被矿工奴役而违反了您的意愿? 最近的恶意软件攻击可能会让您的系统在您不知情的情况下进行加密

最初发布在我们公司的博客HLCCyber​​.com/Blog上

在过去的几个月中,HLC注意到一种恶意软件的决定性增长:加密货币挖掘。 尽管我们的解决方案可以防止这些感染,但该恶意软件通常会嵌入.png图片文件中,从而使被无意感染的用户显得更加无害。

自2009年引入比特币以来,加密货币作为资产类别的普及和采用迅速增长。 一旦被专门用于黑市活动,业余爱好者,数学家和计算机极客,加密货币现在正成为全球关注的话题,市值约为4000亿美元,并且随着初始代币发行(ICO)的发展而不断上升,以进一步为项目的发展提供资金与加密货币有关。 不幸的是,数字货币提供的匿名性已迅速被滥用为非法勒索,就像过去几年中我们目睹的各种勒索软件爆发一样。 随着加密货币的价值显着增加,一种新型威胁已成为主流并取代了勒索软件勒索:加密货币挖掘恶意软件。 恶意软件创建者将目标锁定在外部计算能力上,因为专用加密货币挖矿机的价格很容易超过数千美元。 普通计算机可以挖掘的加密货币的出现吸引了恶意软件创建者,并加剧了我们在全球范围内目睹的广泛滥用。

什么是加密矿开采以及如何被感染?
加密货币挖掘是一项记录保存服务,它使用计算机处理能力来完成。 交易记录在作为公共分类账的区块链中。 矿工将区块链的一致性和完整性保持在不可改变的状态,矿工反复验证和收集新广播的交易(称为区块)。 加密货币挖掘恶意软件以多种形式出现,适用于许多不同的操作系统和应用程序平台,但它们的共同主题是威胁行为者利用尽可能多的受感染设备的计算能力来最大化加密货币挖掘的获利能力。 对于恶意软件创建者而言,至关重要的是,加密货币挖掘恶意软件会感染尽可能多的系统,以控制更大的CPU资源池进行挖掘。 让我们研究用于加密货币挖掘的众多常见恶意软件分发方法。

Wannacry勒索软件是一种广受关注的恶意软件,它利用了泄漏的EternalBlue和DoublePulsar漏洞,并被不同的恶意软件组修改为利用相同的漏洞,用加密货币矿工感染成千上万的Windows服务器,最终产生了数百万美元的收入。 其他漏洞,例如Oracle WebLogic Server(CVE-2017-10271)的漏洞,也被用于将矿工运送到大学和研究机构的服务器上。 服务器是恶意软件创建者的最爱,因为它们提供最高的哈希率来解决加密采矿所需的数学运算。 现有的恶意软件家族(例如Trickbot)通过恶意垃圾邮件附件分发,在其有效负载中添加了一个加密货币矿工模块。 另一种常用的恶意软件分发方法是针对高度宣传的漏洞的虚假软件补丁,例如Spectre和Meltdown。 最受欢迎的恶意软件组是SmokeLoader,加密货币矿工已成为最常安装的恶意软件有效载荷。

尽管偏向于提供最高处理能力的服务器,但移动和台式机用户也无法幸免。 带有加密货币挖掘代码的特洛伊木马应用程序也很常见,尤其是对于Android平台而言。 Google Play已成为使用加密货币矿工感染智能手机的最受欢迎的恶意软件分发方法。 这些恶意软件应用程序利用隐藏的JavaScript,这些JavaScript可以利用手机的CPU来挖掘加密货币。 迄今为止,最流行的移动恶意软件Loapi在受感染两天后就物理损坏了手机,这是因为电池膨胀,并且不断运转的处理器使手机盖变形并产生网络流量。 隐秘术或将文件,消息,图像或视频隐藏在另一个文件中的做法(达芬奇在他的画中使用的一种技术),消息,图像或视频可能是一种较旧的传递方法,但它仍然是一种用途广泛的工具以及有效地遮盖或隐藏信息的有效方法。 恶意软件的创建者继续使用隐写术,因为它很容易说服用户打开图像而不会引起怀疑。 用于命令注入中的隐写术的常见恶意软件分发方法,也是其检测的催化剂。 但是,由于可能无法通过网络策略来检测和补救此特定的传递方法,因此可能难以捉摸。 HLC产品可以阻止和纠正这种特定方法以及恶意软件注入的许多其他方法。

危害指标:识别感染
每个受感染的受害者的设备上都有3个常见的IoC(妥协指示符)。

首先 ,为了进行加密货币挖矿,该恶意软件在受感染的主机上运行后台进程,这导致其资源严重过度使用,随后其性能显着降低 。 常见症状是由于CPU和GPU持续过度使用导致系统过热,系统性能急剧下降以及硬件故障。 打开计算机上的资源监视器,检查CPU使用率是否异常高; 在Mac上是“活动监视器”,在Windows上是“任务管理器”。 此外,最糟糕的部分是没有残留文件,也称为无文件恶意软件,这意味着很难检测,并且对于基于标准签名的反恶意软件软件来说是不可能的。 什么是无文件恶意软件? 顾名思义,无文件恶意软件是恶意代码的一种变体,它可以在不将受害者安装在设备上的情况下,影响您的系统。 无文件恶意软件直接写入设备的工作内存RAM中。 您可能认为简单的重新启动会删除该恶意软件,但是,恶意软件代码也会注入到通常运行的进程中,例如service.exe,chrome.exe,以维持每次重新启动后的生命。

其次 ,为了获得最大的获利能力挖掘加密货币,恶意软件必须连接到C&C(命令与控制)服务器以下载加密货币挖掘软件并执行而无需离开文件。 最重要的是,恶意软件必须将受感染的主机添加到采矿池网络。 这种异常的网络流量是确认您是加密货币挖掘恶意软件的受害者的一种常见识别方法。 所有挖矿软件必须能够连接到加密货币网络或挖矿池以交换数据,换句话说,就是其工作量证明。 没有此连接,它将无法获取生成散列所需的数据,从而使其变得无用。 恶意软件创建者将添加网络规则,以阻止与被利用漏洞相关的端口,以关闭其背后的众所周知的门,以进行其他潜在的攻击。 这样做是为了使受感染的系统保持自身状态,并使它与针对同一漏洞的任何其他恶意软件隔离。 恶意软件创建者不仅调皮,而且贪婪。

第三 ,网站已成为加密货币挖矿活动的最大罪魁祸首,特别是CoinHive及其衍生产品。 Coinhive是一种加密货币挖掘服务,该服务依赖一小部分旨在安装在网站上的计算机代码。 该代码利用了访问有问题站点的任何浏览器的所有计算能力,邀请该机器尝试挖掘加密货币。 Coinhive被认为是网站所有者无需投放干扰性或令人讨厌的广告即可获得收入的一种方式。 但是,由于Coinhive的代码已安装在受害网站上,因此已成为最主要的恶意软件威胁。 如果您在没有附加浏览器选项卡的情况下浏览特定网站,没有其他应用程序在运行,并且注意到该网站上的 CPU使用率猛增 ,那么它很可能在运行CoinHive这样的加密货币挖矿活动,而该活动并未向访问者发布。 通常,加密货币挖掘恶意软件会自动执行并强制在前台和后台浏览器选项卡中访问这些特定网站,以产生加密货币收入。

到目前为止,您已经了解到您想避免使用加密货币挖掘恶意软件。 您如何避免感染? 当得知自己被感染后该怎么办?

预防措施
您认为如果没有其他关于常识的引用,就不会通过这篇文章而实现,对吗? 如前所述,用于加密货币挖掘的恶意软件的众多方法都围绕着犯一些粗心的错误,例如通过您选择的App Store,Apple App Store或Google Play安装木马移动应用程序,打开包含恶意软件的附件或浏览包含恶意软件的网站代码已安装。 由于没有人会对此免费的常识外卖感到满意,因此,如果您想要额外的保护以抵御讨厌的加密货币挖矿恶意软件,请采取以下一些简单的步骤:

首先 ,避免使用评价较低或有限的移动应用。 苹果拥有广泛的移动应用程序审查流程,但是木马程序仍然可以找到一种方法,就像我们在4000多个移动应用程序中安装的XcodeGhost恶意软件所看到的那样。 查看移动应用程序开发人员的徽标和配置文件,以确认您将要下载的合法移动应用程序不仅仅是恶意参与者添加了恶意软件的合法应用程序的副本。 这种做法在Google Play上更为普遍,因为Android实行了开放源代码政策和开发者自由,这导致对移动应用程序分发的监督较少。

其次 ,安装基于信任的基于浏览器的扩展程序以检测CoinHive网站代码。 阻止CoinHive代码的常见Chrome浏览器扩展程序是Miner Dectector,Coin-Hive Blocker和No Coin。 这些浏览器阻止程序检查网站的代码,并警告最终用户已检测到/阻止了CoinHive和其他常见的加密货币挖矿代码。 同样,对于恶意软件移动应用程序,请确保您正在安装的浏览器扩展确实不是受信任的浏览器扩展的仿冒品,因为始终有恶意软件创建者正在寻找使您犯此粗心大意的错误的任何方法。

第三 ,虽然您的标准防病毒软件对无文件加密货币挖掘恶意软件无用,但它可以保护您免受参与加密货币挖掘池所需的网络流量的侵害。 大型反病毒软件公司拥有可扩展的资源来识别和研究加密货币挖掘活动,因此,它们会不断更新其主机防火墙规则,以确保阻止对上述命令和控制加密货币挖掘服务器的网络流量。 此功能使用户无需繁琐地监视加密货币挖矿池并更新其主机文件,即可将网络流量重定向到这些C&C服务器。

正如我们已经讨论的那样,加密货币挖掘恶意软件已经成为主流,并且只会在部署和扩散方面继续增长,这在很大程度上要归功于加密货币的价值以及无法自信地进行检测。 当我们面对日益增加的威胁时,我们必须保持警惕,采取积极措施避免和补救加密货币挖矿恶意软件。 这些步骤需要前面讨论的常识步骤,并依赖于诸如HLC之类的受信任提供者来帮助您解决恶意软件感染之前和之后的麻烦。 在与加密货币挖矿恶意软件和其他新兴恶意软件类型持续不断的战斗中,这种强大的组合是必要的。