虽然加密货币已经存在了很长一段时间,并被用于合法目的,但网络罪犯无疑玷污了他们的声誉。不幸的是,这些分散的、有些匿名的数字货币所提供的同样好处很快就被滥用来勒索钱财,就像我们在过去几年中目睹的各种勒索软件爆发的情况一样。
随着比特币显著崛起所推动的加密货币价值大幅上升,一种新的威胁已成为主流,有人可能会说甚至超过了所有其他网络犯罪。事实上,加密货币开采是一项非常有利可图的业务,全世界的恶意软件创造者和发行商都被它吸引,就像飞蛾扑火一样。大量新的加密货币的出现,可以被普通计算机挖掘,这也助长了我们所目睹的广泛滥用。
必威平台APPMalwarebytes已阻止硬币矿工及其多种保护模块,包括我们的实时扫描仪和Web保护技术。自2017年9月以来,恶意加密一直是我们整体的最高检测。
加密挖掘恶意软件
为了最大限度地提高他们的利润,威胁演员正在利用尽可能多的设备的计算能力。但首先,他们必须找到有足够大规模地提供恶意硬币矿工的方法。
而Wannacry勒索软件则因利用泄露的EternalBlue和DoublePulsar漏洞而广为宣传,至少是这样两个不同的群体使用与加密货币矿工一起感染数十万台Windows服务器的漏洞,最终产生数百万美元的收入。
图1:扫描端口445上的随机IP地址
其他漏洞,如Oracle的WebLogic Server (CVE-2017-10271),也用于将矿工提供到服务器上大学和研究机构.而Oracle则发布了修补在2017年10月,许多人没有及时应用它POC.只会助长广泛的虐待。
事实证明,服务器恰好是犯罪分子的最爱,因为它们提供了最大的马力,或者使用了正确的哈希速度来攻击并解决了加密所需的数学运算。最近,我们看到了以违反其更好的判断力,通过各种超级计算机实现这一级别的个人关键基础设施环境。
垃圾邮件和开发工具包活动
即使是恶意软件作者也捕获了加密货币。现有的恶意软件系列像TrickBot,通过恶意垃圾邮件附件分发,临时添加硬币矿工模块.
有趣的是,Trickbot的作者已经将他们的银行特洛伊木马扩展到了从Coinbase用户那里窃取凭证当他们登录他们的电子钱包时。他们恶意软件的模块化本质肯定会使他们更容易尝试用新的计划来赚钱。
图2:包含下载TrickBot恶意软件的宏的文档
几个漏洞工具包,以及RIG EK特别是分发矿工,通常是通过SmokeLoader恶意软件作为中介。事实上,cryptomers是驱动下载攻击中最常见的负载之一。
图3:iframe重定向到RIG EK,随后出现明显的硬币矿工感染
手机和MAC加密
同样,移动用户也不能免疫加密挖掘带有挖掘代码的木马程序也很常见,尤其是对于Android平台。与Windows恶意软件类似,恶意APK往往具有特定功能的模块,例如SMS垃圾邮件,当然还有矿工。
图4:Android APK中挖掘组件的源代码
合法的采矿池,如腮腺苷酸Android矿工经常使用,同样的情况也适用于Mac cryptominers.通常的建议是坚持在官方网站下载应用程序,但并不总是足够的,特别是当受信任的应用程序被黑.
〜/ library / Apple / Dock -User Sarahmayergo1990 @ Gmail.com @ Gmail.com -XMR
图5:启动Monero miner的恶意Mac应用程序
驱动加密挖掘
2017年9月中旬,一个名为Coinhive的神秘实体推出了一个即将在网上创建混乱的新服务,因为它引入了直接在浏览器中挖掘Monero货币的API。
虽然在浏览器矿工由于Coinhhive的普及而被起飞,但他们已经几年前已经过测试过,主要是作为概念证明,这并没有进一步发展。但是,有一个法律先例麻省理工学院学生小组他们被新泽西州起诉,因为他们的硬币挖掘尝试被称为tidbit,作为传统展示广告的替代方案。
默认情况下没有选择加入
在几周内,Coinhive API,任何保障措施,通过隐藏攻击滥用。类似于驱动器下载,开车挖掘是一种自动的、静默的和平台无关的技术,它迫使网站的访问者挖掘加密货币。
我们目睹了一个有趣的运动这是专门为安卓系统设计的,吸引了数百万用户访问页面,这些页面以收回服务器成本为借口立即开始为Monero挖掘。尽管移动设备不如台式机强大,更不用说服务器了,但这一事件表明,没有人不受“驱动挖掘”的影响。
图6:Android上的Chrome浏览器挖掘机
恶意曾再次将硬币矿工传播到大众众的主要因素,正如我们所看到的那样YouTube案例这涉及到通过双击发布恶意广告。另一个有趣的载体是使用第三方脚本,这种脚本已经变得无处不在。一家名为Texthelp的公司有一个插件妥协并注入了一个硬币剧本,在英国的数百名政府网站上不情愿地参与恶意加密活动。
为了避免批评,Coinhive引入了一个新的API(AuthedMine),它明确要求允许用户输入任何挖掘活动。他们的想法是,体贴的网站所有者会使用这种更“道德”的API,这样他们的访问者可以在参与加密挖掘之前知情地选择加入或退出。这也是Coinhive提出的一个论点,以捍卫其反对广告屏蔽和防病毒产品的立场。
虽然只有Coinhive自己有准确的统计数据,但根据我们自己的遥测技术,他们的选择版本的API几乎没有使用(40K/天),相比之下,静默版本(3M/天),如下图所示的1月10日至2月6日的柱状图。
图7:Coinhive选择加入版本的使用统计
图8:Coinhive静默版本的使用统计
此外,甚至使用Opt-In选项的网站仍然可以通过运行一个不可立即的矿工,这可能仍然是跨越的机器,就像流行的情况一样美国新闻网站沙龙[] com.
模仿者
在Coinhive的立即成功之后,几个副本出现了。根据我们的统计数据,硬币有[。] com是第二大最受欢迎的服务,其次是加密战利品[.]com.虽然Coinhive从所有采矿收入中收取30%的佣金,但Coin Have在市场上宣传的佣金率是最低的,只有20%,尽管CryptoLoot自己声称支付88%的采矿佣金。
除了支付更高的费用外,新来者推出的其他“吸引人”的功能还包括较低的支付门槛和绕过广告拦截器的能力,他们通常认为这是自己的头号威胁。
图9:最受欢迎的2个Coinhive CopyCats
滥用浏览器和技术
与基于恶意软件的硬币挖掘者相反,drive by cryptomining不需要感染机器。这既是一个优势,也是一个弱点,因为它可能接触到更广泛的受众,但本质上也更短暂。
例如,如果用户离开他们所在的网站或关闭有问题的选项卡,这将导致挖掘活动停止,这是一个主要缺点。然而,我们观察到,一些矿工已经开发出了秘密的方法,使驱动采矿执着的这要归功于广告欺诈行业中众所周知的“弹窗”(popunderders)手法。更糟糕的是,包含挖掘代码的恶意弹出式选项卡将被放置在任务栏的正下方,使得最终用户几乎看不到它。多亏了这个技巧,挖掘可以继续,直到用户重新启动他们的计算机。
挖掘长期和不间断的时间段的另一种方法是通过使用Booby被困的浏览器扩展,该扩展将在每个Web会话中注入代码。这是档案海报延期发生的事情,因为他们的一个开发人员拥有他的Google帐户凭据受到损害。
图10:Coinhive中带有恶意JavaScript的受损扩展
值得注意的是,JavaScript并不是在浏览器中挖掘硬币的唯一方法。事实上,我们已经观察到WebAssembly,一种在现代浏览器中可用的较新的格式,被越来越多地使用。WebAssembly模块的优点是运行速度接近本机速度,这使得它们比JavaScript更快、更高效。
|有效负载=-[ExportSection | count=27 | entries=-[ExportEntry | field | len=9 | field | str=“stackSave”| kind=0x0 | index=71-[ExportEntry | field | len=17 | field | str=“|cryptonight|hash”| kind=0x0 | index=70
图11:用于挖掘Monero的WebasseMbly模块的代码片段模块
驱动挖矿通常是通过标准的HTTP协议进行的——无论是通过HTTP还是HTTPS连接——我们已经看到越来越多的矿工通过WebSockets通信的例子。
图12:Coinhive的Web套接字连接
WebSocket是另一种允许数据流交换的通信协议。在实际的数据流之后,会有一个与远程服务器的初始握手请求和响应。封装在安全(wss) WebSocket中的硬币挖掘代码更难识别和阻止。
恶意加密:不被驳回
随着威胁景观继续发展,与现实世界趋势的联系越来越明显。恶意软件作者不仅享受数字货币提供的相对匿名,而且想要混淆它们。
加密挖矿恶意软件为利用僵尸网络的规模和能力执行cpu密集型的挖矿任务提供了一个很好的用例,而不必承担过程中产生的成本。在某些方面,驱动挖掘也适用于同样的概念,除了它创建的网络用户僵尸网络大多是暂时的。
虽然恶意cryptomining对用户而言,似乎远没有勒索软件危险,其影响不应受到破坏。事实上,未受管理的矿工可能会严重干扰业务或基础设施关键流程,导致系统过载,导致系统无法响应并关闭。在出于经济动机的攻击的伪装下,这可能是高级威胁参与者的完美不在场证明。
必威平台APPMalwarebytes用户,无论其平台如何,都受到保护,免受攻击不必要的加密,无论是通过恶意软件还是Web完成。
评论