近日,山东警方破获了一起制造木马病毒感染普通电脑,并利这些电脑的闲置CPU资源“挖矿”的案件。
▲近日,山东警方破获了一起制造木马病毒感染普通电脑,并利这些电脑的闲置CPU资源“挖矿”的案件。
作者 |白金蕾
编辑 | 杨砺
7月20日,比特币连续两日突破7000美元,截止发稿已飙升至7357美元,约合人民币49891元。虚拟货币繁荣背后,黑色数字产业链却已经悄然将方向转向“挖矿”(利用电脑硬件计算出虚拟货币的位置并获取该货币的过程)领域。
近日,山东警方破获了一起制造木马病毒感染普通电脑,并利这些电脑的闲置CPU资源“挖矿”的案件。涉案的大连某高新技术企业控制了包含389万台电脑的“僵尸网络”(指被木马感染,可由远程控制的电脑网络),涉案案值超1500万元。这也是国内近期破获的最大的非法入侵计算机案件。
针对以上案件,独角鲸科技(ID:dujiaojingkeji)采访了腾讯电脑管家高级安全专家李铁军,其详解了近年来利用游戏“外挂”、盗版视频播放器传播木马的新方式,数字黑产发展的上下游产业链,以及黑产围绕互联网流量进行的变现。
?
吃鸡游戏“外挂”成传播渠道
据了解,上述涉案的大连企业,表面业务是广告营销、软件推广。机缘巧合,圈内一位以写吃鸡游戏“外挂”(游戏作弊软件)出名的程序员,找到上述企业进行软件推广,却被该企业在软件中植入了“tlMiner”挖矿木马病毒。经过大连企业及其3500个代理商的推广,该木马感染了超100万台电脑。
早期,编写外挂的程序员并不知情,但在上述大连企业定期将“挖矿”收益分给该程序员后,该程序员也在“外挂”中植入了另一款挖矿木马,专门挖HSR虚拟货币(又称“红烧肉”),仅此一项获得非法收益近200万元。大连企业则利用100万台高性能计算机挖各种山寨币,对其他200余万台进行广告弹窗、应用下载业务,共计收益超1500万元。单独售卖“外挂”,单月单人仅能获益不到百元,一般在30元至50元左右。
2017年年底,腾讯安全管家(PC端)及安全大脑(云端)发现“tlMiner”木马在一天之内感染超20万台电脑,并且具有暗中挖矿、以正常应用程序夹带木马等行为,于是迅速锁定被感染电脑的数量、控制服务器的位置等信息,汇总给警方。经过半年时间,上述涉及389万台电脑,经济收益超1500万的大规模入侵计算机案件告破,涉案人员均被处理。
据李铁军介绍,目前主流的“挖矿”木马病毒,具有隐蔽强、智能化、利润高,以及潜在危害大四个特点。
具体而言,相较此前的木马程序,挖矿木马不会改动用户首页、隐藏文件,甚至具有选择性占用用户内存的特点,不易被感染者发现;木马在计算机中运行时,具有自动检测内存占用、对抗同类木马、调整挖矿币种等智能化属性;直接挖矿还改变了数字黑产的变现方式,无需再与下游企业结算,直接卖币即可获利。
值得注意的是,虽然目前该木马感染用户计算机后,只占用闲置CPU资源挖矿,但与其他木马类似,服务器可对被感染计算机做任何事情,比如调用摄像头、查看重要文件等。同时,挖矿对电脑硬件配置要求较高,主机经常长期高负荷运转,显卡、主板、内存等硬件会提前报废。
此外,挖矿木马除了植入在游戏外挂中,还会植入在号称可以看视频网站付费内容的“仿冒”播放器中。以上软件在运行时,都会提醒用户“暂时关闭安全软件、防火墙等”,让用户电脑处于无防护状态。
?
“挖矿”成黑产最佳变现手段
“现在,市面上的木马病毒一般只做两种事情,一种是挖矿,一种是勒索”,李铁军告诉独角鲸科技(ID:dujiaojingkeji)。本质上,去年大面积爆发的勒索病毒也是木马病毒,只是其在入侵用户计算机后,通过检测用户信息,了解用户身份,进而对高净值人群进行勒索。今年以来,勒索病毒大面积爆发减少,但精准性增强,尤其针对政府、医院及企业高净值人群的案件增多。最近的新趋势则是,以木马控制“僵尸网络”给直播、短视频网红点赞、刷评论、弹幕等,但并非主流趋势。
此前,木马的制造者,还会通过控制“僵尸网络”打Ddos攻击(分布式拒绝服务攻击,可短时间致使某网站瘫痪)、运行弹窗广告,以及暗中下载应用软件等,目前这些行为都在减少。这也反应出木马黑产背后的产业链正在变短。
李铁军认为,由于木马病毒所从事的事情正在减少,计算机安全防范正在变得简单,用户只要安装杀毒软件、定期更新、不主动关闭,可以防范超95%以上的木马病毒。
从变现角度讲,原有木马黑产需要通过各种手段入侵电脑,控制“僵尸网络”,然后转让给其他控制者,打DDos攻击获利。或者给广告主做弹窗广告,给应用程序做非法下载,再由下游公司进行结算,均是间接变现。挖矿木马的出现,让黑产上游可以直接将挖到的山寨币存入钱包,交易变现,降低了个人木马编写者的入门门槛。
“木马行业的黑产都是围绕流量变现展开的,互联网产业往哪个方向走,黑色产业就往哪个方向走,基本上是一一对应的关系”,李铁军告诉独角鲸科技(ID:dujiaojingkeji)。在早期是广告,因为早期互联网软件都是利用广告的方式来变现,黑产就控制别人的机器来弹广告;后来软件分发成为一个趋势,黑产就在用户不知情的情况下装很多软件;直到现在挖矿的出现,改变了整个作战形势,挣钱特别直接。“锁定主页、弹窗广告、下载软件等恶意行为变少了,都在挖矿。”
