七大加密货币挖掘工具和僵尸网络
作者: 日期:2018年02月28日 阅:10,748

许多正在追逐加密货币挖掘热潮的网络犯罪分子,已经开始劫持计算机设备并秘密地利用这些受害者的资源来开采加密货币。

网络犯罪分子热衷的其中一种策略就是在主机系统上为流行的加密货币(尤其是门罗币Monero)安装“矿工“(miners),并将其添加到大量的僵尸网络中。另一种常见的策略是在网站中嵌入挖矿工具,并秘密使用这些网站访问者的计算资源来挖掘门罗币和其他数字货币。根据Imperva发布的研究报告显示,2017年12月,所有远程代码执行攻击中有88%将目标指向加密货币挖掘恶意软件下载网站。

这一趋势已经严重影响了个人和企业的安全。根据供应商提供的报告指出,由于越来越多的挖矿工具被安装在服务器和其他业务系统上,已经导致众多企业遭受了运营中断的严重后果。Check Point在本周发布的一份报告中预计,仅受Coinhive采矿工具影响的企业就已经占据全球企业的23%。此外,该公司在2018年1月发布的“十大恶意软件威胁“名单中就包含3个加密货币挖掘工具(CoinHive、Cryptoloot和Rocks)。

接下来将为大家详细介绍7个最多产且正在困扰全球用户的加密货币挖掘工具和僵尸网络:

1. Coinhive

Coinhive是部署在全球数千个网站上的加密货币挖矿机,其中一些具备网站所有者的许可和授权,但大多数时候是在未经网站持有者许可的情况下,将JavaScript加密货币挖掘脚本嵌入在其网站中。当访客访问该网站时,会利用访客的计算机CPU资源来挖掘加密货币(如门罗币Monero),最终导致网站访客的计算机性能下降。

Coinhive本身并不是恶意的。事实上,不得不承认其想法是相当有创意的。Coinhive.com推出时,其创建者曾向网站所有者们推广Coinhive并声称:仅需耗费访问用户的少部分CPU,就可以为网站所有者赚取利润(提供门罗币作为回报),用于支持他们的业务,再也不用添加各种烦人的广告,为用户提供无广告体验。但是目前,多家安全供应商已经开始阻止Coinhive,因为根据用户反馈许多网站所有者开始在不告知用户的情况下运行挖矿工具。

此外,网络犯罪分子也开始在未经网站所有者许可的情况下将挖矿工具嵌入成千上万的网站之中。Check Point预计,2018年1月,全球多达23%的组织都受到了Coinhive的影响。

然而,事情并没有如此简单。2018年2月初,英国网络安全公司Sophos公布了一份长达13页的报告指出,安全专家发现19款Android应用程序被秘密加载到了Google Play商店中。Synopsys公司高级安全策略师Taylor Armerding表示,其中一款应用程序的安装量已经达到10万到50万次。

RiskIQ公司产品经理Vamsi Gullapalli援引最近的数据称,“通过RiskIQ抓取到的数据发现,在过去一年中,有超过50,000 个网站通过直接嵌入或间接经由受损的第三方组件(如Texthelp)注入的方式加载了Coinhive 挖矿工具。“他进一步表示,大多数的嵌入操作都是在未经原始所有者许可的情况下实现的。

2. Smominru

Smominru是一款门罗币挖掘僵尸网络,该僵尸网络由超过520,000台Windows主机(其中大多数是服务器)组成。根据率先发现该僵尸网络的安全厂商Proofpoint介绍称,该僵尸网络运营者一直在利用NSA泄露的“永恒之蓝“(EternalBlue)漏洞来感染全球各地的系统,并使其成为僵尸网络的一部分。此外,值得一提的是,此前臭名昭著的勒索软件“WannaCry”也是利用了美国国家安全局泄露的危险漏洞“永恒之蓝“。

截至2018年1月底,该僵尸网络已经挖到了约8900枚门罗币,折合当时的汇率约合280万美元。Proofpoint当时曾预测称,该僵尸网络每天大约挖掘24个门罗币,价值约合8500美元。Proofpoint指出,由于许多受感染的系统都是服务器,所以对于受影响的企业而言潜在的效益影响是巨大的。

3. WannaMine

去年10月份,由熊猫安全(Panda Security)率先发现的“WannaMine“是一款新型门罗币(Monero)加密挖掘蠕虫。鉴于该蠕虫试图最大限度地使用被感染系统的处理器和RAM的表现形式,Panda安全公司将该蠕虫形容成”尤为麻烦“的存在。

根据今年Crowdstrike公司发布的报告指出,该蠕虫同样利用与 NSA 相关的 “永恒之蓝“(EternalBlue)漏洞进行传播。此外,WannaMine 还可以使用凭证收割机”Mimikatz“来收集用户凭据,从而达到在公司网络中横向移动的目的,但如果不能够横向移动的话,WannaMine 将会尝试使用NSA泄露的EternalBlue漏洞扩展到其他系统之中。

4. Adylkuzz

2017年5月,Adylkuzz引起了广泛关注,它与WannaCry一样使用了NSA泄露的“永恒之蓝“(EternalBlue)和Double Pulsar漏洞进行传播。像其他加密货币挖掘工具一样,一旦该恶意软件进入计算机系统,它就能在上面下载指令、挖矿机器人以及清除工具。而关于该恶意软件还有一个值得注意的特征:它能够关闭受感染系统上的所有SMB网络,以阻止其他恶意软件(包括WannaCry蠕虫)感染。

据悉,Proofpoint最早在4月24日发生了该类型攻击,但由于它是在暗处操作,所以直到WannaCry席卷全球之后它才浮出水面,而许多用户甚至完全不知道自己所用设备已经遭到该恶意软件的网络攻击。根据Proofpoint初步数据统计表明,这起攻击的规模可能比“WannaCry“还大,影响了全球几十万台PC和服务器。

5. JSECoin

JSECoin 是与Coinhive类似的JS挖矿工具,通过将加密货币挖掘工具嵌入网站所有者的网站之中,并提供网站所有者部分加密货币作为回报。像Coinhive一样,JSECoin也是在访客访问嵌入挖矿工具的网站时,利用访客的计算机CPU资源来挖掘加密货币。但是与前者不同的是,JSECoin会将CPU使用率限制在15%至25%之间,并且始终显示隐私声明,为用户提供退出链接。尽管如此,Check Point月度报告中还是已经将该挖矿工具列入了“10大最受欢迎的恶意软件工具“名单之列。

6. Bondnet

Bondnet是一种用于挖掘不同数字货币的加密货币僵尸网络。GuardiCore称,该僵尸网络由多达15000台不同功率的服务器组成。GuardiCore公司于去年5月首次报告了该僵尸网络信息,并指出该僵尸网络能够利用所控制的僵尸设备“挖矿”,开采不同种类的虚拟货币。其受害者包括全球性公司、市政府、大学以及公共机构等。

据悉,Bondnet的攻击目标主要锁定为Windows Server主机,利用系统弱密码问题和常见的老旧系统漏洞(例如phpMyAdmin配置错误漏洞,或JBoss、Oracle?Web?Application?Testing?Suite、ElasticSearch、MS?SQL?servers、Apache?Tomcat、Oracle?Weblogic等)来入侵Windows系统,并安装Windows管理界面木马与远程命令和控制服务器进行通信。此外,GuardiCore还注意到,该僵尸网络还能够轻易地发动DDoS攻击以及窃取企业的数据。

7. PyCrypto Miner

F5 Networks的研究人员将“PyCrypto Miner“描述为一个基于Python的僵尸网络,研究人员称,该僵尸网络很大程度上可能已经隐身运行了很长一段时间。

据悉,这一基于Linux的加密货币挖掘僵尸网络是通过SSH协议进行传播的,并主要被用于开采门罗币。截至2017年12月底,该僵尸网络的运营者似乎至少已经挖到了价值46,000美元的加密货币。

根据F5研究人员的说法,PyCrypto Miner僵尸网络存在的一个值得注意的特性是,如果原始服务器因为某种原因被关闭或变得不可用的话,它会使用Pastebin.com来发布和传输新的命令和控制(C&C)服务器地址。截至2017年12月中旬,该恶意软件已经获得了用于扫描易受攻击的JBoss系统的新功能。

 

申明:本文系厂商投稿收录,所涉观点不代表安全牛立场!


相关文章