搜搜吧

搜搜吧 门户 站长 资讯 查看内容

半年 700 万美元 这波挖矿黑客靠着别人的电脑赚翻了

2018-3-7 13:56| 发布者: 站长之家| 查看: 1190| 评论: 0|原作者: 站长之家

摘要: 比特币等虚拟货币价格的一路飙升让一些手中有技术的黑客们坐不住了,一场虚拟货币淘金热正在疯狂进行中。不过,他们并没有带着自己的挖矿机参与这场狂欢,而是“奴役”起了其他无辜用户的电脑。事实证明,这还真是个 ...
比特币等虚拟货币价格的一路飙升让一些手中有技术的黑客们坐不住了,一场虚拟货币淘金热正在疯狂进行中。不过,他们并没有带着自己的挖矿机参与这场狂欢,而是“奴役”起了其他无辜用户的电脑
事实证明,这还真是个暴利行业,研究人员在过去 6 个月内追踪了一个挖矿团伙,它们居然利用 1 万台感染了挖矿恶意软件的电脑挣了 700 万美元。
半年 700 万美元 这波挖矿黑客靠着别人的电脑赚翻了
对于网络安全从业者来说,挖矿恶意软件的崛起是意料之中,不过此类软件复杂度提升如此之快是人们始料未及的。黑客们为了暴利,手里的黑科技可都用上了。研究人员发现,一些只在高级持续性威胁(APT)中才会用到的黑客技术和工具都成了挖矿小组们的标配。
据雷锋网了解,卡巴斯基实验室周一发布了最新报告,研究人员剖析了三个挖矿小组,它们都是虚拟货币潮背景下的变种网络罪犯。卡巴斯基实验室研究人员 Anton Ivanov 指出,这些小组行事低调,完全没有其它黑客咄咄逼人的气势,但他们却悄悄潜伏在了电脑或数据中心里。
研究人员估计,光是去年一年,就有 270 万用户中招,成了黑客的免费挖矿机,而 2016 年时感染此类病毒的电脑只有 187 万台(增速高达 50%)。
“除了控制个人用户的电脑,企业电脑也成了黑客的目标。这些恶意软件则主要通过广告软件、破解游戏和盗版软件传播。”研究人员在报告中写道。“此外,黑客还通过被感染网页上一个特殊的 JavaScript 代码来入侵受害者电脑,Coinhive(网页挖矿机)就是其中最为臭名昭著的,很多受欢迎的网站上都被黑客埋了雷。”
半年 700 万美元 这波挖矿黑客靠着别人的电脑赚翻了
▲用别人电脑挖矿成了 2017 年的新潮流
为挖矿搭建的大型僵尸网络
卡巴斯基实验室将第一个挖矿团伙命名为 Group One,这波人为了挖矿牟利,居然利用遍布全球的 1 万多台电脑和服务器搭建了僵尸网络。研究人员还表示,这些电脑很容易被控制,只要他们没打上漏洞补丁(如永恒之蓝),就有可能成为黑客的免费挖矿机。
“该团伙主要挖门罗币,而且还用上了定制版的挖矿机。”Ivanov 说道。“为了持续获利,他们甚至用上了类似 Process Hollowing 和操纵 Windows 系统任务管理器等手法。”
这里所说的 Process Hollowing 是现代安全软件中常用的进程创建技术,虽然在使用任务管理器等工具查看时,这些进程是合法的,但事实上该进程的代码已被恶意内容替代。卡巴斯基指出,这是它们第一次在挖矿攻击中发现该技术。
Windows 上的任务管理器一直都是黑客的突破口,它几乎成了恶意软件最好的伪装。感染了恶意软件的用户几乎没什么察觉,因为在开始界面中,这些软件都有着人畜无害的名字。不过,它们启动后挖起矿来可是一点都不客气。
攻击前罪犯们会提前寻找受害者
第二个挖矿团伙(Group Two)与 Group One 不同,他们可“挑剔”的很。
在对该团伙进行分析后,卡巴斯基发现了 PowerShell 脚本中的硬编码信息,他们认为“黑客会提前对受害者进行‘空中侦察’,以选定自己的目标。Group Two 如此挑剔主要是怕将恶意软件植入系统管理者或安全官电脑中,这样的专家能很快识破他们的伎俩。
由于该团伙用的是私有矿池,因此他们到底赚取了多少暴利还是个未知数。不过,鉴于该团伙用了不少复杂技术且专挑大公司下手,Ivanov 认为他们的牟利金额至少在百万美元级别。
倒卖计算能力
雷锋网(公众号:雷锋网)发现,Group Three 团伙的玩法又不一样了,他们搭建起来的挖矿套件自己不用,而是拿到网上售卖。卡巴斯基的报告显示,该套件基于一个定制的脚本,专挖在暗网上做广告的门罗币。
此外,这套挖矿套件还能进行深度定制,购买者可以调整 CPU 使用率,当受害者打开吃性能的游戏时,它还会自动进入休眠状态以防被发现。
“这些套件的目标是细水长流,普通用户恐怕很难意识到它们的存在。”研究人员解释道。
此外,在报告中卡巴斯基还警告称,曾经在黑客界红极一时的勒索软件已经锋芒不在,现在最火爆的就是这种虚拟货币恶意软件,而其中的参与者有很多都是从勒索软件开发转行的。
这波“转行”也是666。
再现“黑吃黑”,CPU窃贼的相杀
除了上述三个“搞事”挖矿组,雷锋网发现,挖矿界也不乏黑吃黑事件。
根据不久前云头条的报道,编写恶意软件以挖矿加密货币的不法分子已开始编写代码,将竞争对手赶出已中了招的计算机。
最先注意到这个矿工的是SANS互联网风暴中心的安全顾问泽维尔•默滕斯(Xavier Mertens)。 3 月 4 日,Martens发现了PowerShell脚本,其在感染机器前先检查目标机器是 32 位系统还是 64 位系统,然后下载名为hpdriver.exe或hpw64 的文件(它们佯称是某种惠普驱动程序)。如果安装成功,攻击脚本会列出正在运行的进程,杀死发现的其他任何耗用CPU资源的进程。
半年 700 万美元 这波挖矿黑客靠着别人的电脑赚翻了
▲图片来源:云头条
“争夺CPU周期的好戏开始上演了!”Mertens说道。
雷锋网 Via.Threat Post 参考来源:云头条
雷锋网原创文章,未经授权禁止转载。详情见转载须知。

搜搜吧社区温馨提示:
搜搜吧(www.sosoba.org)十分重视网络版权及其他知识产权的保护,针对网络侵权采取如下版权政策:
1、本站有理由相信网友侵犯任何人的版权或作品,(图文,文字,下载,视频,非法传播),本站有权不事先通知即删除涉嫌侵权的作品和内容!
2、本站将采取必要的网络技术手段,确认为侵权作品或内容的用户有权进行警告、屏蔽、删除的行为,尽可能的防止侵权行为的发生!
3、如若您的作品或内容在搜搜吧被侵权,请及时联系我们并提供能证明版权所有的物品,我们将及时进行处理,给您造成不便,敬请谅解!
4、搜搜吧删帖,投诉,举报,侵权,账号解封唯一指定快速受理频道,请直接发送邮件到 kefu-sosoba@qq.com 一个工作日内核实并邮件通知立即删除

鲜花

握手

雷人

路过

鸡蛋

最新评论

资讯分类

推荐图文

文章排行

Powered by www.sosoba.org X3.4© 2013-2018 搜搜吧社区 小黑屋|手机版|地图|关于我们|新闻资讯|soso搜搜吧社区官网
搜搜吧社区官网创建于2013年07月23日,本站内容均为会员发表,并不代搜搜吧社区立场,请遵守当地相关法律,客服邮箱: kefu-sosoba@qq.com
本站所有的内容均来自互联网以及第三方作者自由发布、本站soso搜搜吧不承担任何的法律责任、若有侵权请来信告知,我们在收到举报后的一个工作日内立即删除
推荐使用:chrmoe谷歌浏览器,搜狗浏览器,QQ浏览器,360极速浏览器,360安全浏览器,猎豹浏览器,火狐浏览器,世界之窗,百度浏览器,Safari浏览器,ios,Android

GMT+8, 2018-10-19 00:32 , Processed in 1.109375 second(s), 27 queries , Gzip On.

返回顶部