全景剖析挖矿黑色产业链

xiaohui 新闻 2018-03-12 13:24:25

103180

导语：

2017年，卡巴斯基实验室就发布过一个报道，揭示了全球挖矿产业的崛起。当时研究人员就发现了有一个通过僵尸网络赚取数百万美元的挖矿产业。当时，他们就分析这只是产业链形成的前兆，果然不出所料，今年挖矿已成为新的黑色产业链，且发展得很快。

为此，研究人员一直在关注加密货币的价格变化，例如，比特币和Altcoin的价格在2017年持续创下新的价格纪录。

2017年比特币和Altcoin价格增长趋势图

挖矿产业链的发展过程

对于数字货币的价格上涨，人们一般都是习惯从经济的角度来讨论，比如“我是否该入市”“对实体经济有什么影响”……但对那些挖矿的攻击者来说，价格上涨无疑让数字货币成了他们眼中的肥肉，对于偷盗惯了的黑客们来说，没有什么比盗取加密货币更让人兴奋的事了。

于是，许多网络犯罪团伙已经从其它攻击方向（比如勒索软件）转向挖矿，这从近段时间频繁发生的挖矿事件就可以看出，研究人员发现，到2017年底，已有270万用户受到恶意挖矿的袭击，这一数量比2016年（188万）高了近1.5倍。

2017年卡巴斯基实验室监测到受到恶意挖矿攻击的用户数量

挖矿产业变得如此活跃和流行，甚至连在过去几年里一直让世界震惊的勒索软件攻击也甘拜下风。对于如此猛地变化，卡巴斯基实验室的研究人员给出了以下解释：

首先，挖矿和勒索软件都有很强的盈利动机。以勒索软件为例，攻击者会通过感染用户的设备，将重要文件加密，如果用户要恢复这些文件就要缴纳赎金。而挖矿模式也非常类似，就是通过感染用户的设备，使用CPU或GPU来为他们挖掘加密货币，从而换取高额利润。

通过挖矿进行获利的流程

其次，与勒索软件不同的是，用户很难发现他们是否被挖矿攻击者攻击。这意味着，相比于勒索软件，挖矿攻击更具隐蔽性。一般来说，用户使用他们的电脑进行正常工作时，对于CPU的功率利用都不是很高。但如果有了挖矿程序，则CPU就会高速运转，有的甚至发出很大的声响，不过很多用户都会以为是程序加载太多或电脑老化的原因。研究人员测算了一下，在高速的挖矿过程中，有70％-80％的CPU功率被挖掘程序使用。其中挖矿软件还有比较隐蔽的一些特殊功能，比如有的用户是游戏玩家，那在运行游戏时，CPU的功率就会比平时消耗更多，如果这时挖矿软件还要继续挖矿的话，那就会很容易引起用户的警觉或让电脑死机，所以比较高级的挖矿软件会在此时相应地减少挖矿进程或直接取消进程。

最重要的是，现在由于挖矿产业链的成熟，任何人都可以在黑市定制自己的挖矿软件，得到想要的服务，比如：

1.与软件开发者实行合作分成；

2.找到合适的采矿池；

3.找到合适的挖矿软件开发者；

研究人员发现Nanopool是挖矿软件的开发者的最受欢迎的矿池：

使用的合法采矿池的统计信息

如果攻击者使用开放的采矿池，就可以分析出攻击者能通过挖矿赚取多少钱。

此外，根据研究者的分析数据，80％的非法挖矿软件都包含合法软件的开源代码，或者干脆把自己伪装成为一个合法的挖矿软件。

挖矿软件的传播方式

通常，恶意攻击者会利用一些潜在的可能不需要的应用程序（ potentially unwanted application ，PUA）来传播挖矿软件。但是，一些小型犯罪集团会试图通过使用不同的社会工程技巧来传播恶意软件，比如伪造的彩票信息等。潜在受害者需要从文件共享服务中下载一个随机数字生成器，然后在个人电脑上运行。这虽然是一个简单的技巧，但是非常有效。

另一个流行的方法是通过在浏览器中执行的特殊脚本进行网页挖掘。例如，在2017年，卡巴斯基实验室的安全解决方案已经阻止了总共7000多万次的网页挖掘。目前恶意挖矿者使用的最流行的脚本是Coinhive，coinhive专门提供一个用来挖矿的JS引擎，在被攻击网站上的网页内嵌一段JS代码，只要有人访问被攻击网站，挖矿程序就会在网民的电脑上工作，占用大量的系统资源，导致CPU利用率突然提升，甚至100％！通常利用Coinhive挖矿的网站都是流量很大的网站。这些网站上的用户会话时间越长，网站所有者从采矿中获得的收益就越多。比如目前关于使用Coinhive进行挖矿的重大事件有The Pirate Bay(海盗湾)事件， YouTube事件。2017年9月，海盗湾在其网站上添加了一个由 Coinhive 提供的 Javascript 比特币挖掘脚本，即采用加密方式注入到访问海盗湾的用户电脑当中挖掘比特币。2018年2月，Coinhive侵入了视频平台YouTube广告服务，并试图劫持该网站访问者的CPU，偷偷使用它来挖掘加密货币。

还有其它一些黑客组织，他们不是向拥有很多用户的网站传播挖矿软件。相反，他们的目标是大公司强大的服务器。例如，2018年2月，一款名为 WannaMine 的新型门罗币加密挖掘蠕虫，其利用与 NSA 相关的 EternalBlue （“ 永恒之蓝 ” ）漏洞进行传播。据研究人员测试，WannaMine 能够感染从 Windows 2000 起的所有 Windows 系统（包括 64 位版本和 Windows Server 2003），并使其设备性能明显下降。目前攻击者，已经以这种方式获得了9000个门罗币(大约二百万美元)的收入。其实，第一个使用永恒蓝色发起挖矿攻击的恶意软件是Adylkuzz。另外还有被称为“Winder”的挖矿软件家族，它会使用额外的服务来恢复被杀毒软件删除的那些挖矿功能。

越来越复杂的挖矿技术

今年研究人员还观察到了一个趋势，就是挖矿技术越来越复杂，恶意攻击者已经开始使用具有针对性攻击技术，比如最新发现的PlugX挖矿就是使用process hollowing技术将恶意代码注入到svchost.exe进程地址空间中进行挖矿。Process Hollowing是现代恶意软件常用的一种进程创建技术。一般来说，使用Process Hollowing技术所创建出来的进程在使用任务管理器之类的工具进行查看时，它们看起来是正常的，但是这种进程中包含的所码实际上就是恶意代码。

使用 process hollowing进行挖矿时，感染载体是一个PUA模块。受害者可能当初只是想下载一个合法的应用程序，但他们却下载了一个带有挖矿安装程序的PUA模块。该挖矿安装程序会会创建一个随机名称的文件并使用随机名称删除合法的Windows实用程序msiexec，然后该名称会从远程服务器下载并执行恶意模块。接着，攻击者会通过恶意模块安装一个恶意的调度程序任务，该任务将删除挖矿软件的安全程序。这样攻击者就会在执行合法的系统进程中使用 process hollowing 技术，将合法进程代码更改为恶意代码。另外，使用process hollowing 技术发起挖矿攻击时，还有一个特殊的攻击标志，即系统关键标志，将被设置为新的进程。如果受害者试图终止此进程，则Windows系统就将重新启动。因此，如何正确检测并处理这种使用 process hollowing的恶意行为将会是未来的一个挑战。

process hollowing的感染流程

process hollowing挖矿示例

使用process hollowing这种先进的挖矿技术，僵尸网络在2017年下半年总共赚了700多万美元。

同样是在2018年，研究人员还发现一个恶意攻击组织的目标针对的是某个大型组织，其主要目的是利用他们的计算机资源进行采矿。当攻击者进入企业网络后，他们可以访问域控制器，这样他们就可以使用域策略启动恶意代码。在这种特殊攻击环境下，被攻击的企业网络内的每个端点和服务器都会执行恶意的PowerShell脚本。