云挖矿 — 一种新的潮流-安全客

去年，我们发布了一个报道，揭示全球矿工的崛起。当时我们发现了赚取数百万美元的僵尸网络。我们知道这只是故事的开始，后来发展得很快。

与世界其他地区一起，我们一直在关注加密货币的上涨，例如，比特币和Altcoin的价格在2017年持续创下纪录。

2017年比特币和Altcoin的价格上涨

虽然有些人花时间谈论市场和全球经济的好坏，但我们已经看到，价格的飙升无疑是对被威胁的参与者的一种呼吁，这也意味着网络犯罪分子有更好的赚钱机会。

结果表明，许多网络犯罪团伙已经转向恶意挖矿者，加密货币矿工的用户数量所急剧性增加，到2017年底，我们发现，有270万用户受到矿工的恶意袭击 – 这比2016年（1.87亿）高近1.5倍。

2017年在卡巴斯基实验室用户受到恶意矿工攻击的数量

他们变得如此活跃和流行，甚至连勒索软件在过去的几年里都让世界感到恐惧，似乎都为了这个威胁而放弃了。

以下是一些原因：
首先，矿工和勒索软件都有明确的货币化模式。在使用勒索软件的情况下，攻击者感染PC，解密文件并收取用户的赎金。矿工模型的简单性非常类似：攻击者感染受害者，再用CPU或GPU进行挖矿，并通过法律交换和交易赚取真金白银。

矿工的货币化结构

其次，与勒索软件不同，用户很难理解他们是否被矿工感染。一般来说，用户使用他们的电脑上网，该活动对于CPU而言不是很高。其他70-80％的CPU功率被挖掘程序使用，其中一些具有特殊功能，以便在需要执行另一个资源要求较高的程序（例如视频游戏）时减少挖掘能力或取消进程。
最重要的是，现在制造自己的虚拟货币非常容易。有兴趣的人可以得到他们需要的一切：

准备好使用合作伙伴计划
开放的矿池
很多矿工建设者

我们发现，最受威胁人员欢迎的矿池是Nanopool。

合法矿池的使用统计

如果矿工使用开放的资金池，那么就有可能发现他们能赚多少钱
此外，根据我们的数据，80%的非法矿工都有合法矿工的公开源代码，或者只是一个被包装的合法矿工。

传播的方法

通常，威胁行为者与可能不需要的应用（PUA）合作伙伴合作来传播矿工。然而，一些小的犯罪集团试图通过使用不同的社会工程技巧来传播恶意软件，比如伪造的彩票等等。潜在的受害者需要从文件共享服务中下载一个随机数字的生成器，并在PC上运行这个程序来参与。这是一个简单的技巧，但却很有成效。
另一个流行的方法是通过在浏览器中执行的特殊脚本进行Web挖掘。例如，在2017年，我们的安全解决方案已经停止了超过7000万次网络矿工的发布。网络犯罪分子使用的最流行的脚本是Coinhive，通常在野外使用的案例是流量很大的网站。只要这些网站上的用户会话时间越长，网站所有者从采矿中获得的收益就越多。涉及Coinhive的重大事件是黑客入侵的网页，例如海盗湾案，YouTube广告或用UFC紧急通行证进行挖掘。然而，其合法使用的其他例子也是已知的。
还有其他组织，不需要向许多人传播矿工。相反，他们的目标是大公司的强大服务器。因此，例如，Wannamine利用EternalBlue漏洞在内部网络中传播，并以这种方式赢得了9000个Monero（约200万美元）。然而，第一个使用EternalBlue漏洞的矿工是Adylkuzz。在我们以前的研究中，我们描述了另一个矿工家庭成员——绕线机，它利用额外的服务来恢复被AV产品删除的矿工。该僵尸网络赚了50万美元。

技术的复杂性

今年，我们正在观察下一个趋势——矿工背后的威胁因素已经开始使用来自目标攻击的恶意软件技术。我们的最新发现是“空心”矿工使用了一种加工中空技术。
在这种情况下，感染载体是一个PUA模块。受害者可能只是想下载一个合法的应用程序，但他们却下载了一个带有矿工安装程序的PUA。该矿工安装程序释放一个随机名称的合法Windows实用工具msiexec，该程序从远程服务器下载并执行恶意模块。在下一步中，它会安装一个恶意的调度程序任务，从而舍弃矿工这一挖矿主体。该程序执行合法的系统进程，并使用进程空洞技术（合法进程代码更改为恶意）。另外，一个特殊的标志，系统关键标志，被设置为这个新的进程。如果受害者试图终止此进程，则Windows系统将重新启动。因此，处理这种恶意行为并正确检测威胁的安全解决方案是一个挑战。

感染链