挖礦劫持程式與勒索軟體:相伴相生的連體威脅日趨險惡

毀滅性的勒索軟體攻擊在 2016 年與 2017 年初達到高峰,不過到了 2017 年底,另一股威脅勢力成為家庭使用者與企業的頭號麻煩,那就是非法挖礦。

AcronisTrue Image 2020

就像勒索軟體一樣,挖礦軟體早已不是新聞。在無須專業或高效能硬體的協助下就能運用電腦資源來挖掘比特幣的能力,至少在 2011 年就已經問世。一直到了 2017 年中後期加密貨幣興起後,網路罪犯才開始開發惡意軟體來代勞。

當時,上千種採用區塊鏈技術的數位貨幣陸續出現,許多貨幣的發行數量與募集資金直上雲霄,有些甚至能藉助一般電腦的資源進行挖掘。挖礦是所有加密貨幣的基礎之一:提供驗證加密貨幣前次交易的處理能力,也是確保數位貨幣完整性的程序。挖礦軟體使用它們的電腦資源解決複雜的運算問題:率先解答的礦工能獲得以相同加密貨幣支付的報酬。

如果有人付錢請您張羅資源 (運算能力與電力) 來驗證加密貨幣交易,這何嘗不是一門有利可圖的產業。網路罪犯靈機一動,只要讓您的電腦感染挖礦惡意軟體,您的電腦就要為他們做足苦力,他們則坐享其成。這樣的模式乘以 1,000 部或上百萬部受感染的電腦,不難想像為什麼這麼多心術不正的人會爭先投入這股挖礦惡意軟體風潮:因為報酬極高,而且被害人通常不知道自己口袋裡的東西已經被扒走了。

腦筋動得快的網路罪犯想到搭配多種惡意軟體的方法,這樣他們的成功率與獲利就能倍數增加。當不設防的使用者點擊連結或開啟惡意電子郵件中的附件時,會感染兩種惡意軟體:挖礦惡意軟體與勒索軟體。攻擊者不會同時發動兩種攻擊 (因為檔案遭到勒索軟體加密的電腦,不能當做挖礦引擎),而是根據電腦的硬體與軟體設定、惡意軟體防禦能力,以及哪種攻擊能獲得最大利益等因素來選擇攻擊模式。挖礦惡意軟體瞬間成為網路罪犯界的新寵兒。

挖礦劫持程式的數量在 2018 年急遽攀升

惡意軟體防護廠商 McAfee 在 2017 年第四季偵測到約 400,000 個挖礦惡意軟體樣本。到了 2018 年第一季,樣本數量達到逾 290 萬個,成長幅度為驚人的 629%。第二季的成長率為 86%,代表有超過 250 萬個新樣本問世。惡意軟體防護廠商 TrendMicro 曾經針對同一時期發佈非常類似的報告:他們發現,這類攻擊的次數在 2017 年後增加了 956%。

挖礦惡意軟體圖表

更糟糕的是,挖礦惡意軟體已開發出一套獨特的型態,它們不只會在被害人的 WindowsLinux 電腦上像應用程式般暗地執行,還會成為加密貨幣挖礦服務。這些犯罪集團會在網站上偷偷安裝一小段 JavaScript。當訪客造訪有問題的網站時,程式碼會使用瀏覽器的部分或所有運算能力,將電腦加入挖掘加密貨幣的行列。貢獻系統資源的訪客不僅渾然不覺,而且一點好處也分不到。

這個方法很快地傳開了。2017 年 11 月,根據熱門廣告封鎖瀏覽器外掛程式開發商 AdGuard 的報告,瀏覽器內部挖礦劫持的成長率來到 31%。他們的研究發現,有超過 30,000 個網站執行 Coinhive 之類的挖礦指令碼。其他報告也指出,全世界有五分之一的組織感染 Coinhive。在 2 月,Bad Packets Report 發現 34,474 個執行 Coinhive 的網站,而這個最受歡迎的 JavaScript 挖礦程式同時也用於合法挖礦活動。2018 年 7 月,Check Point Software Technologies 的報告顯示,他們發現的前 10 大惡意軟體例項當中有 4 個是挖礦軟體。挖礦惡意軟體感染了全球將近半數的企業,取代勒索軟體成為當今規模最大、最氾濫的網路威脅。

非法挖礦的原理

網路罪犯運用各式各樣的技術來讓目標感染挖礦劫持惡意軟體,從入侵使用者的 PC 與行動裝置,到滲透熱門網站將惡意軟體傳染給訪客等,無所不用其極。目的在誘騙使用者點擊惡意連結或開啟惡意附件的網路釣魚和魚叉式網路釣魚電子郵件,仍然是非常普遍而且有效的攻擊媒介。有些變種會夾帶蠕蟲元件,將惡意軟體從某部受害電腦傳播到其他許多透過網路連線的電腦。在 2017 年用來將 WannaCry 勒索軟體感染擴大成全球性疫情的 EternalBlue 入侵工具,依然是時下散佈挖礦惡意軟體的管道之一。不過與勒索軟體受害者不同,挖礦受害者除了模糊感受到系統效能不如以往之外,根本不知道自己已經落入圈套,成為別人手中的肥羊。

偽造軟體更新是另一種常見的滲透手法。舉例來說,偽裝成 Adobe Flash Player 合法更新的惡意軟體下載內容,表面上以更新 Flash 來做為掩飾,實際上卻在傳送惡意挖礦承載。  另一個廣為流傳的方是將惡意挖礦指令碼植入合法網站,或是植入在許多網站上播放的線上廣告區塊。一旦受害者造訪網站或是瀏覽器載入線上廣告,挖礦程序就會啟動,在使用者未察覺的情況下竊取資源與利潤。

挖礦惡意軟體的開發人員從早年的錯誤中汲取教訓。現在的惡意軟體很少會徹底耗盡受害者電腦的 CPU 能力,因為這樣會顯著降低系統效能,容易引起使用者注意及採取補救措施。新開發的挖礦惡意軟體採用聰明的方法來隱藏行蹤:它們只會佔用受害人電腦約 20% 的 CPU,等到使用者閒置時再執行最耗費資源的計算工作等活動。就是因為這樣,這些挖礦軟體才能長時間躲避偵測,不斷竊取受害者的資源。

更糟糕的是,非法挖礦事業的進入門檻很低,連技術平庸的軟體工程師都能成為一員。就像其他惡意軟體套件一樣,只要在暗網 (Dark Web) 上花費美金 0.5 元就能買到挖礦劫持的服務。而像 Monero (門羅幣) 與 Zcash 等某些高度注重隱私與匿名的加密貨幣,使得追蹤及逮捕竊賊變得難上加難。

舉例來說,Monero 使用公開帳本來建立及追蹤數位代幣的兌換,不過交易經過模糊處理,其來源、目的地與實際轉換的加密貨幣金額均不得而知。近期的學術研究指出,內嵌加密貨幣挖礦程式 Coinhive 每個月可以生產出價值 25 萬元的 Monero 幣。根據德國亞琛工業大學 (RWTH Aachen University) 在同一份研究中所做的結論,所有瀏覽器加密貨幣挖礦中,Monero 佔了 75%。

著名的挖礦劫持程式

Smominru

Smominru 可以說是最惡名昭彰的挖礦劫持殭屍網路。有智慧的永久性自我再生僵屍網路設計驅使著超過 520,000 部電腦,截至 2018 年 1 月為止,已經為擁有者賺進逾 300 萬元的 Monero 幣。Smominru 使用失竊的 NSA 入侵工具 EternalBlue,也就是在 2017 年用來將 WannaCry 勒索軟體擴大成全球性疫情的入侵工具。

BadShell

像 BadShell 這種聰明的挖礦劫持程式會藏身在 Windows PowerShell 等合法程序中,藉機執行隱藏的惡意挖礦指令碼。傳統防毒程式不太能偵測到威脅,因為在預設情況下,它們通常會信任像 PowerShell 這種由 Windows 簽署的可執行檔。

Coinhive

Coinhive 原本的目的在於成為合法網站貨幣工具,儘管現在還是如此,不過 Coinhive 的挖礦程式碼已經構成全世界最大規模的挖礦劫持威脅。分享一件有趣的事,負責經營 Coinhive 的公司從所有挖礦作業中獲得 30% 的淨利,就連駭客入侵的挖礦活動也不例外。

MassMiner

MassMiner 是個有趣的案例,因為它會在一個承載中使用很多入侵工具來突破各種漏洞。靠著入侵 Oracle WebLogic、Windows SMB 及 Apache Struts 中未修補的瑕疵,MassMiner 的創造者已經獲得價值約 20 萬元 Monero 加密貨幣的收入。

Prowli

Prowli 是知名的大規模僵屍網路,旗下擁有超過 40,000 部受感染的網路伺服器、數據機與其他物聯網 (IoT) 裝置,負責挖掘加密貨幣以及將使用者重新導向惡意網站。Prowli 有一部分是暴力破解密碼蠕蟲,目的在於促進 Monero 挖礦程式的散佈。在某些情況下,僵屍網路也會在受感染的系統上安裝後門程式。

WinstarNssMiner

2018 年 5 月,WinstarNssMiner 曾在 3 天內感染超過 50 萬個系統。當這個挖礦劫持程式在目標電腦上偵測到有效的防毒軟體時,會保持潛伏狀態,唯有在防禦工事較弱的系統上才會自行做動。這還不是最糟的,當您嘗試移除 WinstarNssMiner 時,它會讓受感染的系統當機。

Acronis True Image 現在能抵禦挖礦劫持

挖礦現象已儼然成為全球氾濫的威脅,Acronis 在不斷發展網路保護產品之餘,也持續關注它的進展。為了協助企業與消費者客戶抵禦挖礦惡意軟體,我們延伸了 Acronis Active Protection 的勒索軟體防護功能,加入對抗挖礦惡意軟體的技術。

Acronis Active Protection 增強版使用先進的機器學習技術,能辨識及終結所有在 Windows 上執行的已知挖礦劫持程序。當 Acronis Active Protection 偵測到挖礦程式時,會通知電腦的管理使用者,告知系統上可能有非法活動。(這項功能原本是由我們的家用產品 Acronis True Image 所提供,不過我們打算在日後加入企業導向的 Acronis Cyber Backup 產品中。)