挖礦木馬每月產生數量高達百萬 偽裝“吃雞”工具

中新網客戶端北京3月11日電 (記者 吳濤)11日，騰訊發布的一份報告顯示，儘管以比特幣為代表的虛擬加密幣在過去幾年經歷了“過山車”行情，但在過去的一年，挖礦木馬樣本每月產生的數量高達百萬級別，遠超遊戲盜號木馬等傳統病毒，且“求生欲”強烈。

圖片來源：文中報告

誰的電腦被挖礦了？

報告稱，輔助外掛是2018年挖礦木馬最喜愛的藏身軟體之一。線上兩款熱門的策略射擊遊戲均被挖礦木馬“光顧”，包括時下流行的“吃雞”遊戲，甚至還出現了通殺遊戲外掛的520Miner挖礦木馬。

醫院也沒能逃脫挖礦木馬的魔爪。2018年7月，多家三甲醫院伺服器被不法黑客入侵，攻擊者暴力破解醫院伺服器的遠程登錄服務，之後利用某品牌雲筆記的分享文件功能下載多種挖礦木馬，最終獲利超40萬人民幣。

針對企業的攻擊趨勢在老牌挖礦木馬——PhotoMiner上體現得更為明顯。這個被首次發現於16年的病毒在去年4月重新活躍，通過入侵控制企業伺服器，組建僵屍網絡雲上挖礦，累計挖到8萬枚門羅幣，收益達到驚人的8900萬人民幣，成為名副其實的“黃金礦工”。

據介紹，挖礦木馬主要借助一種專用惡意應用秘密安裝到用戶電腦上，包括遊戲外掛、盜版軟體以及一些激活碼的生成器等植入程序。一般被植入挖礦木馬的機器具有CPU佔用明顯增加，電腦變熱，運行速度變慢，重啟也不能解決問題等症狀。

NSA攻擊流程。圖片來源：文中報告

挖礦木馬的“求生欲”

數據顯示，在非法利益的直接驅使下，挖礦木馬不斷變幻手段，為了減少被用戶發現的幾率，挖礦木馬常用套路是故意把挖礦時佔用的CPU資源控制在一定範圍內，並且設置為檢測到任務管理器時將自身退出的特性。

除此之外，挖礦木馬還會應用獨特技術來逃避殺毒軟體的攔截。2018年5月出現的“美人蠍”挖礦木馬，會隱藏在美女圖片當中，利用圖片加密傳遞礦池相關信息，通過DNS隧道返回的信息來獲取隱蔽的C2信息，逃避殺軟偵測。該木馬控制超過2萬台飼料雞電腦，分配不同的飼料雞集群挖不少於4種數字加密幣。

為了進一步升級技術手段，挖礦木馬也瞄上了NSA武器庫。該工具包經過簡單的修改利用便可達到蠕蟲式傳播病毒的目的。

圖片來源：文中報告

規模化感染如何達成？

報告稱，無論是對攻擊目標精挑細選，還是對技術手段不斷升級，挖礦木馬的核心目的都在於感染更多用戶電腦，攫取更高收益。因此，挖礦木馬對於攻擊渠道的選擇也煞費苦心。

例如電腦和手機端同時發力。2018年11月，一個雙平台挖礦木馬被發現，該木馬具有Windows和Android雙平台版本，可在中毒電腦和手機上同時運行門羅幣挖礦程序。

即使是單個電腦端的傳播，挖礦木馬為了擴大範圍也想出了新法子——普遍採用了網頁掛馬這種最高效率的傳播方式，而以往利用網頁掛馬傳播最多的是盜號木馬。

另外，網頁掛馬傳播還有進階版——通過大規模入侵存在安全漏洞的網站，在網頁中植入挖礦代碼。訪客電腦只要瀏覽器訪問到這個網頁，就會淪為礦工。

對此，報告建議，不要下載來歷不明的軟體，謹慎使用破解工具、遊戲輔助工具；企業用戶及時修複伺服器組件漏洞；監測設備的CPU、GPU佔用情況，部署更完善的安全防禦系統。(完)