年度挖矿木马研究浅谈:2019或是挖矿木马“转型”年

 

2018年下半年开始,区块链的热度逐渐下降。由于区块链的密码技术尚未发展到成熟阶段,目前的应用大多是五花八门的数字货币,而以比特币为首的加密货币在2018年出现暴跌,引起了市场对于区块链技术发展的重新思考。

而同时需要引起注意的问题,就是挖矿木马的存在。“挖矿”是赚取加密数字货币以获利的一种方式,由于设备成本高昂,挖矿木马这种“零成本”的作恶方式便出现了,潜伏在计算机、网页之内,偷偷地利用他人资源为自己挖矿。挖矿木马出现于2012年,在2017年开始大量传播。360发布的《2018年Windows服务器挖矿木马总结报告》显示,2018年,挖矿木马已经成为服务器遭遇的最严重的安全威胁之一。

 

短暂蛰伏——挖矿木马沉寂半年后再次出现上升趋势

据360安全大脑监测显示,2018年Windows服务器遭到的挖矿木马攻击呈现先扬后抑再扬的趋势。2018年上半年,针对Windows服务器的挖矿木马呈现稳步上升趋势,并在2018年7月左右达到顶峰。之后挖矿木马攻击强度减弱,部分挖矿木马家族更新停滞,直到2018年12月,大型挖矿僵尸网络再次发起大规模攻击,针对Windows服务器的挖矿木马攻击才再次出现上升趋势。

360安全专家分析指出,2018年下半年挖矿攻击出现短暂下降趋势的原因主要在于下半年披露的Web应用远程代码执行漏洞相比较上半年要少得多,挖矿木马缺少新的攻击入口;另外由于虚拟货币的波动,下半年针对服务器的挖矿木马家族格局基本定型,没有新的大家族产生。

另一个值得注意的现象是,2018年年底,各大挖矿木马家族出现再次活跃的情况。其中,“Mykings”家族、“8220”组织与“WannaMine”家族是攻击趋势上升的“主力”,这三个家族攻击计算机数量占据所有家族攻击计算机总量的87%,12月甚至上升到92%。

对于2019年的发展趋势,360安全专家表示,目前来看,2018年是针对Windows服务器挖矿木马最为鼎盛的一年。而在2019年,如果加密数字货币继续保持目前下滑状态,挖矿木马可能随之降温,攻击者也会在更多盈获利方式中寻求平衡。

 

强强联合——黑产合作成为挖矿木马新的运作模式

2018年全球加密数字货币价格呈现走跌的趋势,大部分挖矿木马选择的币种——门罗币在2018年缩水了超过九成。挖矿是一种几乎零成本的获利方式,即使加密数字货币价格狂跌,一些大型挖矿家族仍然能够获得不错的收益,这主要得益于挖矿家族的“商业化合作”。

挖矿木马入侵服务器主要通过漏洞,利用成功率高、操作简便、适用于大规模攻击的漏洞往往受到攻击者青睐。360安全专家分析发现,攻击者手里大多具有两大“武器”——一个能够针对多个平台的漏洞武器库和一个保存有存在漏洞计算机的IP地址的列表。

综合两大武器,攻击者的攻击方式主要有:

如果一个挖矿木马具有僵尸网络性质,也就是能通过恶意程序入侵多台计算机,建立傀儡计算机网络进行挖矿,那么攻击者就会将漏洞武器库集成到木马中,让木马“自力更生”,自己打天下;

如果一个挖矿木马不具有僵尸网络性质,攻击者就会通过木马定期对掌握的IP地址发起攻击。

而随着加密数字货币价格走低,某些规模较大的挖矿家族就在想办法将控制的僵尸机价值最大化。360安全大脑监测分析显示,2018年挖矿木马变得更加成熟,幕后操纵者由“野路子”黑客转向商业化程度极高的黑产组织。黑产家族间的合作,使受害计算机和网络设备的价值被更大程度压榨,也给安全从业者带来更大挑战。

比如2018年6月,WannaMine家族在一次更新中增加了DDoS模块。该DDoS模块的载荷下载地址在2018年6月之前曾经被其他家族所使用。这就是说,WannaMine可能与其他黑产家族进行合作,摇身一变成为“军火商”为其他黑产家族定制化恶意程序。

无独有偶,另一大挖矿家族Mykings也在2018年实现了身份的转换。可以预测,2019年将涌现更多这类的合作——挖矿木马家族提供漏洞武器、战术或者出售僵尸机给其他恶意家族,而其他恶意家族则购买僵尸机或者开发定制木马给挖矿木马家族。

2018年是挖矿木马由兴起到稳定发展的一年,这一年中有许多新家族涌现,也有许多家族在竞争中消亡,整体攻击趋势转向平稳。未来挖矿木马攻击将保持平稳,但黑产家族间的合作将更加普遍,“闷声发大财”可能是新一年挖矿木马的主要目标。

(完)