卡巴斯基报告:挖矿僵尸网络受害者数量攀升

2017-09-13 23:56:44 IN小编 MottoIN


 

前情提要

 

Miners是指一类恶意软件,攻击者将它安装在受害者机器上,用来隐蔽的挖掘虚拟货币。受虚拟货币市场环境的影响,这类恶意软件在今年大受欢迎。


尽管攻击者会想办法欺骗不知情的用户、或利用软件漏洞,在他们的电脑上安装Miner软件,但Miner开采虚拟货币的过程本身是完全合法的,只不过Miners挖到的所有的虚拟货币都归攻击者所有,而受害者的计算机系统性能被无辜的消耗了。

 

僵尸矿工的发展趋势

 

仅在上个月,卡巴斯基实验室就发现了好几个大型的挖矿僵尸网络,攻击者的目标是隐蔽地挖掘虚拟货币并从中获利。与此同时,研究人员也观察到越来越多的攻击者试图在企业/组织的服务器上安装Miner软件,一旦成功,公司的业务可能就会受到影响,因为服务器性能被损耗,数据处理速度大幅下降了。

 

总的来说,最近几年,遭遇虚拟货币挖矿软件攻击的用户数量急剧增加。2013年卡巴斯基在全球范围内监测到大约205000个用户受到过此类攻击;2014年,这个数字增至701000个;2017年个前八个月,受攻击的用户数量达到165万。

 

 卡巴斯基实验室检测到的遭遇虚拟货币Miner软件的用户数量(从2011年到2017年)

 

传播方法

 

安装Miner的主要方法是通过广告软件安装器,一般使用社会工程学手段进行传播。也有更复杂的方法,如利用漏洞进行传播,典型的例子是EternalBlue。如果受害者是一个服务器,这对攻击者尤其有利,因为他们将拥有更强大的挖矿能力,最终获利更多。

 

在一些通信消息服务中可以找到以下类型的广告:

 

网上宣传赚钱机会的广告(推广Miner安装器)

 

点击图中的广告链接,用户可以下载一个生成器的试用版本,它为矿工装配一个dropper(滴管),并提供一些额外的功能,例如当用户启动一个流行游戏时,暂停软件。

 

Miner 安装器的截图

 

这里还有提示:想要获得完整版,用户可以联系的VKontakte社交媒体网站群的管理员。

 

运行机制

 

隐蔽的Miners很难被发现,因为它们具有特殊的性质和工作原理。任何用户都可以在自己的计算机上独立的安装这种软件,使用它挖掘虚拟货币也是合法的。

 

通常,隐蔽的Miners还提供其他额外的服务,用于维持其在系统中的持久性、开机时的自动启动、执行隐藏操作,举例如下:

 

  • 尝试关闭安全软件;

  • 跟踪所有应用程序的启动,当监视系统活动或运行进程中的某个程序被启动时,就暂停它们自己的活动;

  • 确保一个采矿软件的副本总是存在于硬盘驱动器,在被删除了后重新恢复它。

 

Miner搜索系统监控工具

 

我们最近发现了一个包括了大约5000 +计算机的僵尸网络,网络中的计算机都安装了Minergate这一合法的矿工控制台,它是在用户不知情的情况下或未同意的情况下被安装到用户的电脑上的。该软件是通过一个广告软件进行分发,安装流程概述如下:

Minergate安装流程示意图

 

  • 用户从一个文件托管服务下载一个安装程序,伪装成提供免费软件或许可产品的激活密钥;

  • 启动时,安装程序将Miner的滴管(EXE)下载到受害者计算机上;

  • 滴管使用srvany.exeMinergate和二进制工具写入到硬盘,当系统开机启动时Miner作为windows driver.exe服务被开启;

  • 滴管创建一个额外的名为directx11b.exe的服务,作用是确保Minergate的的连续性,如果Minergate被删除,滴管会在硬盘上恢复它。

 

滴管在注册表项中存储Miner的配置信息。

 

Minergate的配置数据

 

盈利方案

 

目前挖矿僵尸网络的操控者最偏爱monero (门罗币)zcash,因为这两类虚拟货币的交易匿名性更好。

 

按照最保守的估计,挖矿僵尸网络每月为其操控者带来高达30000美元的收入。

 

挖矿僵尸网络的钱包

 

上面的截图显示了一个挖矿僵尸网络钱包的配置数据。在本文编写的时候,共有2289个门罗币已经从这个钱包转移出去了,按照目前的汇率相当于208,299美元。

 

假设一个普通的台式电脑产生30-100 H /秒的哈希算力,这个挖矿僵尸网络可能包含了4000台计算机。

 

挖矿僵尸网络的哈希算力随时间的变化趋势图

 

结论

 

正如本文所讲述的,网络犯罪分子会抓住一切赚钱的机会,而且他们在网上赚钱的方法是不断演变的。目前虚拟货币市场处于一个爆炸性的增长阶段,在这种情况下,挖矿僵尸程序在用户不知道(或没有征得用户同意)的情况下被安装在用户的电脑上,并执行采矿操作。

 

这种情况不足为怪,由于虚拟货币是一个新兴的资产,从中赚钱很容易。攻击者寻找并利用他人的硬件资源为自己牟取暴利。

 

目标检测到的本文中描述的恶意软件样本:

 

  • win32.bitcoinminer.hxao

  • PDMtrojan.win32.generic

 

IOCs

 

185b23c602e64dc6bcd2a2776095653e

33e46f76bc9bf1ff8380406f111f56af

26f42df21371bd4afe86a643ac0a6b44

25451e6fe30b54b432854bde5b9abb74