随着区块链技术的火爆,比特币、以太币、瑞波币等数字货币被持续热炒,交易市值和价格一路走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军。与此同时,数字货币的火爆也伴随着挖矿黑产的兴起,不法分子将木马悄悄植入用户计算机、网页之中非法牟利。
近期,在腾讯守护者计划安全团队协助下,山东潍坊市公安局破获部督“1.03”特大非法控制计算机信息系统案,目前抓获犯罪嫌疑人20名,查缴游戏黑客程序1款、VPN加速器1款、酷艺VIP影视木马控制程序1款,查缴58迅推木马增值客户端、挖矿程序及挖矿监控程序157款。查清该团伙非法利用黑客技术控制电脑主机389万台、挖矿主机100多万台。
一、传统区块链挖矿
在大家的印象里,挖矿群体都是浑身沾满了煤屑,衣服以外都是黝黑皮肤的人,但自区块链诞生之后,矿工的定义和印象彻底被颠覆,赋予一种新含义就是从事虚拟货币挖矿的人。所谓区块链挖矿,就是数字货币网络中每隔一定时间产生一个区块,该区块记录了过去一段时间的所有交易记录以及挖矿预期收益,矿工就是负责把交易记录写入区块链中,但这个记录是被加密的,最先完成解密的矿工即挖矿成功获得预期收益。
传统挖矿有两种方式,一种是普通的个人挖矿,另一种是矿池挖矿。在节点客户端直接启动CPU挖矿,以及依靠GPU直接连接节点客户端挖矿,都是个人挖矿。个人挖矿好比自己独资买彩票,不轻易中奖,中奖则收益全部归自己所有。但是在数字货币挖矿的过程中,随着越来越多的矿工加入挖矿的大军,挖矿的总算力越来越高,个人挖矿的产出也变得越来越不稳定。
矿工除了单打独斗,还可以通过线上平台集结在矿池挖矿。如果说矿场是一个比特币挖矿硬件设备的集合,那么矿池则是矿工算力的集合。
具体来讲,矿池就是一个开放的、全自动的挖矿平台,矿工将自己的矿机接入矿池,贡献自己的算力共同挖矿,共享收益。矿池挖矿好比合买彩票,大家一起出钱,能买一堆彩票,中奖后按出资比率分配收益。
二、木马控制计算机挖矿
挖矿木马最早出现于2013年,但一直并未被外界关注。2017年,由于勒索病毒的大规模爆发,区块链和数字货币概念火爆,数字货币交易价格不断走高,相关的挖矿木马网络黑产也逐渐为外界所了解。
至2018年第一季度,腾讯电脑管家已拦截病毒木马4.5亿次,平均每月拦截病毒木马近1.5亿次。相比2017年第四季度,病毒木马拦截量环比上涨4.25%。
由于挖矿木马的隐蔽性,即使用户电脑感染木马也不容易即时感知到。挖矿木马悄悄潜伏在用户的电脑中,定时启动挖矿程序进行计算,大量消耗用户电脑资源,导致用户电脑性能变低,运行速度变慢,加剧硬件损耗。因此,挖矿木马逐渐成为黑产团伙获取数字加密货币最重要的手段。
1、病毒、木马感染形成僵尸网络挖矿
根据腾讯统计,现已发现的挖矿僵尸网络超过20个,规模较大的有PhotoMiner、Myking、WannaMiner、JBossMiner、NrsMiner等。这些僵尸网络感染的用户量级均在百万以上。
其中的PhotoMiner,具有较强的自复制性和扩散能力,通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围,构建挖矿僵尸网络。数据表明,PhotoMiner已非法控制海量用户计算机为其挖取XMR(门罗币)80094枚,非法获利超过8900万元。该挖矿僵尸网络已遍布全球,感染量排名前三的国家是中国(26%)、美国(25%)和德国(12%)。
在我国,有黑产团伙利用在热门游戏外挂、盗版视频软件和网吧渠道植入木马来“挖矿”的情况。2018年4月,腾讯守护者计划协助山东警方破获利用“tlminer”等近百款木马,非法控制海量计算机389万台,形成僵尸网络、集群算力,进行“挖矿”牟利的系列案件,刑事打掉一个公司化运营开放式木马平台、公开招募代理进行木马投毒实施挖矿、非法获利过千万元的黑产团伙。
2、蠕虫病毒控制计算机挖矿
除了通过外挂等软件捆绑挖矿木马外,腾讯还检测到黑客大量利用永恒之蓝等系统漏洞,快速构建僵尸网络,让大量的肉鸡为其挖矿。而从去年底开始,通过入侵服务器,植入挖矿木马也越来越流行。黑客通过弱口令或者系统漏洞(如永恒之蓝)或第三方组件漏洞(apache structs2、weblogic等)攻陷服务器,然后植入挖矿木马,利用服务器机器的高性能来进行恶意挖矿。
三、JS挖矿
随着比特币等加密货币的火爆,JS挖矿迅速在网络横行,严重威胁网络空间安全。黑客团伙通过入侵网站植入挖矿脚本,或者在浏览器插件中植入挖矿JS进行传播。当用户访问的网页中植入挖矿脚本时,或者带有恶意的浏览器插件时,浏览器将解析挖矿脚本的内容并执行挖矿脚本,这将导致浏览器占用大量计算机资源进行挖矿。挖矿脚本的执行会使用户计算机出现卡慢甚至死机的情况,严重影响用户计算机的正常使用。
JS挖矿脚本种类繁多,目前主流的植入到网页中的挖矿脚本有Coinhive,JSEcoin等,由于Coinhive在使用上的便捷性,成为黑产团伙的首选。挖矿者只需在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可。该代码是基于CryptoNight挖矿算法编写,该算法可以产出CryptoNote类网络货币,如Monero(门罗币)、Dashcoin(达世币),DarkNetCoin(暗网币)等。而嵌入的Coinhive Java Miner则仅支持门罗币的挖矿。Coinhive挖矿服务于2017年9月14日推出,声称站长再也不需要在网站中加入广告来赚取收益只需要在页面中嵌入Coinhive挖矿代码让用户的电脑为其挖矿即可,Coinhive平台从中收取30%的服务费。然而在利益的驱使下,黑客团伙也加入到网页挖矿的大军中。
以某色情网站为例:
1、用户访问某网站
2、打开网页后,电脑会变得异常卡慢。打开任务管理器即可看到站点打开后,CPU使用率立马上升并且一直保持100%。
3、查看该网页源码,即可找到内嵌的JS挖矿脚本https://coin-hive.com/lib/coinhive.min.js
黑客入侵网站获取漏洞和权限并进行篡改是常见的网络安全问题,现在入侵网站篡改的内容,已经扩散到挖矿恶意代码,越来越多的站点被发现植入了挖矿脚本,正常用户访问网站后被动参与到挖矿的队伍中,成为黑客从事黑产变现的新途径。
未来,在区块链、数字货币等前沿领域,守护者计划安全团队将继续深入研究,掌握黑产犯罪动向,净化网络空间。
*本文作者:守护者观察,转载请注明来自FreeBuf.COM