安全客直播 | 手机挖矿的那些事儿

阅读量    17368 | 评论 2

分享到: QQ空间 新浪微博 微信 QQ facebook twitter

直播功课:Android平台挖矿木马研究报告

直播回顾:手机挖矿的那些事儿

 

360烽火实验室核心成员张昊和狗子小姐姐为大家带来精彩的技术直播【手机挖矿那些事儿】,一小时让你了解区块链、比特币、手机挖矿的前世今生,深入探究挖矿木马的隐藏技术手段及防御措施,是不是到现在还意犹未尽呢?贴心的小编为大家整理了一下直播内容,快来复习复习吧。

1. 挖矿、勒索成为2017年两大全球性的安全话题

勒索病毒WannaCry:2017年WannaCry勒索病毒利用永恒之蓝漏洞进行大规模传播,100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。是一场全球性互联网灾难,给广大电脑用户造成了巨大损失。勒索病毒要求用户在被感染后的三天内交纳相当于300美元的比特币,三天后“赎金”将翻倍。
“坏兔子”(the Bad Rabbit):在东欧和俄罗斯地区传播,影响了俄罗斯部分媒体组织,乌克兰的部分业务,包括基辅的公共交通系统和国家机场。初始赎金为0.05比特币(约280美元),随时间的推移会进一步增加赎金。
手机勒索DoubleLocker:修改PIN码以及加密手机文件,需要支付0.0130比特币。
以上都是以比特币为勒索的目标。

 

2. 比特币为什么这么火?(比特币买披萨)代币的一种,被认知的有哪些?2010年,比特币第一次在现实世界获得价格——美国的程序员拉丝勒豪涅茨(Laszlo Hanyecz)用1万枚比特币交换了两块价值25美金的披萨,至今比特币从0.003美元上涨到2万美元左右(历史最高),上涨近666万倍,相当于用了12亿人民币买了一块披萨,成为“史上最贵披萨”。
比特币只是其中一种代币,随着比特币单位产出减半,挖掘难度增加,出现了一些新型代币比如莱特币、门罗币、以太币。

 

3. 技术基础是区块链,区块链技术能干什么(代币只是其中一种)

谈到比特币就要说到区块链技术,实际上代币只是区块链技术的一种应用方式,区块链属于一种去中心化的记录技术。参与到系统上的节点,可能不属于同一组织、彼此无需信任;区块链数据由所有节点共同维护,每个参与维护节点都能复制获得一份完整记录的拷贝。
区块链被认为在金融、征信、物联网、经济贸易结算、资产管理等众多领域都拥有广泛的应用前景。
举例:
a) 征信,有利于征信机构信用生产成本的降低。传统的信用体系是中心化的,譬如央行、商业银行、还要有审查机关和执行机关。这些维护都需要一个较高的成本。区块链可以将散落在私有部门及公共部门的“全部”个人数据充分地聚合起来,促进数据的开放共享与社会的互联互通。
b) 公益寻人,打破了此前各大寻人公益平台的各自为政、各自独立而形成的信息壁垒,解决了各个平台之间能够互相连接,同步走失人口的实时消息的难题。

 

4. 代币的安全风险《跟一个搞网络安全的聊完数字货币,我喝了口茶压压惊》,引出手机恶意软件是其中威胁之一。

《跟一个搞网络安全的聊完数字货币,我喝了口茶压压惊》:这篇文章讲到了一些代币的安全风险,其中包括区块链底层代码漏洞,数字货币拥有者、数字钱包、数字货币交易平台都会成为攻击对象,甚至还会出现利用明星效应的钓鱼攻击,说到底代币的安全风险实际上是人与人之间的较量。
今天主要聊一下手机挖矿的那些事儿(主题),手机恶意软件对数字货币的威胁。

 

5. 手机挖矿木马基本介绍:演变;从样本看现状、伪装类型;从网页看,国家、类型分布

今年年初我们发了一份《ANDROID平台挖矿木马研究报告》,报告分为6个部分主要是从移动平台挖矿木马的历史、现状、技术原理、趋势预测和防御策略进行了全面总结。
先来介绍一下手机挖矿木马的历史演变(见直播功课
从数字上整体了解一下手机挖矿木马的现状,
从样本数量看;
从伪装对象类型看;
从样本的感染量看;
从网页的感染量看;
从网站来源看;
从网站类型看;

 

6. 手机挖矿方式介绍、原理

目前曝光过的手机挖矿主要是利用矿池方式,利用僵尸网络控制、开源的挖矿库文件(cpuminer)、JavaScript脚本(Coinhive),进行一些简单的账号设置嵌入到APP或者APP打开的网页中。

 

7. 挖矿木马隐藏的技术手段,5种+ADB.miner蠕虫传播(详情见直播功课
今年年初发现的ADB.miner,是一种新型的安卓蠕虫,借助安卓设备上已经打开的ADB调试接口传播,验证了一些设备信息,确认一部分电视盒子被感染。
被感染设备会对外发起 TCP 5555 adb 调试端口扫描,并尝试执行 adb 命令把自身拷贝到新的感染机器。使用了库文件和JavaScript脚本两种方式,进行挖矿。

 

8. 挖矿木马的趋势,3种(详情见直播功课

  1. 应用盈利模式由广告转向挖矿;
  2. 门罗币成为挖矿币种首选;
  3. 黑客攻击目标向电子货币钱包转移。

 

9. 挖矿木马的防御,PC和移动平台
针对PC端,公司产品卫士和浏览器具备挖矿防护功能;
与PC平台相比,移动平台受限于权限限制,并且App应用又通常自己实现内置浏览器功能,所以不能对挖矿木马进行彻底的拦截。
对已有Root权限的手机,可以设置Iptables对挖矿网址进行通信拦截实现防火墙功能;
对没有Root权限的手机,禁用手机浏览器JavaScript特性可以起到一定的防护作用。
以上方案在移动端代价大并且会影响正常功能使用。

 

10. 讨论,手机挖矿的局限性,挖矿替代广告、监管
讨论一:手机挖矿的局限性
参考:
a) 移动设备在性能上远远落后于PC
b) 电池电量、电池发热异常会被用户发现
c) 电量快速消耗,使得挖掘时间长度受到限制

讨论二:挖矿能不能替代烦人的广告
讨论二补充:挖矿发展初期监管问题,初衷是为了在不影响体验的情况下,又能达到开发者、网站主和用户的共赢的目的。但是由于管控不严,广告滥用用户的设备资源,出现了大量的恶意广告,不仅严重影响用户体验,还经常伴随着恶意扣费、隐私窃取等恶意行为。挖矿与广告产业的发展会有很多相似之处,虽然能够替代了扰人的广告,但是如果不加以控制,在用户不知情的情况下肆意滥用用户设备进行挖矿,造成用户机器过度损耗,甚至损坏。
例如:
a) 卡巴斯基之前发现的Loapi家族,在运行2天后造成电池澎胀变形,手机物理损坏。
b) 趋势曝光的HiddenMiner家族,没有任何节制的持续挖矿,直到设备资源耗尽,并且利用了设备管理器缺陷,造成设备使用故障。

 

11. 团队研究

360烽火实验室致力于Android病毒分析、移动黑产研究、移动威胁预警、Android漏洞挖掘等移动安全领域以及Android安全生态的深度研究。实验室为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案。同时也为上百家国内外厂商、应用商店等合作伙伴提供移动应用安全检测服务,全方位守护移动安全。在手机挖矿木马的研究上,在今年发布的17年ANDROID恶意软件专题报告中,提到18年威胁趋势预测,恶意挖矿木马愈演愈烈、像挖矿使用的JS脚本语言成为恶意软件新的技术热点。近期团队在从事一些黑产、灰产的研究,比如免流、代刷、撸羊毛产业的研究会陆续放到安全客上,欢迎围观。

 

分享到: QQ空间 新浪微博 微信 QQ facebook twitter
|推荐阅读
|发表评论
|评论列表
加载更多