黑客业务

       

木马家族那些顽固的病毒

由于采矿收入可以通过数字加密硬币系统结算，黑暗产业实现链非常方便快捷，中间商（洗钱团伙）赚取差价。数字加密货币销售系统的匿名性给执法部门的调查和处罚带来了巨大的困难。虚拟加密货币已成为黑色硬通货，采矿木马已成为2018年最主流的恶意软件。            

   
   

   

   一、概述    

   

   根据腾讯御见威胁情报中心的监控数据，2018本月采矿木马样品数量达到100万，上半年呈快速增长趋势，下半年上升趋势放缓。由于采矿收入可以通过数字加密硬币系统结算，黑暗产业实现链非常方便快捷，中间商（洗钱团伙）不足以赚取差价。数字加密货币销售系统的匿名性给执法部门的调查和处理带来了巨大的困难。    

   

       

   

   在已往的20182000年，采矿病毒的流行程度远远超过传统病毒，如游戏盗窃木马、远程控制木马、网络绑架木马、感染病毒等。以比特币为代表的虚拟加密货币经历了过山车市场。许多矿山倒闭，采矿机器跌到了每轮销售的水平。但即使货币价值大幅下降，采矿木马也没有减少。由于控制他人的肉鸡计算机采矿，成本为零。    

   

       

   

   当计算机运行挖掘病毒时，计算机CPU、GPU资源占用会增加，电脑会变慢。如果是笔记本电脑，会更容易观察到异常:比如电脑发热，风扇转速增加，电脑噪音增加，电脑运行速度减慢。但也有挖掘木马故意控制挖掘过程中的占用CPU在一定的局限性内，并将资源设置为检测到义务治理器时，以降低被用户发现的概率。    

   

       

   

   凭据腾讯御见威胁情报中心监测数据，2018采矿木马样本月数量达到百万，全年呈上升趋势。    

   

       

   

   
   

   

       

   

   我们对2018年度采矿病毒样本分类，统计采矿木马使用的端口号、工艺名称和矿池特点，发现以下特点：    

   

       

   

   采矿木马最偏心的端口号依次是3333、8008、8080。    

       
   

   
   

   

       

   

   采矿木马喜欢将自己的过程命名为系统过程来怀疑用户，除了直接使用部门采矿过程xxxminer外，最常用的过程叫做windows系统历程名：svchost.exe以及csrss.exe。    

       
   

   
   

   

       

   

   采矿木马靠近矿池进行采矿，从矿池中获得义务，并在计算后提交给矿池。矿工将自己的矿机连接到矿池中，孝顺计算能力，配合采矿，分享收入。2018采矿木马最常用的矿池是f2pool.com，其次为minexmr.com。    

       
   

   
   

   

   二、2018挖掘木马的特点每年都会传播    

   

   1．瞄准游戏高配机，高效挖掘    

   

   辅助外挂是2018挖掘木马最喜欢的藏身软件之一。由于游戏用户对计算机性能的要求较高，罪犯瞄准游戏玩家的计算机，相当于找到性能“绝佳”采矿机械。    

   

       

   

   案例1：tlMiner采矿木马行使绝地生存玩家的高设置机械，建立采矿集群    

   

       

   

   2017腾讯电脑管家在年底发现了一个名字“tlMiner”采矿木马隐藏在《绝地求生》的辅助程序中，单日影响最大机械量20万台。通过追溯分析，发现木马在2017年12月8新版本发布后，第一个植入辅助工具，在此期间停止使用，但伟大的利益驱使罪犯12月25重新开放辅助和挖掘效果。    

   

       

   

   2018年1月腾讯电脑管家对tlMiner采矿行为和传播源立即曝光3本月，与腾讯守护者合作设计安全团队，协助山东警方快速攻击木马作者，并在那里4月初，这家链条顶端的黑生产公司被淘汰。据统计，该团伙共同挖掘DGB(极特币)，HSR(红烧肉币)，XMR(门罗币)，SHR(超级现金)，BCD(比特币钻石)等数字加密币跨越2000万，非法利润超过万万。    

   

       

   

   案例2：藏身《荒原行动》辅助挖掘木马    

   

       

   

   2018年2月，腾讯电脑管家发现一款门罗币挖矿木马藏身在上百款《荒原行动》辅助二次打包程序中流传，并在2月中下旬通过社交群、网盘等渠道传播，呈现出明显的上升趋势。    

   

       

   

   2018年6致力于传播勒索病毒的病毒作者月xiaoba还关注了《荒原求生》的辅助插件，在网站上xiaobaruanjian.xyz它提供荒原行动游戏辅助，并植入挖掘木马。一旦从网站下载并运行所谓的吃鸡辅助，计算机CPU挖掘将被大量占用。    

       
   

   
   

   

       

   

   如果碰巧遇到比特币和以太坊买卖中毒电脑，xiaoba挖掘木马还将监控剪切板。当比特币和以太坊币在中毒计算机上交易时，病毒将在交易时更换收款人的地址，以实现加密货币交易抢劫。    

   

       

   

   案例3：通杀游戏外挂520Miner挖矿木马    

   

       

   

   2018年5腾讯御见威胁情报中心感知到一个叫做“520Miner”采矿木马520Miner仅能使用CPU挖取VIT硬币对计算机性能要求不高，所有个人PC因此，机器可以介入520Miner挖掘团伙通过游戏插件传播挖掘木马，在短短两天的时间引了数千台国内机器。然而，从收入的角度来看，木马在几天内被挖掘出来67枚VIT货币总价值不到一毛钱，可以说是历史上最差的挖矿木马。    

   

       

   

   2．用奇怪的手艺逃避阻挡    

   

   案例1：矿工通过了尤物蝎DNS隧道工艺逃避障碍    

   

       

   

   2018年5月腾讯御用威胁情报中心感知到一种挖掘木马，隐藏在玉石人的图片中，行使图片加密并通知矿池的相关信息，因此被称为尤物蝎挖掘木马。木马控制跨越2万台肉鸡电脑，分配不同的肉鸡集群挖掘不少于4数字加密币：BCX(比特无限)，XMR(门罗币)，BTV(比特票)，SC(云储币)等。    

   

       

   

   木马特点还在于通过DNS获取隐藏的隧道返回信息C2信息。首先通过DNS协议见一级C2，第一级C2服务器会回应一段text串，解密后获得二级C2地址，DNS协议是基于的UDP在协议之上，也是系统级协议，杀软会很少检测到DNS数据是否异常。    

   

       

   

   
   

   

   3．采矿木马版快速升级    

   

   案例1：Apache Struts2企业服务器入侵安装高危破绽KoiMiner挖矿木马    

   

       

   

   2018年7腾讯皇家威胁情报中心发现黑客行使攻击工具检测网络Apache struts2破绽(CVE-2017-5638)服务器发现有缺陷的机机器后，通过远程执行各种指令收集权利、建立账户和系统信息，然后植入木马下载器，然后下载挖掘木马netxmr4.0.exe。    

   

   挖木马netxmr解密代码后，模块名称koi因此，它被命名为KoiMiner。    

   

       

   

   通过比较多个类似样本，发现木马作者在一个月内更新并发布4挖矿木马版。    

       
   

   
   

   

       

   

   简朴先容下转变较大的两个版本：    

   

   版本1：    

   

   2018年11腾讯御视威胁情报中心发现KoiMiner挖矿木马变种，变种挖矿木马升级到6.0版本，木马作者对部门代码加密匹配研究人员调试分析，木马专门针对企业SQL Server 服务器的1433端口爆破攻击，攻击乐成后植入挖掘木马，继续下载SQL蠕虫式流传是爆破工具。    

   

       

   
   

       

   

   版本2：    

   

   2018年12腾讯御见威胁情报中心再次检测到KoiMiner流动，此次样本仍专门针对企业SQL Server 服务器的1433端口爆破攻击，攻击乐成后首先植入Zegost远程控制木马(远程控制木马)Gh0st修改版本将导致服务器在安装后被黑客完全控制)，并进一步植入挖掘木马。黑客攻击时使用SQL爆破工具CSQL.exe加密方式与7每月发现的样本相同，解密后以模块名称koi加载执行。    

   

       

   

   通过SQL爆破工具的解压路径1433腾龙3.0举办追溯源头，发现与攻击有关的黑客工艺论坛(腾龙工艺论坛)，通过信息对比确认相关论坛活跃成员*aoli**22论坛上流传的挖矿木马生成器SuperMiner v1.3.6”,成员注册C2域名使用的姓名和电话号码。    

   

   4．暴力入侵多家医院，威胁医疗系统信息平安    

   

   案例：多家三甲医院服务器被暴力入侵，黑客被赶走50剩余的采矿木马独有采矿资源    

   

       

   

   医疗业务系统正在迅速实现信息化，医疗业务系统已成为黑客攻击的焦点。2018年7月腾讯宇建威胁情报中心发现，多家三甲医院的服务器被黑客入侵，攻击者暴力破解医院服务器的远程登录服务，然后下载各种挖掘木马。    

   

       

   

   攻击者将采矿木马伪装成远程协助工具Teamviewer运行，挖掘木马将检测多达50对于常用的挖掘程序，这些程序完成后将独占服务器资源。木马还将修改注册表，损坏操作系统的安全效果：禁止UAC(用户账户控制)Windows Defender，关闭危险程序时打开建议等。已知样本分析发现，攻击者使用的挖掘木马有多个矿池，开挖的山寨加密币包括门罗币（XMR）、以太坊（ETH）、零币（ZEC）等等，从矿池信息来看，攻击者已经积累了利润40余万元。    

   

       

   

   5．应用NSA武器攻击，木马，蠕虫朋比强奸    

   

   自从NSA自武器库工具泄漏以来，一直受到黑客的高度重视。该工具包可以通过简单的修改和行使达到蠕虫传播病毒的目的。2018腾讯御见威胁情报中心发现了大量挖矿木马团伙应用NSA挖掘木马的武器库工具流传，使挖掘木马具有蠕虫病毒的流传能力。    

   

       

   

   案例1：醒目NSA十八般兵器NSAFtpMiner熏染约3万台电脑    

   

       

   

   2018年9腾讯御视威胁情报中心发现黑客通过1433端口爆破入侵SQL Server服务器，然后植入远程控制木马，安装为系统服务，然后行使远程控制木马进一步加载采矿木马进行采矿。黑客随后下载NSA武器攻击工具在内网攻击扩散，如果攻击乐成，远程控制木马将继续安装在内网机械上。    

   

       

   

   木马加载的攻击模块几乎被使用NSA武器库中的18种武器：    

   

   Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance(永恒浪漫)，Esteemaudit（RDP缺陷攻击)等缺陷攻击工具用于内网攻击，攻击主要过程伪装成Ftp还将行使系统焦点服务FTP功效更新内网文件。攻击内网机械后，植入远程控制木马，继续从C2地址下载挖矿和攻击模块，举行内网扩散熏染。    

   

       

   

       

   

   
   

   

       

   

   案例2：NSABuffMiner采矿木马占据校园服务器，非法盈利115万元    

   

       

   

   2018年9月腾讯御见威胁情报中心收到用户反馈，某学校网水卡治理服务器植入名称rundllhost.exe挖矿木马。经过分析，发现木马是NSASrvanyMiner挖掘木马的变种，木马也行使NSA武器工具在内网攻击中流传，服务器未修复。ms17-010因此被攻击行使挖矿。NSABuffMiner挖掘木马使用钱包信息，发现钱包的累计挖掘收入高达115万元。    

   

       

   

   案例3：ZombieboyMiner控制僵尸男孩矿工7一万台电脑挖门罗币    

   

   

   

   2018年10腾讯御见威胁情报中心检测行使ZombieboyTools挖掘木马家族的最新流动。木马对公共黑客工具ZombieboyTools（集成NSA修改攻击模块，然后修改其中NSA包装攻击模块，包装公网和内网IP举行攻击，并在招聘机械中执行Payload进一步植入挖矿，RAT(远程接触控制)木马。    

   

       

   

   通过比较确认从2017年9自本月以来，许多制造商已经宣布了Zombieboy朋友公布的攻击事项和攻击事项NSASrvanyMiner攻击，腾讯御见将该团伙命名为统一团伙ZombieboyMiner。据腾讯御见威胁情报中心监测，ZombieboyMiner木马(僵尸男孩矿工)近一年来出现了熏染7监测数据显示，该病毒非常活跃。    

WinRAR传播高危漏洞Lime-RAT远程控制木马

   

       

   

   6．同时针对多个平台举行攻击、植入差别版本的挖矿木马    

   

   2018年11月御见威胁情报中心发现了一个双平台挖掘木马Windows和Android门罗币挖掘程序在中毒电脑和手机上运行。Windows在游戏下载站的帮助下，版本使用了正当数字签名的文件，木马Android伪装版本Youtube中毒用户在手机上看视频播放器Youtube在视频中，病毒会在后台运行门罗币挖掘程序，从而增加手机发烧，缩短续航时间。    

   

       

   

   
   

   

       

   

   2018年12通过情报中心通过蜜罐系统部发现行使Aapche Struts2-045（CVE-2017-5638）破绽攻击Linux服务器,并通过设计义务植入挖掘木马。通过进一步分析，发现了针对性的挖掘木马。Windows系统和Linux采矿木马系统攻击，不同平台的采矿木马最终使用相同的矿池和钱包。    

   

       

   

   7．行使网页挂马，限制大局传播    

   

   挖掘木马的传输渠道不限于伪装成计算机软件下载，而且一般接受网页挂马的最高效的传输方式。在过去，盗窃木马是最常用的。    

   

       

   

   案例1：广告联盟的分发系统被悬挂，挖掘木马等病毒传播    

   

       

   

   2018年4月12日，腾讯皇家威胁情报中心监控了国内大规模网页挂马事宜。当天，包括各种著名的播放器软件、视频网站客户端和常见的工具软件50剩余用户数万的计算机软件遭遇大规模网页挂马攻击。    

   

       

   

   
   

   

       

   

   攻击者通过广告联盟过广告联盟系统自动分发带毒页面，嵌入带毒页面50余款万万级别用户群的常用软件中，这些用户的电脑一开机遇自动连网下载广告资源，电脑会因此下载若干个病毒，其中就包罗挖矿病毒。腾讯电脑管家当天阻挡跨越20下载一万种病毒。    

   

   
   

   

       

   

   案例2：色情网站挂马，行使Flash高危安全破绽植入挖矿木马    

   

       

   

   此外，腾讯皇家威胁情报中心还监测到挖掘病毒的吸烟量异常增加。根据病毒追溯分析，受害者电脑上的挖掘木马来自一些“人体艺术”旗帜色情网站。    

   

       

   

   当网民浏览这些网站时，由于部门系统的存在Flash高风险和安全缺陷，打开网页会立即中毒。在那之后，受害者的计算机将运行挖掘代码，计算机将成为一名矿工。攻击者将控制大量的矿工计算机集中计算挖掘，以获利。    

   

   8．入侵控制企业服务器，形成僵尸网络云采矿    

   

   随着各种数字加密硬币的开采越来越困难，普通用户的私人电脑很难实现利益最大化。除了网页，最常见的方法是控制肉鸡电脑建立僵尸网络开采。服务器性能强，24小时在线的特点吸引了更多的邪恶矿工将攻击目的转移到企业、政府机构和机构的服务器上，实现云采矿。    

   

       

   

   腾讯皇家威胁情报中心发现了一个惊人的黄金矿工“PhotoMiner木马”，该木马2016今年首次发现木马通过入侵熏染FTP服务器和SMB服务器，木马2016年度第一次被发现，通过入侵熏染FTP服务器和SMB服务器暴力破解以扩大传输限制。查询木马控制的门罗币钱包地址，发现木马控制肉鸡计算机挖掘8门罗币1万枚，挖掘累计收入惊人8900名副其实的万人民币“黄金矿工”。    

   

   9．网页采矿：将采矿代码插入正常网页，行使浏览器采矿    

   

   由于杀毒软件的存在，挖掘木马文件一落地到用户电脑上就可能被屏蔽，不利于扩大挖掘规模。一些攻击者接受了一种新的挖掘方法来实施网页挖掘。挖掘代码植入网页，通过大规模入侵存在安全缺陷的网站。只要浏览器接收到这个网页，访客电脑就会成为矿工。    

   

       

   

   案例1：JS挖掘机行使广告分发平台，大规模攻击江苏湖南网民    

   

       

   

   2018年1腾讯御用威胁情报中心发现广告分发平台恶意嵌入挖掘JavaScript剧本，挖掘攻击集中在江苏和湖南。采矿页面每天接收近100万次，招募机械CPU资源被占用90%以上，直接影响系统运行。    

       
   

   
   

   

       

   

   此次恶意JavaScript在国内某电商平台服务器上存储代码。恶意导入页面JS剧本为Coinhive JavaScript Miner基于代码的代码CryptoNight挖掘算法，挖掘数字加密币-门罗币。    

   

   另外，为了不容易发现，采矿剧本只是非IE在浏览器中运行并通过Math.random()设置50%启动概率。这意味着当用户发现电脑卡住时，CPU当涉嫌恶意程序运行并进行确认时，挖矿环境不一定会再现。    

       
   

   
   

   

       

   

   案例2：C0594组织恶意挖矿攻击，植入数千个网站JS挖矿剧本    

   

       

   

   2018年4月腾讯威胁情报中心发现，包括传统企业、互联网公司、学校和政府机构在内的多个网站网页被植入采矿JS剧本。经分析，该批站点的焦点JS通过要求统一剧本文件注入恶意代码（http[:]//a.c0594.com/?e=5），加载另一个剧本文件（http[:]//a.c0594.com/?js=1）提供的CoinHive在用户机械上进行挖掘代码。    

   

       

   

   
   

   

       

   

   案例3：使用Drupal系统构建的网站遇到了大规模的网站JS挖矿攻击    

   

       

   

   2018年5月腾讯御见威胁情报中心监控，大量使用Drupal该网站由系统构建JS挖掘攻击。经分析，攻击网站使用Drupal系统为存在CVE-2018-7600远程代码执行缺陷的较低版本。黑客行使Drupal混淆系统缺陷后的采矿JS在网站代码中注入挖掘。    

   

       

   

       

   

   
   

   

       

   

   网页JS挖矿漫衍    

   

   2018年在熏染JS在采矿程序的网站类型中，色情网站占比最高，其次是赌博网站、小说网站和视频网站。其中，用户在观看视频或阅读时停留时间较长。黑客可以通过行使这些网站进行采矿来获得持续的收入。    

   

       

   

   
   

   

   3.挖掘僵尸网络    

   

   僵尸网络通过各种攻击方式传播僵尸程序，影响互联网上的大量主机，从而形成一个主要的控制集群，吸收统一的木马控制端指令来完成响应。采矿木马流行后，许多大型僵尸网络也首先将采矿作为其系统效果的一部分，以便更快地获得收入。2018活跃的采矿僵尸网络包括MyKings，WannaMiner等。    

   

   1．MyKings    

   

   Mykings僵尸网络是目前发现的最大的僵尸网络之一，其攻击手段主要是“永恒之蓝”破绽行使，SQL Server密码爆破等。，并将挖掘模块植入失陷主机，远程控制模块和扫描攻击模块进行蠕虫传输。    

   

       

   

   
   

   

   2018年5月御见威胁情报中心监控MyKings僵尸网络首先传播新的采矿木马，它行使Windows 安装程序制作程序制作程序NSIS挖掘木马的执行、更新和写入启动项目实现了插件和剧本功效NSIS剧本也有通过SMB局域网流传爆破的能力。    

   

       

   

   
   

   

       

   

   2018年12发现月皇威胁情报中心Mykings僵尸网络攻击模式升级，其攻击模块集成永恒蓝色缺陷，闭路电视物联网设备缺陷，MySQL破绽攻击和RDP爆破、Telnet爆破弱密码爆破等攻击方法。首次发现它使用暗云木马熏染器熏染机械MBR，熏染后payload将下载设置文件执行主页锁定和采矿效果。    

       
   

   
   

   

   2．WannaMiner    

   

   2018年3月腾讯御见威胁情报中心监控攻击者行使永恒蓝的缺陷，传播门罗币挖掘木马WannaMiner。WannaMiner木马将染毒机个强大的僵尸网络，也支持内网病毒的自更新，并以相对低调的利润方式挖掘。    

   

       

   

   只管早在2017.5月WannaCry许多机械在平安软件的帮助下安装了响应补丁。WannaMiner攻击事项显示，仍有部门、企事业单位未安装补丁或部署防护措施。因为它在内网流传的过程中是通过的SMB内核攻击可能导致企业内网大量机械出现蓝屏迹象。    

   

       

   

   
   

   

   2018年11腾讯御视威胁情报中心发现WannaMiner在最新的变体攻击中，变体病毒行使永恒的蓝色缺陷在企业内网迅速传播。变体的主要变化是，缺陷攻击乐成后释放的母文件由压缩转变为特殊模式的加密文件。因此，木马在使用该文件时从简单的解压转变为解密。特殊的加密方法使得很难杀死软件。    

   

       

   

   
   

   

   四、2018典型的木马年挖掘事项    

       
   

   
   

   

   5.货币圈疲软，挖掘木马还有未来吗？    

   

   数字加密钱币在2018去年年底，比特币经历了持续的暴跌。2万美元跌至现在不足4000美元，通过“炒币”致富的希望似乎越来越渺茫，但这并没有影响木马的热度。与投资采矿机相比，控制肉鸡计算机采矿成本0。    

   

       

   

   而从2018在2000年的木马挖掘中，发现越来越多的货币可供选择，设计越来越大，隐藏越来越深，所以我们认为2019采矿木马将继续活跃，与杀毒软件的竞争将越来越激烈。除非货币圈不断下跌到一文不值，否则采矿黑产品将发生新的变化。    

   

       

   

   综合分析，我们估计2019采矿木马行业将具有以下特点：    

   

       

   

   (1)行使多种攻击方法，在短时间内迅速传播

   

   缺陷行使攻击是木马传播的主要手段之一。挖掘木马将受害者机械作为新的攻击源，扫描系统中的其他机械，以达到快速传播的效果，如WannaMiner挖掘木马的攻击可以在几天内到达数万台设备。如何快速响应和防止这些木马是平安制造商面临的训练。

   

   (2)企业用户受到服务器攻击威胁

   

   企业设备经常运行大量的应用程序，如提供外部接触web作为企业服务，服务、远程登录服务等。窗口也成为罪犯瞄准的弱点。一旦入侵内网，大量廉价的攻击工具可以快速形成挖掘僵尸网络。

   

   例如，未来需要加倍有用的解决方案来爆破服务器远程登录端口，行使服务器组件攻击传输的挖掘木马攻击。

   

   (3)隐藏技术更强，与平安软件的匹敌更强

   

   病毒生长至今，PC机上隐藏手艺最强的无疑是Bootkit/Rootkit类病毒，这种木马编写庞大，每个模块设计详细，可直接影响磁盘指导区或系统核心，其权限视角平行于软杀死，属于顽固难以消除的病毒，可以在受害的计算机系统中生存。

   

   比如2018年12月发现的 Mykings木马最新变种，加入暗云MBR熏蒸效果，通过修改系统系统启动指导风扇区域加载挖掘模块，难以完全消除。2019年，数字加密硬币的安全形势仍然严重，挖掘木马的隐藏匹配可能会加倍激烈。

   

   
   

   

   6.采矿木马的对策    

   

   1. 不要下载来历不明的软件，郑重使用破解工具和游戏辅助工具。    

   

   2、 实时安装系统补丁，特别是微软发布的高危缺陷补丁。    

   

   3. 服务器采用安全密码策略 ，使用高强度密码，不要使用弱密码，防止黑客暴力破解。    

   

   4. 企业用户实时修复服务器组件缺陷，包括但不限于以下类型:    

   

   Apache Struts2破绽、WebLogic XMLDecoder反序列化破绽，Drupal远程随机代码执行缺陷，JBoss反序列化下令执行缺陷，Couchdb组合缺陷，Redis未经授权接触缺陷，Hadoop未经授权接触缺陷；    

   

   5、监测装备的CPU、GPU占用情况，实时消除异常程序，部署更完善的安全防御系统。私人电脑使用杀毒软件仍然是明智的。    

勒索病毒Satan变种攻击，攻击Windows/Linux腾讯管家可以解密双平台