏在了電腦或數(shù)據(jù)中心里。

研究人員估計，光是去年一年，就有 270 萬用戶中招，成了黑客的免費挖礦機，而 2016 年時感染此類病毒的電腦只有 187 萬臺（增速高達 50%）。

“除了控制個人用戶的電腦，企業(yè)電腦也成了黑客的目標。這些惡意軟件則主要通過廣告軟件、破解游戲和盜版軟件傳播?！毖芯咳藛T在報告中寫道?！按送猓诳瓦€通過被感染網(wǎng)頁上一個特殊的 JavaScript 代碼來入侵受害者電腦，Coinhive（網(wǎng)頁挖礦機）就是其中最為臭名昭著的，很多受歡迎的網(wǎng)站上都被黑客埋了雷。”

▲用別人電腦挖礦成了 2017 年的新潮流

為挖礦搭建的大型僵尸網(wǎng)絡(luò)

卡巴斯基實驗室將第一個挖礦團伙命名為 Group One，這波人為了挖礦牟利，居然利用遍布全球的 1 萬多臺電腦和服務(wù)器搭建了僵尸網(wǎng)絡(luò)。研究人員還表示，這些電腦很容易被控制，只要他們沒打上漏洞補?。ㄈ缬篮阒{），就有可能成為黑客的免費挖礦機。

“該團伙主要挖門羅幣，而且還用上了定制版的挖礦機?！盜vanov 說道?！盀榱顺掷m(xù)獲利，他們甚至用上了類似 Process Hollowing 和操縱 Windows 系統(tǒng)任務(wù)管理器等手法。”

這里所說的 Process Hollowing 是現(xiàn)代安全軟件中常用的進程創(chuàng)建技術(shù)，雖然在使用任務(wù)管理器等工具查看時，這些進程是合法的，但事實上該進程的代碼已被惡意內(nèi)容替代?？ò退够赋?，這是它們第一次在挖礦攻擊中發(fā)現(xiàn)該技術(shù)。

Windows 上的任務(wù)管理器一直都是黑客的突破口，它幾乎成了惡意軟件最好的偽裝。感染了惡意軟件的用戶幾乎沒什么察覺，因為在開始界面中，這些軟件都有著人畜無害的名字。不過，它們啟動后挖起礦來可是一點都不客氣。

攻擊前罪犯們會提前尋找受害者

第二個挖礦團伙（Group Two）與 Group One 不同，他們可“挑剔”的很。

在對該團伙進行分析后，卡巴斯基發(fā)現(xiàn)了 PowerShell 腳本中的硬編碼信息，他們認為“黑客會提前對受害者進行‘空中偵察’，以選定自己的目標。Group Two 如此挑剔主要是怕將惡意軟件植入系統(tǒng)管理者或安全官電腦中，這樣的專家能很快識破他們的伎倆。

由于該團伙用的是私有礦池，因此他們到底賺取了多少暴利還是個未知數(shù)。不過，鑒于該團伙用了不少復(fù)雜技術(shù)且專挑大公司下手，Ivanov 認為他們的牟利金額至少在百萬美元級別。

倒賣計算能力

雷鋒網(wǎng)發(fā)現(xiàn)，Group Three 團伙的玩法又不一樣了，他們搭建起來的挖礦套件自己不用，而是拿到網(wǎng)上售賣。卡巴斯基的報告顯示，該套件基于一個定制的腳本，專挖在暗網(wǎng)上做廣告的門羅幣。

此外，這套挖礦套件還能進行深度定制，購買者可以調(diào)整 CPU 使用率，當受害者打開吃性能的游戲時，它還會自動進入休眠狀態(tài)以防被發(fā)現(xiàn)。

“這些套件的目標是細水長流，普通用戶恐怕很難意識到它們的存在。”研究人員解釋道。

此外，在報告中卡巴斯基還警告稱，曾經(jīng)在黑客界紅極一時的勒索軟件已經(jīng)鋒芒不在，現(xiàn)在最火爆的就是這種虛擬貨幣惡意軟件，而其中的參與者有很多都是從勒索軟件開發(fā)轉(zhuǎn)行的。

這波“轉(zhuǎn)行”也是666。

再現(xiàn)“黑吃黑”，CPU竊賊的相殺

除了上述三個“搞事”挖礦組，雷鋒網(wǎng)發(fā)現(xiàn)，挖礦界也不乏黑吃黑事件。

根據(jù)不久前云頭條的報道，編寫惡意軟件以挖礦加密貨幣的不法分子已開始編寫代碼，將競爭對手趕出已中了招的計算機。

最先注意到這個礦工的是SANS互聯(lián)網(wǎng)風(fēng)暴中心的安全顧問澤維爾?默滕斯（Xavier Mertens）。3月4日，Martens發(fā)現(xiàn)了PowerShell腳本，其在感染機器前先檢查目標機器是32位系統(tǒng)還是64位系統(tǒng)，然后下載名為hpdriver.exe或hpw64的文件（它們佯稱是某種惠普驅(qū)動程序）。如果安裝成功，攻擊腳本會列出正在運行的進程，殺死發(fā)現(xiàn)的其他任何耗用CPU資源的進程。

▲圖片來源：云頭條

“爭奪CPU周期的好戲開始上演了！”Mertens說道。

雷鋒網(wǎng) Via.Threat Post 參考來源：云頭條

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。