以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > SAND > Info

木馬來襲,五千臺電腦淪為挖礦“黑勞工”_加密貨幣

Author:

Time:1900/1/1 0:00:00

文:凱爾

來源:蜂巢財經

編者注:原標題為《五千臺電腦淪為挖礦“黑勞工”!》

加密貨幣業興起,不但帶來一個新興市場,也引誘來唯利是圖的黑產團伙,其中之一是挖礦木馬。

近日,騰訊安全御見威脅情報中心發文稱,他們檢測到通過社會工程騙術傳播的“老虎”挖礦木馬。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“內容”等文件名,在網絡上大肆傳播,不慎點擊者便會立即中招,電腦變得異常卡頓,淪為給黑產團伙挖礦的苦力。

據統計,“老虎”木馬已感染超過5000臺電腦。通過溯源發現,“老虎”的前身為2018年出現的“灰熊”木馬,當時“灰熊”曾感染近10萬主機,通過挖門羅幣,獲取了至少38萬元的非法收入。

除了“灰熊”、“老虎”外,KingMiner、BlueHero、“快Go礦工”等木馬挖礦程序屢見不鮮。有安全人士透露,由于部分木馬已在黑產圈開源,作惡成本降低,病危害加劇,每個人都可能成為“受害者”。

攻擊者利用Hadoop Yarn REST API未授權漏洞攻擊云主機,安裝挖礦木馬等:騰訊安全威脅情報中心檢測到有攻擊者利用Hadoop Yarn REST API未授權命令執行漏洞攻擊云上主機,攻擊成功后執行惡意命令,向系統植入挖礦木馬、IRC BotNet后門、DDoS攻擊木馬,入侵成功后還會使用SSH爆破的方式進一步向目標網絡橫向擴散。

攻擊者入侵成功后,會清理系統進程和文件,以清除其他資源占用較高的進程(可能是可疑挖礦木馬,也可能是正常服務),以便最大化利用系統資源。入侵者同時會配置免密登錄后門,以方便進行遠程控制,入侵者安裝的IRC后門、DDoS木馬具備完整的目標掃描、下載惡意軟件、執行任意命令和對特定目標進行網絡攻擊的能力。

通過對木馬家族進行關聯分析,發現本次攻擊活動與永恒之藍下載器木馬關聯度極高,攻擊者使用的攻擊套件與Outlaw僵尸網絡木馬高度一致,但尚不能肯定攻擊活動由這兩個團伙發起。

本次攻擊具有蠕蟲式的擴散傳播能力,可下載安裝后門、執行任意命令,發起DDoS攻擊,對受害單位網絡信息系統安全構成嚴重影響。建議用戶盡快修復Hadoop Yarn REST API未授權命令執行漏洞,避免采用弱口令,采用騰訊安全的技術方案檢測系統,清除威脅。[2021/1/28 14:14:13]

業內人士呼吁,在發展加密貨幣行業之時,行業建立者也應共同抵制作惡行為,加強安全普及,提升安全系數。

騰訊御見:“8220”挖礦木馬入侵服務器挖礦,可發起DDoS攻擊:騰訊安全威脅情報中心檢測到“8220”挖礦木馬變種攻擊。“8220”挖礦團伙擅長利用WebLogic、JBoss反序列化漏洞,Redis、Hadoop未授權訪問漏洞等Web漏洞攻擊服務器挖礦。此外,“8220”挖礦木馬團伙的攻擊目標包括Windows和Linux服務器,在其使用的FTP服務器上,可以發現針對不同操作系統的攻擊模塊。該團伙釋放挖礦木馬時,會檢查服務器是否有其他挖礦木馬運行,將所有競爭挖礦木馬進程結束,以獨占服務器資源。根據代碼的相似性、C2關聯性、挖礦時使用的相同門羅幣錢包以及配置文件解密方法、相似的FTP服務器等因素,騰訊安全專家認為,2020年初出現的StartMiner與“8220”挖礦木馬屬于同一團伙。該團伙當前版本惡意程序與C2服務器的通信已不再使用“8220”端口,根據近期捕獲到的樣本對其攻擊偏好使用的文件名進行總結,發現其具有使用多種腳本包括VBS、PHP、Python、Powershell、Shell進行組合攻擊的特點。[2020/5/9]

木馬來襲,五千臺電腦秒變“礦機”

分析 | 騰訊御見:上半年挖礦木馬日均新增6萬個樣本:騰訊御見威脅情報中心今日發文稱,隨著比特幣的飆升,推動整個數字加密貨幣價格回升,與幣市密切相關的挖礦木馬開始新一輪活躍。挖礦木馬通過完成大量計算,來獲得數字加密貨幣系統的“貨幣”獎勵。在年初到3月份,挖礦木馬最活躍,日產生挖礦木馬樣本在15萬個左右;4月開始有所下降,到五月六月保持在日產生樣本6萬個左右。挖礦木馬在數字虛擬幣升溫的時候會極速膨脹,在數字虛擬幣遇冷時,也會緩慢降溫。挖礦木馬樣本的總規模在所有病木馬種類中占據較大比例,是近年來最常見的病類型。從2019年上半年的挖礦木馬事件中發現,雖然新的挖礦木馬家族出現數量不及2018年,但是某些家族出現了快速、持續更新版本的現象,這表明黑產人員并不是著眼于做“一錘子”買賣,而是轉向持續運營和改進木馬、快速迭代的思路。騰訊御見觀察到挖礦木馬的功能設計越來越復雜,在隱藏手法、攻擊手法方面不斷創新,與殺軟廠商的技術對抗不斷增強。因此,騰訊御見威脅情報中心認為2019年下半年大型已知的挖礦木馬家族仍會持續出現變種,而新的挖礦木馬也會不斷出現。[2019/7/11]

公司文員趙路不耐煩地點擊、移動鼠標,可鼠標箭頭壓根不聽使喚,在電腦屏幕上龜速移動,畫出一道道重影。

動態 | 2018年Q3季度安全報告:在第一大木馬類病中 挖礦類占4.38%:騰訊反病實驗室今日發布2018年Q3季度安全報告。2018年Q3季度根據獲取到的病樣本分析,從病種類上,木馬類占總體數量的57.67%,始終是第一大種類病。而在木馬類病中,挖礦類占4.38%;從木馬攔截量上看,挖礦類病占2.34%。[2018/11/1]

前一天,電腦還好好的,突然“變成了磚”,趙路很著急。他打開資源管理器,發現CPU占用率達到了97%,他并沒有運行什么大型軟件,反復重啟多次,問題仍未解決。

遭遇電腦系統嚴重卡頓的趙路并不知道,此時電腦高速運轉的CPU,正在進行大量計算來“挖礦”。這是一個離他認知有一些距離的產業——加密貨幣挖礦。在近十年的時間,該產業在一個還算不得龐大的幣圈里流行。

與趙路有相同遭遇的人不在少數。他們分布在北京、廣東、上海、河南、山東等地,手中的一臺臺電腦開機即挖礦,挖來的幣則落入了黑產團伙的錢包。

騰訊最新安全輿情:加密貨幣暴漲催活挖礦木馬 攻擊勒索損失巨大:騰訊安全聯合實驗室反病實驗室發布最新的《二月安全輿情報告》,報告顯示數字加密貨幣的持續火爆帶來挖礦木馬數量急劇增加,最高熱度2月份兩起較大規模的勒索軟件攻擊,分別針對了Ontario的兒童救助組織和薩克拉門托的投票記錄數據庫。據悉,Ontario兒童救助組織支付了5000美元贖回敏感數據。薩克拉門托投票記錄數據庫托管機構拒絕支付比特幣贖金,這意味著包含了1950萬個加州選民的53000條歷史選民記錄和個人信息被加密鎖定,或遭受泄露。[2018/3/15]

這些電腦感染了近期流行的一種木馬病。騰訊安全御見威脅情報中心通過層層解剖發現,黑產團伙挖礦使用的自建礦池包含字符“laofubtc”,因此,他們將其命名為老虎挖礦木馬。據騰訊御見統計,截至12月5日,老虎挖礦木馬已感染超過5000臺電腦。攻擊者將遠控木馬程序偽裝成“火爆新聞”、“內容”、“隱私資料”、“詐騙技巧”等文件名,通過社交網絡發送到目標電腦,受害者雙擊查看文件后,會立刻被安裝遠程控制木馬。

而后,攻擊者通過遠控木馬控制中電腦,下載挖礦木馬,這些電腦隨即淪為“礦工”。

從手法上看,這是一場在社交網絡上傳播的無差別攻擊。

騰訊御見總結了部分釣魚攻擊文件名,包括“某公司被襲擊”、“小姐姐視頻”、“會員資料”及“變聲器”等。這些抓人眼球的文件名全部與加密貨幣行業沒有直接關聯,中電腦的主人在出于獵奇心理點擊后,就可能成為幫助黑產團伙賺錢的“黑勞工”。

部分釣魚攻擊文件名

騰訊御見披露,病攻擊者非常狡猾。在挖礦木馬文件植入電腦后,該文件將偽裝成音頻設備公司“WavesAudio”,首次執行后,會用垃圾數據“增肥”到150MB,以此逃避殺軟件檢測。

礦機程序文件則被偽裝成顯卡制造商英偉達的驅動程序。一般來說,電腦用戶都認為英偉達的驅動是安全且必要的,不會隨意刪除,因此很難識破和處理。

目前,尚未得知上述黑產團伙通過“老虎木馬”挖的是什么幣。盡管該挖礦程序中出現了“laofubtc”字符,但加密行業人士認為,用電腦CPU挖比特幣的可能性不大,“現在早就過了電腦挖比特幣的時代,5000多臺電腦組成的分布式礦池,可能還不如幾十臺好的礦機。”

“灰熊”變異,黑產團伙作惡不斷

騰訊御見溯源查詢發現,“老虎”挖礦木馬的文件服務器baihes.com指向的IP為46.4.156.44。該IP在2018年就引起過安全人士的注意,當時一個名為“灰熊”的挖礦木馬BearMiner,其域名miner.gsbean.com也與上述IP直接相關。

騰訊御見推測,“灰熊”和“老虎”屬于同一團伙,“老虎”替代“灰熊”挖礦木馬,呈現了新的活躍趨勢。

2018年7月,深信服安全專家首次曝光了“灰熊”挖礦病。“灰熊”偽裝的方式與“老虎”異曲同工,能繞過主流的殺軟件,并且潛伏數月。

“灰熊”的危害性更強,據深信服統計,“灰熊”感染的主機近10萬臺,中主機多表現為異常卡頓,嚴重影響主機性能。

深信服將該病的危害等級劃分為“高危”,查殺難度為“難”。據披露,當時“灰熊”挖的幣主要是匿名幣門羅幣。與比特幣不同,門羅幣的挖礦門檻低,且容易上手,使用家用電腦便可通過CPU和顯卡來挖礦。

此外,由于所有的門羅交易都使用隱蔽地址來保護接收者的隱私,以致黑產團伙挖得的幣,難以追蹤去向。

根據深信服去年7月份的統計數據,“灰熊”病在當時挖了420個門羅幣。按當時927元的幣價換算,攻擊者通過木馬病非法挖礦所得超38萬元,而這花費的成本并不高。

在黑產圈,名為“大灰狼”的遠程控制木馬是較為流行的遠程控制工具,“老虎”病也正是通過這個遠控工具,在受害者的電腦中植入病。

據傳,“大灰狼”的原始作者已去世,但相關代碼已流落黑產圈,還開源共享起來。不同的病木馬團伙對其定制改造后,衍生出諸多變種,無形中減少了黑產團伙開發病的成本。

除了“灰熊”、“老虎”之外,這幾年,KingMiner挖礦木馬、BlueHero挖礦蠕蟲病、“快Go礦工”等木馬程序屢見不鮮。2018年底,湖南衡陽市局石鼓分局還曾破獲一起病挖礦案件,某計算機專業畢業生,通過給網吧電腦裝木馬,遠程挖礦獲利上億元。

“老虎”病入侵示意圖

在社交網絡發達的今天,人們每天都會接觸大量的信息,一不小心,就可能成為黑客的“挖礦苦力”。當你發現電腦突然出現嚴重卡頓的異常,你的電腦很可能在為別人緊鑼密鼓地創造不當利潤。

安全專家提示,互聯網用戶不要隨意打開來歷不明的文件。在點開文件之前,建議打開資源管理器文件夾選項,“查看已知文件的擴展名”。當發現文件圖標為Office、音樂、視頻文件,而文件的擴展名為“exe、com、pif、bat”時,即可立刻判斷為危險文件,應立即刪除,并使用殺軟件查殺。

區塊鏈和數字貨幣的興起,讓“挖礦”成為一個新興產業且逐漸繁榮。利益往往容易滋生罪惡,挖礦木馬、黑客盜幣、暗網交易等事件層出不窮,“黑產”也是這個新興行業的“硬幣背面”。

業內人士呼吁,在新技術、新行業初生之時,行業參與者應共同提升安全技術儲備,共同抵制黑客、黑產的作惡行為;專業的安全團隊不妨成立安全聯盟,向大眾普及基本的網絡安全常識,加強對新病的公示和預警,以免不了解加密貨幣的公眾淪為挖礦的“黑勞工”。

互動時間

你遭遇過挖礦木馬嗎?

Tags:加密貨幣比特幣MINEINE加密貨幣市場最新消息分析比特幣全球市值多少PEPEMINERLifeLine Token

SAND
QKL123區塊鏈榜單 | 國內媒體熱度下降,部分礦機出現虧損(201911)_區塊鏈

QKL123區塊鏈排行榜包括區塊鏈項目、交易平臺、區塊鏈媒體、區塊鏈公眾號、區塊鏈礦池、區塊鏈礦機、Staking項目、ETHDapp、EOSDapp、區塊鏈錢包十大榜單.

1900/1/1 0:00:00
一文透析騰訊區塊鏈技術_區塊鏈

本文來源:騰訊安全 作為后互聯網時代下的新產物,區塊鏈技術有著巨大想象空間,依托可溯源、不可篡改、去中心化等特性,構建起技術與應用場景融合的新生態體系.

1900/1/1 0:00:00
科普 | 一文解讀央行 DC/EP 技術細節_數字貨幣

作者:Sunrye 編者注:原文標題為《對央行數字貨幣(DCEP)的技術研究報告》最近關于人行的數字貨幣DCEP的消息不斷涌現,加上Facebook的libra對數字貨幣的推波助瀾.

1900/1/1 0:00:00
新加坡政府支持的加速器Tribe宣布籌集1570萬美元,為區塊鏈創業公司提供支持_TRI

新加坡政府支持的區塊鏈平臺Tribe通過其生態系統幫助參與公司又籌集了1,570萬美元。在12月2日與Cointelegraph分享的新聞稿中,Tribe加速器迄今已籌集了總計2800萬美元的資.

1900/1/1 0:00:00
2140年,比特幣礦工還挖礦嗎?_比特幣

作者:AA大神 中文翻譯:Cobo錢包 網友DumbJanos問到:“等到2140年,比特幣網絡上區塊高度達到6,930.

1900/1/1 0:00:00
部分炒幣平臺蹭區塊鏈熱度“死灰復燃” ,監管層接連出拳打擊虛擬貨幣交易_區塊鏈

記者張莫北京報道 來源:經濟參考報 針對最近部分虛擬貨幣平臺“卷土重來”,監管層已經接連出重拳打擊相關非法交易.

1900/1/1 0:00:00
ads