2017年,数字货币“暴涨”引发大众关注,全球掀起“挖矿”热潮。一份来自网安企业的报告显示,有利可图的挖矿也引起了黑客的注意,感染普通人计算机并索要赎金的情况有所减少,取而代之的是利用其计算资源挖矿。从下半年开始,挖矿攻击数量出现猛增。
5月30日,网安企业启明星辰旗下金睛安全研究团队发布《2017网络安全态势观察报告》(以下简称报告)。报告指出,勒索和挖矿攻击成为黑客攫取经济利益的主要手段,但在时间分布上整体呈现“上半年勒索,下半年挖矿”的态势。所谓挖矿,即通过计算机硬件开展数学运算,获得数字货币的过程。
2017 年挖矿和勒索攻击趋势变化(纵轴单位:次)
勒索病毒WannaCry大面积爆发,堪称去年影响最大的安全事件。研究人员介绍,WannaCry 之所以攻击力极强,在于其使用了方程式组织泄露的 NSA 网络武器“永恒之蓝”。但即便是大规模传播的WannaCry 病毒,也只有极少数中招者会缴纳赎金。在勒索病毒疯狂了一年多之后,黑客似乎意识到勒索病毒的经济回报率较低,开始更加热衷于“闷声发大财”式的挖矿攻击。
2017 年逐月新增挖矿木马数量(纵轴单位:次)
报告显示,从下半年开始,挖矿攻击数量猛增。无论是 PC 端的 Windows 平台、Linux 平台、Mac 平台,还是移动平台的 Android 系统,都已经出现了多种类型的挖矿木马。不同于勒索病毒的明目张胆,挖矿木马的破坏性和隐蔽性往往不易被察觉。它们会悄悄潜伏在用户的电脑中,偷偷耗费用户的计算资源,带来资源耗尽的风险。
挖矿攻击目标平台涵盖Windows, Linux, Android以及大多数IoT 设备系统。
从传播方式来看,挖矿木马以漏洞传播为主。其中,“永恒之蓝”尤其令人瞩目,在各类漏洞中占比为38%。事实上,“永恒之蓝”的利用量在去年6月已开始下降,但由于下半年挖矿攻击增多,利用量又开始一路走高。
挖矿攻击利用方式的分布
2017 年底,一个名为 WannaMiner 的挖矿木马借助“永恒之蓝”大规模传播,短时间内感染了大量内网主机。该木马的传播模块和挖矿模块都集合在一个压缩包中,感染成功后自行解压并运行,能自行传播并感染其他主机,构建一个挖矿僵尸网络。
挖矿攻击使用漏洞的分布
在利用漏洞的挖矿木马中,还出现了可用U盘传播的挖矿木马,对政企单位的内网安全有较大威胁。2017 年,可被用来攻击基础设施、存放关键资料的“震网三代”漏洞(CVE-2017-8464)被曝光,攻击者将挖矿木马放入 U 盘等移动存储中,同时结合震网三代漏洞,借此入侵多数内网隔离主机。
漏洞传播之外,各种网页挖矿木马也如雨后春笋般出现。用户只要访问了此类网页,攻击者即可在用户不知情的情况下,消耗用户资源挖矿获利。其中,Coinhive 是网页挖矿木马的主力军,Coinhive被大量查杀后DeepMiner成为新生力量。原始的网页挖矿技术只在访问内嵌 JS 脚本的网页时才进行挖矿,关闭浏览器便停止挖掘活动, 但2017 年末出现了一种关闭浏览器仍继续挖矿的新技术。
值得注意的是,随着比特币计算难度的持续增长,投放比特币类挖矿木马所获得的收益越来越小,黑客逐渐将目标转向了另一种数字货币门罗币。统计显示,2017年挖矿木马目标币种中,41%为门罗币,20%为达世币,10%为比特币。
挖矿攻击目标币种分布
