中新网3月11日电(记者吴涛)11日,腾讯发布的一份报告显示,虽然以比特币为代表的虚拟加密货币在过去几年经历了“过山车”行情,但在过去的一年里,每月产生的挖矿木马样本数达到百万,远超游戏盗号木马等传统病毒,“求生欲”强烈。
图片:文章中的报道
谁的电脑被挖矿了?
报告显示,辅助插件是2018年挖矿木马最受欢迎的隐藏软件之一。两款流行的网络策略射击游戏都是被挖矿木马“光顾”的,包括流行的“吃鸡”游戏,甚至还有520Miner挖矿木马与一般的kill游戏。
医院也没能逃脱挖矿木马的魔掌。2018年7月,多家三甲医院服务器被非法黑客入侵。攻击者暴力破解医院服务器远程登录服务,然后利用某品牌云笔记的文件共享功能下载多种挖矿木马,最终获利40余万元人民币。
针对企业的攻击趋势在老牌挖矿木马——PhotoMiner上更加明显。这种16年首次发现的病毒在去年4月再次活跃起来。通过入侵控制企业服务器,设置僵尸网络云进行挖矿,累计获得8万枚门罗币,获利惊人的8900万人民币,成为名副其实的“淘金者”。
据介绍,挖矿木马是通过一种特殊的恶意应用程序偷偷安装在用户电脑上的,包括游戏插件、盗版软件和一些激活码生成器等嵌入式程序。一般植入挖矿木马的机器都有CPU占用明显增加、电脑发热、运行速度慢、重启无法解决问题等症状。
NSA攻击过程。图片:文章中的报道
挖矿木马的“求生欲”
数据显示,在非法利益的直接驱动下,挖矿木马不断变换手段。为了减少被用户发现的几率,挖矿木马常见的套路是故意将挖矿时占用的CPU资源控制在一定范围内,并设置为检测任务管理器时注销的特性。
此外,挖矿木马还会使用独特的技术来躲避杀毒软件的拦截。2018年5月出现的“美女蝎子”挖矿木马,会隐藏在美女图片中。关于矿池的信息将被图片加密,隐藏的C2信息将通过DNS隧道返回的信息获得,以避免软检测。木马控制了2万多台肉鸡电脑,分布不同的肉鸡集群,挖掘至少4种数字加密货币。
为了进一步升级技术手段,挖矿木马还盯上了NSA的兵工厂。该工具包可以通过简单的修改和利用,达到蠕虫状病毒传播的目的。
图片:文章中的报道
如何实现大规模感染?
报告认为,无论是精心选择目标,还是升级技术手段,挖矿木马的核心目的都是感染更多用户的电脑,获取更高的利润。所以挖矿木马在选择攻击通道上也是煞费苦心。
比如电脑和手机同时工作。2018年11月,发现双平台挖矿木马。该木马有Windows和Android双平台版本,可以同时在中毒电脑和手机上运行门罗挖币程序。
哪怕是单台电脑的传播,挖矿木马也想出了扩大范围的新办法。3354已经普遍采用了最高效的传播方式,即网页挂马。过去,盗号木马最多使用网页挂马传播。
此外,还有——的高级版本,通过大规模入侵存在安全漏洞的网站,在网页中嵌入挖矿代码。只要浏览器访问这个页面,电脑就会变成矿工。
对此,报告建议,不要下载来历不明的软件,谨慎使用破解工具和游戏辅助工具;企业用户及时修复服务器组件漏洞;监控设备的CPU和GPU占用情况,部署更完善的安全防御体系。(完)