2017年底,一款名为“tlMiner”的挖矿木马的传播达到顶峰。12月20日,腾讯电脑管家安全研究员发现近20万台机器受此挖矿木马影响,发现“tlMiner”挖矿木马针对“吃鸡”玩家和装有电脑的网吧构建挖矿集群。
居然以“外挂+木马”的形式开启鹅厂爆款游戏的用户?我受不了了。安全研究人员决定检查一下。没想到,跟进下来,他们发现了很多奇妙的东西。
“高科技”企业搞“副业”2017年,大连当地一家高科技企业偷偷发展起了副业。虽然这是一家所谓的“高科技”企业,但实际上它的员工并不多,规模堪比村口那种带食堂的“夫妻店”。
2017年12月,比特币的涨幅依然惊人。主流货币中,IOTA、XMR(门罗币)、EOS表现非常好。这家企业于是有了采矿的想法。
原来这家所谓的高科技企业主要是推广网络广告。有什么办法可以利用现有的分销渠道做“空手套白狼”一样的矿商?毕竟购买专业矿机,开矿也是要花不少钱的。
这个企业的老板A想了一个办法:建一个僵尸网络,让大家“筹钱”给自己挖矿!
如何结合现有业务构建一个庞大的僵尸网络?
这一年,吃鸡游戏火遍了全中国,A注意到了一个优秀的吃鸡外挂作者B,他付费做的很好。于是,A联系了B,说这里有赚钱的生意。
对A B说,要在B开发的插件中加入挖矿木马,并通过自己强大的分发网络推广其插件,B只要等着分钱就行了。
B一听,感动了。
吃黑的“阴谋”开始了。
a利用自己现有的软件发行渠道,如网吧联盟、论坛、下载站、云盘渠道等来“卖涨”,做得还不错。
不经意间,在半年的时间里,他们构建了一个涉及389万台电脑的僵尸网络群。经常玩游戏的舍友可能知道,这些都是高配置的电脑,简直就是挖矿神器。
此外,这是非常秘密的。
“机智”的挖矿木马“tlMiner”可以检测受感染机器的CPU使用情况,并做出以下决定:
1.一旦机器CPU利用率超过50%,伦家就不希望你挖矿了。
2.如果伦家的挖矿行为要占据你40%的进度,哦,不好意思,我退出。
3.主人在吃鸡?为了不影响你的游戏速度,我们矿界就靠边站了。
4.电脑屏幕,主人玩累了休息?好的,采矿正在全速进行。
“tlMiner”这样做,不是因为它有良心,而是为了尽量减少它对被感染电脑的影响,不被电脑主人发现,延长它的挖矿时间。
所谓“谋财不害命”,专注于自己的主业,就是这个“诚心”挖矿木马。
a颇有商人的“素养”:我们家至少是一家高科技企业,主营业务是广告。所以在这389万台电脑中,只需要选择一百万台高配的电脑来种植挖矿木马,其他的电脑就会老老实实的继续打广告。
A和B初步合作后,效果不错,于是A打了一大笔感谢费到B的账户上。
b看:可以做到!a可以这样坐着收钱,我也可以,不是吗?
于是,“机智”的A在B不知情的情况下,偷偷在自己的外挂软件上开了一个后门,主要是挖HSR(红烧肉币)。此刻,老板A正不知疲倦地继续挖掘XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云存储币)、DGB(非常特殊的币)等伪币。
两个人似乎排除了。
其实为了不让A注意到“好风靠实力”的另一个后门,B也是想尽了办法:毕竟电脑的资源有限,偶尔抢资源挖矿也不错。但就是这样一个后门,让B可以继续躺在A的分销渠道上,赚两百万美元,而A赚一千多万美元。两个人都相安无事。
直到2017年12月的抓捕,这种木马的传播引起了安全研究人员部署在云端的安全大脑的警惕。
安全人员还发现,挖矿木马走的是“白+黑”的套路:一个正常的程序或进程,叫做异常模块。
除了机器捕捉到的零散行为,还有一个直接证据:有近20万台机器受到了挖矿木马的影响。
Goose安全运营部的研究人员收集整理了相关样本、分布、样本来源、攻击者的IP地址、控制服务器的IP地址、域名、病毒下载链接、受害电脑的IP地址信息等等,整理成一份完整的安全威胁信息。判决后认为这是一起严重的网络犯罪,可能危及数百万台电脑。需要通过公司安全管理部门向国家执法部门举报。
于是,电脑管家的运营团队迅速联系腾讯卫士策划部,将这一线索反馈给警方,拔出萝卜带出泥,查出一个由某公司运营的挖矿木马大型黑团伙。
据《法制日报》举报,警方接案后,通过互联网提取外部木马样本,发现木马开发者建立的木马通讯群。初步调查显示,木马开发商是杨。杨建立多个外挂讨论组,在群文件中共享外挂程序,并利用天下网吧论坛版主的身份,将含有木马的外挂程序上传到天下网吧论坛供网民下载,通过网盘共享下载的方式传播外挂程序。
3月8日,杨被逮捕。原来,杨曾受雇于58迅推增值联盟,利用该平台增值客户端非法挖矿,共同牟利。警方查明,58快推增值联盟的幕后公司是大连一家网络科技公司。
4月11日,警方将涉案的16名犯罪嫌疑人全部抓获。随后,警方对大连某网络科技有限公司的下线进行了梳理,并将其抓获。
原来大连网络科技有限公司作为线上提供商,提供技术支持,开发挖矿监控软件和整合挖矿方案,然后在全国发展了数百家线下代理。这些线下公司掌管着中国389万台电脑的庞大资源。大连的这家公司和线下公司一一达成合作协议。它不仅向这389万台电脑发送广告牟利,还从中挑选100多万台进行后台无声挖掘。这两部分的利润在线上和线下公司之间按比例分成。
【区块链木马挖矿黑产流程图】
* *琐事* *一个好奇的编辑宝宝VS腾讯电脑管家高级安全专家李铁军
1.雷锋网:如何评价这个案件的规模?李:大连的“tlMiner”挖矿木马团伙不是我们抓到的最大的,但是它的僵尸网络是全国最大的。
300万僵尸网络,如果搞DDoS攻击,很容易造成网络瘫痪。如果收集肉鸡电脑的个人信息,比如远程控制桌面、摄像头等,后果会很严重。因为现阶段大部分病毒的感染率都不高,能感染几千单位就不错了。几万单位可以称之为严重感染,几百万单位就是超级严重。
2018年4月,我们监测到一个遍布全球的PhotoMiner木马挖矿组织,该组织通过入侵感染FTP服务器,暴力破解SMB服务器来扩大传播。自2016年首次被发现以来,PhotoMiner木马团伙通过门罗币矿累计收入已达惊人的8900万人民币,2018年上半年更是“黄金矿工”。但由于其服务器在国外,涉及问题多,所以很难抓到。
2.雷锋网:在这种情况下,他们建立了一个巨大的僵尸网络。为什么不用它同时提供DDoS攻击服务呢?李:目前国家对DDoS攻击监控很严,后果很严重。这些人是为了赚钱,不想丢了性命。而且,采矿的利润要高得多,所以。
3.雷锋网:现在这些僵尸网络除了玩D和挖矿,还能做什么赚钱?李:我们发现一些人可能通过各种手段获取短视频平台和社交网站的账户,在僵尸粉中组建军队,搞水军,刷评论,赞网络名人。
4.雷锋。com:不同的僵尸网络可能会覆盖容易获得的相同的鸡。如果大家都用来挖矿,资源有限,互相打架怎么办?李:好的会踢掉以前的挖矿木马,开始自己的挖矿生涯。
5.雷锋。com:以前很多木马主要干的是锁主页、打广告、推广软件这些脏活。现在它专注于采矿。用户是不是“大概放心了”?李:目前个人电脑主流配置性能都很强。即使木马已经在挖矿了,但性能恶化的直观感受并不明显。只有当挖矿木马启动挖矿程序,用户启动大型游戏等资源密集型应用时,才会出现电脑速度变慢,温度升高,风扇噪音增大的情况。通过大量的电脑操作,我获得了数字货币奖。挖矿对计算机硬件配置要求较高,主机经常长时间高负荷运行。显卡、主板、内存等硬件会提前报废,对电脑的伤害很大(编辑脑子加了潜台词:傻孩子,但是他没有放松)。
雷锋网注:本案涉案团伙落网信息来自《法制日报》相关报道。