勒索未去挖礦又來，解讀網路淘金熱的黑暗面

在過去的幾年中，勒索軟體大行其道，它創造了一個高利潤的商業模式，允許攻擊者將惡意活動貨幣化。但是勒索軟體也有諸多限制，首先只有少部分人會真的交付贖金，其次，隨著預防和檢測勒索軟體的技術逐步到位，受害者正在逐步減少。再者，有些國家的受害者或許沒有那個經濟能力。可能由於這些限制，所分發的載荷正在穩步轉變，特別是通過漏洞利用或者垃圾郵件時。

在過去的幾個月里，Talos發現利用受害者機器進行挖礦的行為顯著增加，最近加密貨幣和區塊鏈一直是熱點，所以攻擊者難免會關注。

什麼是「挖礦」

總的來說，挖礦就是利用系統資源來解決大量的數學計算，從而獲取一定數量的加密貨幣，在深入了解挖礦之前，先談一談對我們有用的貨幣。

比特幣（BTC）是最廣為人知，也是被廣泛使用的加密貨幣。自成立以來，比特幣就一直在被開採。不過現今挖礦並不是最有效率的方法，一覽所有的加密貨幣，在沒有專門的硬體（ASIC，即專用集成電路，是指應特定用戶要求和特定電子系統的需要而設計、製造的集成電路。）的情況下，只有一部分值得去挖。不同的加密貨幣的差異在於所使用的散列演算法，有些就是為了防止或阻礙這些使用專門硬體而設計的，同時其還會更側重於CPU和GPU這種消費級設備。目前，採用標準系統開採的，最有價值的貨幣是門羅幣（XMR），另外門羅幣在隱私方面十分出色，在各國開始研究比特幣的時候，門羅幣及其他一些貨幣可能會成為某些攻擊者的避風港。

挖礦的方式有兩種，一種是獨立挖礦，一種是利用礦池。基於礦池的挖礦可以讓收益更加穩定。我們經常會看到攻擊者利用門羅幣，因為其回報最多，挖礦軟體也會很容易地分發到受害者那裡。礦池挖礦的使用也最大化了攻擊者試圖侵入的標準系統的效率。想想DDoS，與單個機器發出的請求相比，100000個機器一起是不是更有效率呢？

基於礦池的挖礦是如何運作的

給予礦池的挖礦通過「礦工ID」來協調，這些ID將礦池與單個系統綁定，以便將所挖到的幣分配給正確用戶。正是這些ID，可以幫助我們確定惡意行動的規模和範圍，並了解攻擊者的收益。僅以討論為目的，我們假設如下：

1.一個常見計算機計算哈希值的速度為~125H/s

2.雖然實際挖掘並不總是能夠保證成功生成加密貨幣，但是在此假設下是成功的，因為它可以更好地理解這些惡意礦池的潛在收益。

這些礦工通常從命令行操作，並利用一系列的參數來確定如何執行採礦。用於執行挖掘的軟體和指定參數的命令行語法的典型示例如下：（注意，根據所使用的特定挖掘軟體，所使用的參數名稱有所不同）

如你所見，有兩個主要參數是必需的：礦池URL和礦工ID，然而，現在有很多攻擊者或礦工可以指定其他的參數來掩蓋其活動。如果在沒有這些選項的情況下執行採礦軟體，受害者可能會注意到其系統中的性能顯著下降，因為沒有執行計算資源限制。 這些選項包括：

1.CPU使用限制

2.系統溫度限制

3.核心使用數量

4.休眠時間

每個挖礦程序都帶有自己的一套標誌，這些標誌可以由合法和惡意的礦工以各種方式利用。我們可以注意到，這些選項通常是由攻擊者在實現持久性時部署的。

惡意挖礦

因為惡意挖礦已經成為威脅，所以它是本文重點。攻擊者總是在尋找利用惡意活動獲利的方法，而惡意挖礦也正成為他們的搖錢樹。

在過去的幾年中，勒索軟體主要是從惡意軟體的角度出發，並且有十足的籌碼進行威脅。 這是一個非常有利可圖的商業模式。通過研究Angler Exploit Kit，保守估計Angler背後的攻擊者每年至少3000萬美元。不過隨著系統安全性的提高，安全廠商可以更好地阻止勒索軟體了。

在這種情況下，攻擊者依然繼續使用勒索軟體作為收入來源，由於易受攻擊的系統以及沒有安全意識的用戶的減少，攻擊者開始增加其他途徑，如銀行木馬，竊取憑證，以及點擊欺詐的惡意軟體等等。

那為什麼還要選擇挖掘軟體呢？

理由有很多，有一個原因是

加密貨幣的挖掘是一種「放任式感染」，即一旦一個系統開始挖礦，從攻擊者角度來看，他們無需任何指揮和控制活動，在被刪除之前還能一直產生收入。

誰會在瀏覽網頁或寫倡議書的時候發現挖礦正在進行？由此看來，挖礦軟體恰恰與勒索軟體相反，前者需要在受害者電腦中潛伏更長時間。

不過最大的原因還是挖礦會賺錢，如果不賺錢，那個壞人會利用它？惡意挖礦可以帶來很高的收益，與挖礦相關的成本無非電力和硬體損耗，而在這種情況下，攻擊者可以將這些成本完全排除，因為他們用的是受害者的電，受害者的硬體。

現在我們深入了解一下這些系統可能產生的收入，如前面所提到，計算機的算力受配置等諸多因素影響，假設平均是125H/s，一個機器，在沒有任何硬體損耗和電力的成本的情況下，每天產生1.5元收益，看起來不多，不過基於礦池的挖礦就不一樣了。

目前一些最大的殭屍網路由數以百萬計的受感染機器組成，想像一下，只要控制其中的一小部分系統（約2000台主機）就可以發家致富了。每天三千多，一年一百多萬。

在一個挖礦活動中，攻擊者收集了足夠資源以達到55.20KH/s的哈希率，從下面的截圖可以看出，總支付值為528門羅幣，換算成人民幣約為一百萬元。

從2017年12月底開始的一系列攻擊中，攻擊者利用針對Oracle WebLogic的漏洞（CVE-2017-3506/CVE-2017-10271）進行攻擊。在這些情況下，成功的利用通常會導致安裝和執行挖礦軟體。

在分析這次惡意活動的規模和範圍時，我們觀察到在這些攻擊開始後不久，使用的「礦工ID」就產生了超過500KH/s的哈希率。在寫這篇文章的時候，這個速率仍然維持在350KH/s。

假定哈希率為350KH/s，每天就可以開採2.24個門羅幣，那麼攻擊者每天就可以獲利4200元，一年即可獲利154萬元。在分析「礦工ID」相關聯的統計數據和支付歷史時，得到的門羅幣共為654個，總價值約125萬元。數字可以證明這種攻擊是多有利可圖。

在分析與挖礦軟體分發相關的惡意活動時，我們確定了數十個「工人ID」，通過分析可以知道利用這種方法可以有多賺錢。

另外值得一提的是，門羅幣的價值會隨著時間的推移而不斷攀升。與比特幣類似，門羅幣在去年的估值1月份的13美元上漲至本文發布時的300美元以上，有時甚至達到了500美元。只要加密貨幣狂潮持續下去，價值無疑會繼續增加。開採的每一個加密貨幣都會增加價值，從而增加收入。這也是攻擊者利用惡意挖礦的另一個經濟原因。不過這些挖礦軟體是如何起作用的呢？

挖礦軟體的分發

挖礦軟體無疑是現在的新寵，它還會以不同形式分發給最終用戶，常見方式有垃圾郵件活動，漏洞利用工具包，或者直接利用。

基於電子郵件

垃圾電子郵件是傳遞各種載荷的載體，如勒索軟體，銀行木馬，挖礦軟體等等。以下是一個挖礦軟體分發的一個例子：這些感染典型的工作方式是向用戶發送帶有附件的電子郵件。這些附件通常是Word文檔，該文檔通過惡意宏下載挖礦軟體或解壓縮被感染的壓縮可執行文件。

下面是2017年末的一個例子。這是一個偽造的工作申請，其中包括一個Word文檔，聲稱是一個潛在的候選人的簡歷。

如你所見，電子郵件包含一個word文檔，打開時如下所示。

正如惡意Word文檔常見的那樣，打開文檔會導致文件被下載。這是被稱為「bigmac」的大型挖礦活動的一個例子。

該圖像誘使用戶在文檔中啟用宏內容。一旦點擊，Word將使用Document_Open函數執行一系列高度混淆的VBA宏：

宏會調用一個Shell命令：

通過將第一個參數設置為MsgBox調用，我們可以看到被解除混淆之後這個命令執行的內容：

這將使用System.Net.WebClient遠程檢索可執行文件並使用Start-Process執行。這也可以通過Threat Grid中的動態活動看到：

我們還發現下載的二進位文件正試圖通過使用圖像擴展名來偽裝自己：

在這種情況下，下載的二進位文件是用VB6編寫的可移植的可執行文件，它執行xmrig XMR CPU礦工的變種。此活動可在Threat Grid中動態查看：

動態挖礦活動也可以通過AMP被觀察到，下面的一個例子是在設備監控中看到的

挖礦網路流量也可以使用Cognitive Threat Analytics進行分類，以識別企業環境中的挖礦軟體：

基於漏洞利用工具

除了上面提到的垃圾郵件，運營商也在過去的幾個月里通過smokeloader觀察RIG漏洞利用工具。通過工具的感染是標準的RIG活動。但是，關於挖礦的一個好處是它有很容易追蹤的元素，即「礦工ID」，如下所示：

通過這個ID：

我們開始觀察哈息率，發現其在25KH/s到60KH/s間波動，取平均值42.5KH/s，他的收入是一天510元。這看起來似乎不是一筆可觀的收入，但考慮到挖礦軟體可以保持幾個月持續運行，沒有額外的維護人員的要求。唯一的成本只是租用利用工具。一旦受害者被入侵，這項惡意活動每年將持續獲得的18萬元利潤。

然而，當開始追溯時，我們發現在過去的六個月里這項惡意活動在持續進行，最高哈希率超過100KH/s。

這項惡意活動於去年6月或7月被部署，於9月開始加速，在10月末突然停止，12月中旬又恢復運行，在寫本文時依然在運行。

主動利用

除了針對用戶的威脅之外，Talos還觀察到挖礦軟體通過在蜜罐中進行主動利用而被傳遞。這包括利用多個不同的漏洞來分發這些類型的載荷。之前就有關於EternalBlue被廣泛用於安裝挖礦軟體的報道，以及各種Apache Struts2攻擊，最近還有一個Oracle WebLogic攻擊。這種類型的有效載荷非常適合主動利用，因為它不需要終端系統的持續訪問，最終還可以帶來顯著的經濟收益。

像一年前攻擊者利用勒索軟體一樣，現在攻擊者正在積極利用挖礦軟體。接下來我們深入分析一下實際挖礦活動和已經被用於挖礦的系統。

挖礦再分析

在幾個月的過程中，我們開始尋找系統上的挖礦活動，並發現挖礦軟體依靠技巧在系統上運行，以及與多個不同群體相關的普遍威脅。另外，我們發現大量的企業用戶在他們的系統上運行或試圖運行挖礦軟體，以獲得潛在的個人收益。

我們發現的大多數惡意挖礦軟體的一個共同點是文件名的選擇。攻擊者都會選擇看起來人畜無害的文件名，例如「Windows 7.exe」和「Windows 10.exe」。另外還有「taskmgrss.exe」，「AdobeUpdater64.exe」和「svchost.exe」。Talos還發現通過命令行運行的例子，如下圖所示：

有趣的是，這些挖礦軟體也會聲稱自己是反病毒軟體。

挖礦軟體是否屬於惡意軟體

挖礦客戶端軟體本身不應被視為惡意軟體或者是可能不需要的應用程序/可能不需要的程序（PUA / PUP）。合法的挖礦客戶端軟體只是被攻擊者惡意利用，以確保他們能夠通過在受感染的機器上進行挖礦來創收。挖礦軟體專門用來確保所使用的加密貨幣可供人們使用，以確保網路的一致性並執行和驗證交易，然後獎勵執行複雜數學計算的礦工，以確保加密貨幣生態系統和網路的完整性和安全性。

如果合法用戶在本地運行挖礦軟體，那麼無可厚非；同樣，一個合法用戶可以成為一個礦池的一部分以試圖最大限度地獲得加密貨幣。合法用戶和攻擊者之間的區別在於他們有意執行這個任務。攻擊者正在與合法用戶以完全相同的方式執行此任務，但未經用戶的知情或同意。總之不同之處在於最終用戶的欺騙行為以及挖掘加密貨幣背後的意圖。軟體本身只是是攻擊者選擇使用的惡意軟體的一部分，但是，就像PowerShell或PSExec在惡意攻擊中使用一樣，軟體本身並不是惡意設計。當這些挖礦軟體被攻擊者利用時，受害者不知不覺地被迫為採礦過程中所使用的電力付費，並且利用其計算資源來為攻擊者帶來收入。

企業影響

無論挖礦軟體是使用惡意方法部署，還是企業用戶試圖從工作計算機上產生一些收入，企業都必須決定挖礦軟體是在其環境中是否為惡意軟體。

這是一個很有趣的事情，因為通常挖礦軟體所做的唯一事情就是利用CPU/GPU周期來完成複雜的數學問題。然而，對於一個組企業而言，這是資源浪費或盜用，這些會對系統的性能可能會產生較大的影響。顯然，如果一個挖礦軟體通過上面討論的方法之一被放置到一個系統上，那麼這就是一個惡意的行為。然而，Talos發現大量的用戶似乎願意在企業系統上運行這些挖礦軟體來生成加密貨幣。

這就需要企業制定相關政策，以及決定如何處理。此外，由每個企業決定是否將這些文件視為惡意軟體，並將其移除/隔離。

總結

威脅總是層出不窮，過去的幾年來，惡意軟體通過各種方法迅速發展，而最近，隨著加密貨幣價值直線升高，挖礦相關的攻擊已經成為主要的攻擊手段。另外攻擊者也意識到，這種攻擊和以前一樣可以獲利，不過不會像勒索軟體那樣吸引執法部門的注意。

圍繞挖礦開始新型攻擊並不會讓人太驚訝，因為現在科技媒體一直在宣傳加密貨幣和「區塊鏈」，而且這些貨幣越來越值錢。攻擊者顯然已經注意到了這些，並開始新型的攻擊來讓他們的利益最大化。在過去的幾個月中，惡意分發給受害者的挖礦軟體顯著增加。

在這種新的商業模式中，攻擊者不再需要通過讓目標打開郵件附件，或者利用目標系統漏洞執行代碼來進行勒索，取而代之的是利用目標系統資源進行加密貨幣挖掘。目標計算機的計算能力越好，攻擊者所獲收益就越高。由於物聯網設備安全性欠佳，又沒有過多的用戶交互，用它們來挖礦並不會引起注意，故其正在成為最有吸引力的目標。儘管大多數物聯網設備算力有限，但是暴露在公網中且有漏洞的設備不在少數，所以更加值得重視。

從收益角度來看，一個系統平均每天可以產生價值約1.5元的門羅幣，這意味著如果有2000名受害者（並不是件難事），攻擊者每天就可以得到3000元的收益，一年就是一百多萬。目前有數百萬受感染系統組成的殭屍網路，按照這個邏輯，每年挖礦總值超6億元人民幣。值得注意的是，加密貨幣市場存在波動，這些貨幣的價值每天都會變化。

而這一切只是感染而已，並沒有太多其它操作，除去小部分被發現，其他的會一直挖下去。上面提到的錢讓人印象深刻，不過這還不是最大化收益後的情況。以下收益的細節：

1.許多加密貨幣的價值飛漲，作為最熱門的加密貨幣，門羅幣在過去一年裡升值了3000%。

2.這種攻擊比先前的攻擊更加隱蔽，攻擊者並不是在竊取什麼東西，而是在受害者那裡獲取算力。另外，挖礦軟體其實並不能算惡意軟體。

3.一旦被「開採」，在變成現金之前，沒人知道攻擊者會拿它做什麼，可能去投資了，也有可能變成養老金了…

參考來源：Talos，Covfefe編譯，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！