近年來,加密貨幣的迅速發展,也催生了一種全新的黑產——挖礦木馬。挖礦木馬源於數字貨幣,利用挖礦程式獲取數字貨幣利益。隨著比特幣等數字貨幣交易價格的不斷攀高,各類挖礦木馬的身價水漲船高,數量也急劇增加。
一旦裝置被入侵併被植入了挖礦木馬,那便成了駭客的斂財工具。因此在短短几年內就催生出一大批的挖礦木馬家族,與之一起增加的還有對各個平臺裝置的大量攻擊。
“挖礦木馬”到底是什麼
對於大部分網際網路使用者來說,挖礦木馬更像是隱藏在網際網路角落中的“寄生蟲”,人們對其知之甚少。在使用者不知情的情況下,將挖礦木馬植入計算機、網頁之中,利用挖礦程式依據特定演算法透過大量運算獲得數字貨幣,這就是所謂的“挖礦木馬”。
挖礦木馬主要依靠殭屍網路和網頁挖礦兩種手段進行斂財,殭屍網路是駭客透過入侵其他計算機植入挖礦木馬,並透過繼續入侵更多計算機,從而建立起龐大的傀儡計算機網路一起“挖礦”。而網頁挖礦則是將挖礦木馬植入網頁之中,在使用者瀏覽器開啟該網頁時,就會解析挖礦指令碼,利用使用者計算機資源進行挖礦從而獲利。
挖礦木馬一般需要控制大量裝置來實施挖礦,才能保證可觀的收益,因此可以發現挖礦木馬與“殭屍網路”相伴而生。而入侵的方式多種多樣,比如軟體捆綁、伺服器類漏洞攻擊、口令爆破等。
“挖礦木馬”的危害性
挖礦木馬隱藏在幾乎所有安全性脆弱的角落,一旦中招,電腦將變為駭客的“挖礦苦力”,出現計算機使用率飆升、當機、卡慢、發熱、CPU及記憶體被大量佔用等情況,嚴重影響正常使用。
在暴利驅動下,挖礦木馬還不斷使用新花招,企圖掩蓋罪行並擴大傳播量。比如,有些挖礦木馬會根據中招者實時使用情況進行調節,以保障不會很快被計算機檢測出;有些會在使用者關閉瀏覽器視窗後,隱藏在工作列右下角繼續潛伏挖礦。
更有甚者,挖礦木馬也搭上了核彈級駭客武器。360安全衛士之前曾截獲一款利用“永恆之藍”傳播的門羅幣挖礦木馬,由於搭載了重磅攻擊彈藥,該木馬傳播量龐大,高峰時期360每天為使用者攔截到的攻擊就達10萬次。
威脅日益增加的挖礦木馬JavaXminer
據360安全衛士團隊介紹,被命名為JavaXminer的挖礦木馬家族多使用Web服務類漏洞對OA系統、Web伺服器等進行攻擊。該木馬團伙更新迅速且頻繁,善於利用最新公開的各類Web漏洞,成本降低的同時又可以較為輕易的獲取未及時修補漏洞的伺服器訪問許可權。從其攻擊趨勢也可以看出與Web端漏洞的曝出相關。
360高階威脅研究分析中心表示,從2018年開始,便對JavaXminer進行了持續監控。該家族具備Windows、Linux雙平臺的攻擊能力,導致其攻擊量在2020年至2021年有大幅度增加。基於大資料分析發現:與該家族所攻擊的主要Web應用目標——如各類OA、Tomcat、Confluence等——受到攻擊的整體態勢與JavaXminer攻擊量變化態勢基本吻合,這也佐證了JavaXminer的攻擊對整體安全態勢的影響力。
為了攫取更大利潤,JavaXminer還會清理“競品”,以便於最大程度地佔據系統資源挖取貨幣。因為暴露於公網且存在漏洞的伺服器很容易被各種木馬給盯上,對於挖礦木馬來說,在這種機器上常常會碰見自己的“同行”,所以清理競品木馬也就不足為奇了。
近年來挖礦木馬肆虐,挖礦木馬逐漸從隱匿的角落走向大眾視野。在巨大利益的催生下,木馬挖礦攻擊頻次逐步提高,黑色產業鏈日漸成型,使用者所面臨的電腦保安環境將更加複雜。
如何防護“挖礦木馬”
360新一代終端檢測響應系統(360EDR)透過持續監測終端活動行為、檢測安全風險、深度調查威脅風險、提供補救響應手段等方式,補充了傳統終端安全產品防禦高階威脅能力的不足,能在對抗高階威脅中壓縮攻擊者的攻擊時間,減少高階威脅最終達到目的可能性,獲得更快速、高效的防禦效果。透過360EDR能夠及時發現和處置各類挖礦攻擊,可以透過部署360EDR檢查裝置使用被JavaXminer入侵。
另外,360安全衛士擁有“挖礦木馬防護”功能,可以全自動檢測攔截“挖礦木馬”,徹底免疫挖礦攻擊。使用者只要開啟該功能,就能全面防禦從各種渠道入侵的挖礦攻擊。瀏覽網頁時,會像遮蔽廣告一樣,自動為使用者遮蔽挖礦指令碼;下載及使用軟體程式時,會實時攔截各類挖礦程式碼的執行並彈窗預警,確保使用者CPU資源不被消耗佔用,保障使用者正常的上網體驗。
繼“網購先賠”、“反勒索服務”之後,“挖礦木馬防護”是360安全衛士針對電腦端高發惡意攻擊,從使用者場景出發打造的又一重磅服務。如今,挖礦木馬將成為繼勒索病毒後,駭客牟利的又一重磅武器。360在對抗挖礦木馬領域,不僅一直持續追蹤並率先監測攔截多起大規模挖礦事件,更成為國內首個提供挖礦木馬防護的安全軟體。在對抗高發木馬,360安全衛士始終為5億使用者提供最為強大的後盾,全面保障使用者正常的上網體驗。