比特幣等虛擬貨幣價(jià)格的一路飆升讓一些手中有技術(shù)的黑客們坐不住了，一場(chǎng)虛擬貨幣淘金熱正在瘋狂進(jìn)行中。不過(guò)，他們并沒(méi)有帶著自己的挖礦機(jī)參與這場(chǎng)狂歡，而是“奴役”起了其他無(wú)辜用戶的電腦。

事實(shí)證明，這還真是個(gè)暴利行業(yè)，研究人員在過(guò)去 6 個(gè)月內(nèi)追蹤了一個(gè)挖礦團(tuán)伙，它們居然利用 1 萬(wàn)臺(tái)感染了挖礦惡意軟件的電腦掙了 700 萬(wàn)美元。

對(duì)于網(wǎng)絡(luò)安全從業(yè)者來(lái)說(shuō)，挖礦惡意軟件的崛起是意料之中，不過(guò)此類軟件復(fù)雜度提升如此之快是人們始料未及的。黑客們?yōu)榱吮├掷锏暮诳萍伎啥加蒙狭?。研究人員發(fā)現(xiàn)，一些只在高級(jí)持續(xù)性威脅（APT）中才會(huì)用到的黑客技術(shù)和工具都成了挖礦小組們的標(biāo)配。

據(jù)雷鋒網(wǎng)了解，卡巴斯基實(shí)驗(yàn)室周一發(fā)布了最新報(bào)告，研究人員剖析了三個(gè)挖礦小組，它們都是虛擬貨幣潮背景下的變種網(wǎng)絡(luò)罪犯?？ò退够鶎?shí)驗(yàn)室研究人員 Anton Ivanov 指出，這些小組行事低調(diào)，完全沒(méi)有其它黑客咄咄逼人的氣勢(shì)，但他們卻悄悄潛伏在了電腦或數(shù)據(jù)中心里。

研究人員估計(jì)，光是去年一年，就有 270 萬(wàn)用戶中招，成了黑客的免費(fèi)挖礦機(jī)，而 2016 年時(shí)感染此類病毒的電腦只有 187 萬(wàn)臺(tái)（增速高達(dá) 50%）。

“除了控制個(gè)人用戶的電腦，企業(yè)電腦也成了黑客的目標(biāo)。這些惡意軟件則主要通過(guò)廣告軟件、破解游戲和盜版軟件傳播?！毖芯咳藛T在報(bào)告中寫道?！按送?，黑客還通過(guò)被感染網(wǎng)頁(yè)上一個(gè)特殊的 JavaScript 代碼來(lái)入侵受害者電腦，Coinhive（網(wǎng)頁(yè)挖礦機(jī)）就是其中最為臭名昭著的，很多受歡迎的網(wǎng)站上都被黑客埋了雷。”

▲用別人電腦挖礦成了 2017 年的新潮流

為挖礦搭建的大型僵尸網(wǎng)絡(luò)

卡巴斯基實(shí)驗(yàn)室將第一個(gè)挖礦團(tuán)伙命名為 Group One，這波人為了挖礦牟利，居然利用遍布全球的 1 萬(wàn)多臺(tái)電腦和服務(wù)器搭建了僵尸網(wǎng)絡(luò)。研究人員還表示，這些電腦很容易被控制，只要他們沒(méi)打上漏洞補(bǔ)?。ㄈ缬篮阒{(lán)），就有可能成為黑客的免費(fèi)挖礦機(jī)。

“該團(tuán)伙主要挖門羅幣，而且還用上了定制版的挖礦機(jī)?！盜vanov 說(shuō)道?！盀榱顺掷m(xù)獲利，他們甚至用上了類似 Process Hollowing 和操縱 Windows 系統(tǒng)任務(wù)管理器等手法。”

這里所說(shuō)的 Process Hollowing 是現(xiàn)代安全軟件中常用的進(jìn)程創(chuàng)建技術(shù)，雖然在使用任務(wù)管理器等工具查看時(shí)，這些進(jìn)程是合法的，但事實(shí)上該進(jìn)程的代碼已被惡意內(nèi)容替代。卡巴斯基指出，這是它們第一次在挖礦攻擊中發(fā)現(xiàn)該技術(shù)。

Windows 上的任務(wù)管理器一直都是黑客的突破口，它幾乎成了惡意軟件最好的偽裝。感染了惡意軟件的用戶幾乎沒(méi)什么察覺(jué)，因?yàn)樵陂_(kāi)始界面中，這些軟件都有著人畜無(wú)害的名字。不過(guò)，它們啟動(dòng)后挖起礦來(lái)可是一點(diǎn)都不客氣。

攻擊前罪犯?jìng)儠?huì)提前尋找受害者

第二個(gè)挖礦團(tuán)伙（Group Two）與 Group One 不同，他們可“挑剔”的很。

在對(duì)該團(tuán)伙進(jìn)行分析后，卡巴斯基發(fā)現(xiàn)了 PowerShell 腳本中的硬編碼信息，他們認(rèn)為“黑客會(huì)提前對(duì)受害者進(jìn)行‘空中偵察’，以選定自己的目標(biāo)。Group Two 如此挑剔主要是怕將惡意軟件植入系統(tǒng)管理者或安全官電腦中，這樣的專家能很快識(shí)破他們的伎倆。

由于該團(tuán)伙用的是私有礦池，因此他們到底賺取了多少暴利還是個(gè)未知數(shù)。不過(guò)，鑒于該團(tuán)伙用了不少?gòu)?fù)雜技術(shù)且專挑大公司下手，Ivanov 認(rèn)為他們的牟利金額至少在百萬(wàn)美元級(jí)別。

倒賣計(jì)算能力

雷鋒網(wǎng)發(fā)現(xiàn)，Group Three 團(tuán)伙的玩法又不一樣了，他們搭建起來(lái)的挖礦套件自己不用，而是拿到網(wǎng)上售賣。卡巴斯基的報(bào)告顯示，該套件基于一個(gè)定制的腳本，專挖在暗網(wǎng)上做廣告的門羅幣。

此外，這套挖礦套件還能進(jìn)行深度定制，購(gòu)買者可以調(diào)整 CPU 使用率，當(dāng)受害者打開(kāi)吃性能的游戲時(shí)，它還會(huì)自動(dòng)進(jìn)入休眠狀態(tài)以防被發(fā)現(xiàn)。

“這些套件的目標(biāo)是細(xì)水長(zhǎng)流，普通用戶恐怕很難意識(shí)到它們的存在。”研究人員解釋道。

此外，在報(bào)告中卡巴斯基還警告稱，曾經(jīng)在黑客界紅極一時(shí)的勒索軟件已經(jīng)鋒芒不在，現(xiàn)在最火爆的就是這種虛擬貨幣惡意軟件，而其中的參與者有很多都是從勒索軟件開(kāi)發(fā)轉(zhuǎn)行的。

這波“轉(zhuǎn)行”也是666。

再現(xiàn)“黑吃黑”，CPU竊賊的相殺

除了上述三個(gè)“搞事”挖礦組，雷鋒網(wǎng)發(fā)現(xiàn)，挖礦界也不乏黑吃黑事件。

根據(jù)不久前云頭條的報(bào)道，編寫惡意軟件以挖礦加密貨幣的不法分子已開(kāi)始編寫代碼，將競(jìng)爭(zhēng)對(duì)手趕出已中了招的計(jì)算機(jī)。

最先注意到這個(gè)礦工的是SANS互聯(lián)網(wǎng)風(fēng)暴中心的安全顧問(wèn)澤維爾?默滕斯（Xavier Mertens）。3月4日，Martens發(fā)現(xiàn)了PowerShell腳本，其在感染機(jī)器前先檢查目標(biāo)機(jī)器是32位系統(tǒng)還是64位系統(tǒng)，然后下載名為hpdriver.exe或hpw64的文件（它們佯稱是某種惠普驅(qū)動(dòng)程序）。如果安裝成功，攻擊腳本會(huì)列出正在運(yùn)行的進(jìn)程，殺死發(fā)現(xiàn)的其他任何耗用CPU資源的進(jìn)程。

▲圖片來(lái)源：云頭條

“爭(zhēng)奪CPU周期的好戲開(kāi)始上演了！”Mertens說(shuō)道。

雷鋒網(wǎng) Via.Threat Post 參考來(lái)源：云頭條

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見(jiàn)轉(zhuǎn)載須知。