不剁手也吃土?可能是挖矿木马掏空你的钱包

“剁手党”们总算度过了“双十一”这个令钱包变瘪的购物节,不过也有许多“佛系买家”并没有参加到这场狂欢中。可是,有几位“佛系”网友反映,自己尽管没有剁手买买买,却因为巨额电费而面对吃土的窘境。

本来,这几位网友是因为电脑中不幸被植入了挖矿木马,不只电费比曾经多了不少,连电脑都变的卡慢无比,接近退休。

“挖矿木马”鼓起于2012年,自2017年下半年开端进入一般网民视界,在2018年上半年仍旧坚持迅猛的开展速度。那么最近挖矿木马又有什么新趋势呢?

宅客频道就在360最近发布的《2018年下半年挖矿木马进犯趋势陈述》中扒了扒(本次说到的挖矿木马进犯,不包括网页挖矿进犯)。

2018年上半年每月遭到挖矿木马进犯的计算机数量改变趋势


Windows途径挖矿木马呈缓慢下降趋势

下图展现了2018年下半年以来每日遭到挖矿木马进犯的计算机数量。可以看出,到8月中旬到达最高峰之后,进犯开端出现缓慢下降趋势,10月后数据根本安稳。

2018年下半年每日遭到挖矿木马进犯的计算机数量

形成挖矿木马进犯数量下降的直接原因是多个大型挖矿僵尸网络在8月至10月之间更新缓慢乃至中止更新。以Mykings挖矿僵尸网络为例,Mykings侵略时所运用的Download URL在8月、9月两个月未进行更新,这也导致在这两个月中Mykings的网络扩建根本阻滞。

Mykings僵尸网络2018年下半年所运用的Download URL列表


进犯者也重视安全动态?

而形成挖矿木马进犯数量下降另一个原因可能是2018年下半年揭露的影响Web运用的缝隙POC相比较上半年和上一年要少得多。

下表展现了2018年以来较常被挖矿木马宗族运用的Web运用缝隙,这些缝隙适用性广、缝隙运用代码编写简略,因而倍受挖矿木马宗族喜欢。但这些缝隙的POC(缝隙概念验证)简直都是2018年5月之前揭露的,5月之后就很少有相似的POC被揭露,也就很难被挖矿木马宗族所运用。没有新的缝隙运用参加将导致挖矿木马宗族更新速度减缓,而老缝隙被修补也会使得挖矿僵尸网络“捉襟见肘”。   

2018年被挖矿木马所运用的Web运用缝隙

Web运用缝隙POC的揭露对挖矿木马的影响怎么?下图展现了WannaMine挖矿宗族2018年4月到2018年5月每星期进犯的计算机数量改变趋势。

由图中可见WannaMine宗族进犯计算机数量在4月中旬后开端飙升,而Weblogic反序列化缝隙CVE-2018-2628的POC也正是在这个时分被揭露。果不其然,国外安全厂商Morphus Labs发现了WannaMine宗族在CVE-2018-2628的相关POC揭露的数小时之后开端运用该缝隙进行进犯,这也和图中所示的进犯趋势符合。可见,每逢有新的适用于挖矿木马宗族侵略的Web运用缝隙POC被揭露,必然会带来一波巨大的挖矿木马攻势。

WannaMine挖矿宗族2018年4月-5月进犯趋势

风趣的是,加密钱银的价格与挖矿木马的进犯趋势并无显着相关。以绝大多数挖矿木马挑选的币种门罗币为例。

如图所示,门罗币兑美元价格在2017年末到达高峰,从2018年开端快速跌落。但这并没有阻挠挖矿木马的迸发,在这段时间挖矿木马反而开展迅猛。而8月之后,门罗币价格有少许回暖,挖矿木马进犯趋势反而缓慢下降。可见,加密钱银价格不是决议挖矿木马开展趋势的首要原因。

门罗币价格2017年11月-2018年11月改变趋势

挖矿木马在进犯形式上与其他木马并未有太大差异,多是经过缝隙运用、弱口令爆炸、不合法运用传达等其他木马也运用的手法完结进犯。挖矿木马与其他木马的差异在于获利方法,加密钱银的出现为木马供给一种简略粗犷的获利方法,即便加密钱银价格跌落,其收益依然不低于DDoS效劳、加密勒索等其他获利方法。此外,挖矿木马的获利方法相比较其他获利方法在危险本钱上也更可控——进犯不会形成太大动态、法令危险也相对较低。因而进犯者更垂青的可能是挖矿木马的这些长处,而非加密钱银的价格。


针对PC的挖矿木马不容小视

Windows效劳器一直是挖矿木马的重灾区,下图展现了针对Windows效劳器的挖矿木马与针对PC的挖矿木马在数量上的比照,针对Windows效劳器的挖矿木马占比超过了80%。进犯者将目光集中于Windows效劳器的首要原因是效劳器不管在功用上或许是在用户触摸频率上关于进犯者而言都是极度友爱的——效劳器的功用大部分要远高于个人电脑,而且效劳器大多是“疏于看守”的,挖矿木马可以长时间埋伏。

针对Windows效劳器的挖矿木马与针对PC的挖矿木马数量比照

不过这并不代表针对PC的挖矿木马可以被忽视。针对PC的挖矿木马宗族OnesystemCareMiner、HiddenPowerShellMiner、飞熊矿业等宗族依然在活泼中。图7展现了针对PC的挖矿木马的首要传达途径散布,其间网页挂马和破解软件是这类挖矿木马最为常见的传达途径。

针对PC的挖矿木马首要传达途径散布


挖矿宗族竞赛剧烈

在针对Windows效劳器的挖矿木马宗族中,具有僵尸网络性质的宗族操控较多的设备,而不具有僵尸网络性质的宗族只能在每次新的缝隙POC揭露之后的一段时间主张一次或几回进犯,一旦进犯成功就植入挖矿木马,并不测验对受害计算机进行继续操控,因而这类宗族操控的资源较少。此外,不具有僵尸网络性质的挖矿木马宗族数量要远大于具有僵尸网络性质的挖矿木马,因而每个宗族可以分割到的资源更是少的不幸。

挖矿木马宗族性质以及占用资源散布

如上图所示,具有僵尸网络性质的挖矿木马宗族占有了85%的资源,这是不具有僵尸网络性质的挖矿木马宗族的将近6倍之多,而这些资源只把握在WannaMine、Mykings等几个宗族手中。而另一边则出现出了另一种场景——15%左右的资源被数十个宗族分割,这也加重了宗族之间的竞赛。

在这种恶劣的竞赛环境下,挖矿木马宗族就需要一些特别的技术让自己生计下来。“8220”安排就是具有这类技术的宗族,除了在进犯代码中添加对立其他挖矿宗族的模块之外,“8220”安排还会时间记载被侵略的机器信息以便在挖矿程序被安全软件或许被其他挖矿宗族铲除之后可以第一时间再次侵略机器植入挖矿木马。

这里有一组风趣的数据,如图所示,在“8220”宗族在5月初更新载荷下载URL前后(图中红框所标出的条目),其侵略成功的计算机数量简直不变,可见“8220”宗族尽管不具有僵尸网络性质,但其依然能将受害机器操控在手中。

“8220”挖矿木马宗族5月初更新前后侵略计算机数量比照

跟着缝隙运用的“小白化”,将会有更多进犯者参加这场资源争夺战中,不过资源只留给有预备的人,大多进犯者会逐渐消失在这个舞台上。


横向浸透是Mimikatz和“永久之蓝”的全国

关于具有横向浸透功用的挖矿木马宗族,Mimikatz和“永久之蓝”缝隙简直是一切这类宗族所运用的兵器。这些宗族中将近70%的宗族带有“永久之蓝”传达模块,30%的宗族带有Mimikatz横向浸透模块,如图所示。

运用Mimikatz和“永久之蓝”缝隙进行横向浸透的宗族份额

当然,这两款横向浸透利器不只仅在挖矿木马宗族中受欢迎,在其他进犯范畴也被广泛运用,首要原因仍是在于其功用强大而且操作简略,不管是关于新手仍是关于专业黑产人员都是极端友爱的。

最终,说了这么多挖矿木马趋势,有没有什么防护主张?

当然有了!

Windows效劳器挖矿木马防护主张:

(1)  及时为体系打补丁。防止缝隙进犯;

(2)  及时更新Web效劳端、数据库等对外开放效劳的运用到最新版别,防止缝隙进犯;

(3)  运用强度高的Windows登录暗码以及Web运用、数据库登录暗码,防护弱口令爆炸进犯;

(4)  装置杀软软件或效劳器安全软件防护挖矿木马进犯。

PC挖矿木马防护主张:

(1)  及时为体系打补丁。防止缝隙进犯;

(2)  不翻开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件;

(3)  不阅读被安全软件提示为歹意的站点;

(4)  不装置来历不明的软件、外挂等,不翻开被安全软件符号为歹意的文件;

(5)  装置杀毒软件防护挖矿木马进犯。

为您推荐

发表评论

当前非电脑浏览器正常宽度,请使用移动设备访问本站!