近期湖南一起利用挖矿病毒谋取暴利的案件被破获,涉案金额过亿元。犯罪分子开发的挖矿病毒,通过漏洞攻击、买通内部人员等方式植入到网吧电脑中,以获取巨额利益。这样的“卡顿”在近年来大肆泛滥,不光影响着个人用户,更对各企业及行业用户产生不可估量的严重后果。
尽管挖矿病毒在2018年随着数字货币的大跌有所收敛,但是随着2019 年上半年比特币价格上涨,挖矿病毒又有泛滥的迹象。对此,亚信安全发布了《2019 年挖矿病毒半年报告》,其中指出,挖矿病毒的传播数量与Wannamine4.0等“明星”病毒的流行关系很大,黑客更倾向于攻击制造业、能源、快速消费品等网络安全相对薄弱的企事业单位。
挖矿病毒是否会爆发,这些“明星”说了算
从亚信安全披露的挖矿病毒半年整体态势来看,挖矿病毒的拦截次数与流行的挖矿病毒是否得到遏制息息相关:自上半年开始,“驱动人生”病毒以及 Wannamine4.0 挖矿病毒爆发,挖矿病毒的拦截次数快速上升到超过2000次,而随着这两种病毒得到有效遏制,挖矿病毒的拦截次数也锐减到之前的1/3。
【图】2019 年上半年挖矿病毒拦截数量
那么,这两款病毒究竟有什么“魔力”呢。首先 “驱动人生”病毒,从 2 月份开始不断更新,持续与杀毒软件进行对抗。最新发现攻击模块不再由此前植入的母体 PE 文件进行释放,而是由 PowerShell 后门进行下载,并同步下载PowerShell 脚本攻击模块,导致已感染的机器对其他机器发起攻击;而WannaMine 挖矿病毒的传播机制与 WannaCry 勒索病毒一致,其利用“永恒之蓝”漏洞进行传播,在局域网内通过 SMB 快速横向扩散。该病毒模块多,感染面广,具备免杀功能,查杀难度高。
此外,在挖矿病毒活跃家族 TOP10 中,WORM_COINMINER 居首位,其拦截次数占到总拦截次数的 43%,其次是 COINMINER_COINHIVE 和 COINMINER_MALXMR 病毒,分别占到总拦截次数的12%和9%。
【图】2019年挖矿病毒家族半年活跃TOP 10
据报告分析,挖矿病毒传播量之所以和少数几款病毒高度相关,是因为挖矿病毒伴随着极高的利润,不法分子往往会在地下黑市选择效率最高、免杀功能最好的挖矿病毒。同时,挖矿病毒带来的高利润也让不法分子更有动力对于这些病毒进行持续更新,并采用持续性攻击、收买内部人员等方式进行传播,防范难度很高。
中国成为挖矿病毒第二多的国家,制造业深受其害
在挖矿病毒的全球分布上,印度 63%位居榜首,其次是中国和泰国。从中我们可以发现一个很显著的特点:挖矿病毒青睐于人口众多的发展中国家与地区,其背后一个重要原因在于,这些国家与地区有较多的PC保有量,而且网络安全防护意识与能力普遍较差,因此成为不法分子的重点攻击对象。
这一特点同样体现于挖矿病毒的行业分布上,不法分子更倾向于攻击制造业、能源、快速消费品等网络安全相对薄弱的企事业单位。值得注意的是,制造业占据所有行业的 47%。对于制造业来说,流窜的挖矿病毒不仅可能导致设备运行缓慢,而且还可能影响重要业务与数据的安全性。
【图】2019年挖矿病毒半年行业分布 TOP 10
漏洞攻击,最常见传播手段
2019 年,挖矿病毒采用的传播手段和其它病毒类似,其最常使用的攻击手段是漏洞攻击及弱口令暴力破解攻击。其中,漏洞利用攻击更是成为挖矿病毒最青睐的传播手段,利用的漏洞包括“永恒之蓝”等 Windows 系统漏洞,以及各类服务器组件漏洞,这种攻击特点为速度快,针对存在漏洞的机器攻击成功率高。
弱口令爆破也是挖矿病毒很常见的一个传播方式,不法分子会针对特定端口,利用大量的“弱口令密码表”尝试爆破使用弱口令的系统,继而控制电脑执行挖矿。此外,无文件攻击这种新型、高风险传播方式也崭露头角,其利用 PowerShell 申请的内存空间中直接完成恶意代码的下载、解密和执行,全程无文件落地,所以更容易逃脱安全软件的侦测。
对于挖矿病毒的防范,报告也给出了明确的建议,用户不要下载来历不明的软件,而是尽量到正规网站下载应用程序,以防被挖矿病毒渗透。此外,用户最好采用高强度的密码、阻止向 445 端口进行连接、关闭不必要的文件共享,并打全系统和应用程序补丁程序。目前,亚信安全服务器深度安全防护系统Deep Security、深度威胁发现设备 TDA与深度威胁安全网关Deep Edge等产品已经可以有效封堵流行的挖矿病毒。
除此之外,亚信安全还发布了挖矿病毒发展趋势预测:
随着数字货币价格的上涨,可以预见将有更多的挖矿病毒活跃;
由于挖矿病毒隐蔽性高、成本低、收入高等特点,更多的黑客会参与到挖矿病毒的制作和传播;
黑客团体在战术上将有所改变,其将更多地把挖矿病毒作为一种商业模式来运作,会持续运行和改进挖矿病毒技术;
大型已知挖矿病毒家族仍会持续出现变种,而新的挖矿病毒也会不断出现。
