不断发展的双头怪威胁:与勒索软件狼狈为奸的 Cryptojacker

虽然 2016 年和 2017 年早期是毁灭性的勒索软件攻击的高峰期,但在 2017 年末,另一种威胁成为了家庭和企业用户的头号公敌——非法加密采矿。

AcronisTrue Image 2020

就像勒索软件一样,加密采矿工具并非新现象;至少从2011年就已经出现。不需要借助专业或强大的硬件,利用常规计算机资源就可以挖掘比特币。但是,直到 2017 年中后期,当加密数字货币变得火爆之时,网络犯罪分子才开始开发恶意软件来实施这种行为。

当时,数以千计的不同区块链数字货币纷纷涌现,其中大部分的数量和价格火速上涨,而其中一部分只需要使用常规计算机资源就可以挖矿。加密采矿是任何加密货币的基础之一:它可以提供验证加密货币的先前交易所必需的处理能力—一个确保数字货币完整性的过程。加密采矿工具利用其计算机资源解算复杂的算法问题:对于同一种加密货币,第一位算出问题的的矿工通过相同的加密货币获得劳动回报。

这是一种有利可图的生意。如果您投入资源(计算能力力和电力)来验证加密货币的交易,即可获得回报。网络犯罪分子发现如果他们利用加密采矿恶意软件入侵您的计算机,他们就可以利用您的计算机来采矿,而回报归则他们所有。如果将感染的计算机数量乘以 1000 或 100 万,您很容易就会明白网络欺诈分子为何突然如此热衷于加密采矿恶意软件:无本万利,且受害者对他们被掏空的钱包一无所知。

聪明的网络犯罪分子决定捆绑多种类型的恶意软件来成倍提高成功率和利润。如果不知情的用户点击恶意电子邮件中的链接或打开其中的附件,他们可能会感染两种恶意软件:加密采矿恶意软件和勒索软件。攻击者不一定会同时激活这两种恶意软件。如果一台计算机上的文件被勒索软件加密,它将无法再充当加密采矿引擎。但是,攻击者可以选择加密机器的硬件和软件、防恶意软件防护等,这样的攻击方式可能更加有利可图。于是,加密采矿恶意软件突然变得非常受网络犯罪分子欢迎。

Cryptojacker 在 2018 年肆掠全球

防恶意软件供应商 McAfee 在 2017 年第四季度检测到大约 40 万个加密采矿恶意软件样本,而在 2018 年 1 季度,这一数字蹿升至 290 多万个,增长幅度达到令人震惊的 629%。第 2 季度的增长率为 86%,表明新样本数量再次增加了 250 多万个。防恶意软件供应商 TrendMicro 在同一时期发布了一些高度相似的报告:他们发现从 2017 年初开始,此类攻击的数量暴增 956%。

采矿恶意软件图表

更糟糕的是,网络犯罪分子开发的加密采矿恶意软件类型不仅有在受害者的 WindowsLinux 机器上悄悄运行的应用,还有加密货币采矿服务。这些犯罪团体往往悄无声息地在 Web 站点上安装一小段 JavaScript 代码。该代码会利用访问这些问题站点的任何浏览器的部分或全部算力,让计算机可以挖矿,而系统资源遭到利用的访问者对此一无所知,当然也不会获得回报。

这种方法很快便流行起来。2017 年 11 月,据一款热门广告拦截浏览器插件的开发商 AdGuard 报告,浏览器内 Cryptojacking 的增长速率高达 31%。根据几份报告,研究发现有 30000 多个网站运行 Coinhive 之类的加密采矿脚本,全球五分之一的组织受到影响。2 月,Bad Packets 报告发现有 34474 个站点运行最流行的 JavaScript 采矿软件 Coinhive,然而该软件也用于合法加密采矿活动。2018 年 7 月,据 Check Point Software Technologies 报告,他们发现最热门的 10 个恶意软件实例中有 4 个是加密采矿工具。这对全球接近半数的企业造成了影响,加密采矿恶意软件已经取代勒索软件,成为当今规模最大和最流行的网络威胁。

非法加密采矿的工作原理

为了利用 Cryptojacking 恶意软件来感染目标,网络犯罪分子运用了各种技术,从入侵个人用户 PC 和移动设备,到渗透流行网站,然后将恶意软件扩散到访问这些网站的用户设备。利用专门设计的网络钓鱼和鱼叉式网络钓鱼电子邮件引诱用户点击恶意链接或打开恶意附件仍然是十分流行且有效的攻击途径。某些变体包含蠕虫组件,可将恶意软件从一台被感染的机器传播到许多其他通过网络相互连接的机器上。现在,加密采矿恶意软件分销商仍然在利用 EternalBlue 工具。该工具曾用于繁殖 WannaCry 勒索软件,并在 2017 年造成了全球灾难性的感染局面。但是,与勒索软件目标不同,大多数加密采矿受害者对自己被窃取的资源一无所知,只不过隐隐觉得他们的系统性能好像不如以前了。

仿冒软件更新是另一种流行的渗透技术,例如,一种恶意软件下载将自己伪装成 Adobe Flash Player 的合法更新,通过实际更新 Flash 掩盖其踪迹,同时将恶意加密采矿负载注入其中。  另一种广泛传播的方法是将恶意采矿脚本注入合法网站或在许多网站上运行的在线广告代码块中。一旦受害者访问这些网站或其加载在线广告的浏览器负载,就会启动加密采矿进程,从而在用户毫无察觉地情况下窃取其资源和利益。

加密采矿恶意软件开发者从他们以前的错误中吸取了教训。现在,发现消耗受害者CPU容量的100%的恶意软件并不常见,因为这样会严重拖慢受害者设备的速度,引起受害者的警觉并立即采取应对措施。新版本的加密采矿恶意软件会采取更聪明的步骤来隐藏踪迹:只占用受害者 CPU 20% 左右的能力,在用户设备空闲时间执行最占用资源的计算等。因此,这些加密采矿工具仍然可以窃取受害者的资源,并让受害者在很长时间内都难以发觉。

更糟糕的是,犯罪分子并不需要具备的软件工程师的高超技能就能参与非法采矿业务。就像其他恶意软件套件一样,只需付出区区 0.5 美元,就可能在黑市网络上买到 Cryptojacking 即服务。某些加密货币所固有的高度隐私保护和匿名性使得追踪和抓捕这些窃贼难如登天,如门罗币 (Monero) 和大零币 (Zcash)。

例如,门罗币利用公开账本来创建和跟踪数字通证 (Digital Token) 的交换,但对交易进行模糊化处理,从而隐藏通证来源、目标和加密货币的实际交易金额。一项最近的学术研究表明,嵌入式加密货币采矿软件 Coinhive 每月可以产出价值 25 万美元门罗币。德国 RWTH Aachen University 发布的同一项研究认为门罗币在基于浏览器的加密货币采矿中占到 75%。

不可忽视的 Cryptojacker

Smominru

Smominru 可能是最为臭名昭著的 Cryptojacking 僵尸网络,凭借绝佳的持久性再生僵尸网络设计,到 2018 年1 月为止,它已经俘虏了 52 万多台机器,并通过挖掘门罗币获利超过 300 万美元。Smominru 利用了 NSA 泄露的 EternalBlue 漏洞,此前在 2017 年,WannaCry 也是利用该漏洞造成了全球恶意软件肆掠的局面。

BadShell

BadShell 等聪明的 Cryptojacker 会将其踪迹隐藏在合法进程(如 Windows PowerShell)中,并在其中执行隐藏的恶意采矿脚本。很少有传统防病毒程序检测到此威胁,因为默认情况下,它们通常会信任 Windows 签名的可执行程序(如 PowerShell)。

Coinhive

Coinhive 原本用作一款合法网站获利工具(现在仍然是),但它的采矿代码现在已经成为全球最大的 Cryptojacking 威胁。一个有趣的事实是该公司负责 Coinhive 网所有采矿运营中的 30%,甚至包括遭到劫持的情况。

MassMiner

MassMiner 是一个有趣的例子,因为它在一个负载中利用多个漏洞进行传播。通过利用 Oracle WebLogic、Windows SMB 和 Apache Struts 中未修补的缺陷,MassMiner 创建者已经获得了价值 20 万美元的门罗加密货币。

Prowli

Prowli 是一个庞大且声名狼藉的僵尸网络,共包含 4 万多台被感染的 Web 服务器、调制解调器和其他物联网 (IoT) 设备。它利用这些设备来挖掘数字货币并将用户重定向到恶意站点。Prowli 的一部分是暴力攻击密码蠕虫,用于加剧其门罗币采矿软件的传播。在某些情况下,该僵尸网络还会在被感染的系统上安装后门。

WinstarNssMiner

WinstarNssMiner 在 2018 年 5 月的三天内感染了五十多万台系统。如果此 Cryptojacker 在目标系统上检测到有效的防病毒软件,它会保持潜伏状况,而一旦发现系统防御薄弱,则会立即激活自己。更糟糕的是,如果您尝试移除 WinstarNssMiner,它会让被感染的系统崩溃。

Acronis True Image 正在围猎 Cryptojacker

Acronis 从未停止在网络保护方面的投入,在加密采矿现象逐渐发展成全球性普遍威胁的过程中,我们始终保持密切关注。为了保护我们的企业和消费者客户的利益,帮助他们防范加密采矿恶意软件,我们在 Acronis Active Protection 中扩展了防勒索软件功能,同时还集成了应对加密采矿恶意软件的技术。

Acronis Active Protection 的这一增强版本利用高级机器学习技术来识别和终止在 Windows 上运行的所有已知 Cryptojacking 进程。如果发现加密采矿工具,Acronis Active Protection 会通知机器管理员用户可能存在的非法活动。(该功能最初在我们的家庭产品 Acronis True Image 中推出,我们计划在不久的将来将其添加到面向企业的 Acronis Cyber Backup 产品中。)