跳到主体内容

“挖矿”僵尸网络重现——感染数千台计算机,为网络罪犯带来数十万美元的利润

2017年9月12日

最近,卡巴斯基实验室反恶意软件研究团队发现了两个由受恶意软件感染的计算机组成的僵尸网络。

最近,卡巴斯基实验室反恶意软件研究团队发现了两个由受恶意软件感染的计算机组成的僵尸网络。恶意软件会偷偷在受害者计算机上安装加密货币挖矿程序——一种合法软件,用来制造(“挖掘”)基于区块链技术的虚拟货币。根据一个案例,研究人员可以估算出一个包含4,000台计算机的僵尸网络能够为网络罪犯带来30,000美元/月的收入,而在另一起案例中,研究人员发现网络罪犯利用一个包含5,000台计算机的僵尸网络赚取了超过200,000美元的利润。

比特币和其他加密货币的架构表明,除了可以购买加密货币外,用户还可以利用计算机的计算能够,安装“挖矿”软件来生成新的货币单位(或币)。同时,根据加密货币概念,生产的货币数量越多,制造新的货币所需的时间和计算能力也越多。几年前,就有恶意软件偷偷在用户计算机上安装比特币挖矿程序(使用受害者计算机来为网络罪犯挖掘比特币),而且已经成为威胁环境下常见的现象之一。但是随着越来越多的比特币被挖出来,挖掘新的比特币变得更为困难——到达某一点后,挖矿这一过程甚至会变得毫无意义:即当网络罪犯从比特币挖矿中获得的潜在收益不能负担他们为创建和传播恶意软件所需的投资以及支持后端基础设施所需的成本时。

但是,作为首个加密货币,同时也是最知名的加密货币——比特币的价格在近几年一路飙升,已经从每个币价值几百美元飙升到价值几千美元,在全球引发了“加密货币热潮”。数百个爱好者小组和创业公司开始发行自己的比特币替代品,而且很多都在相对短的时间内获得了显著的市场价值。

加密货币市场上的这些变化不可避免地引起了网络罪犯的关注,他们正在重新启用欺诈方案,偷偷在数千台计算机上安装加密货币挖掘软件。

根据卡巴斯基实验室专家最近的研究结果,这种最新发现的僵尸网络幕后的网络罪犯会在广告软件的帮助下传播挖矿软件,受害者通常会主动安装这些广告软件。广告软件被安装到受害者计算机后,会下载一个恶意组件:挖矿程序安装包。之后,该组件会安装挖矿软件,并且采取一些行动,以确保挖矿软件能够工作更长时间。这些行动包括:

  • 试图关闭安全软件;
  • 跟踪所有应用程序的启动,如果启动监视系统活动或运行进程的程序,则暂停自己的活动;
  • 确保挖矿软件始终在硬盘上留有副本,一旦被删除,可以将其恢复。

一旦挖到第一个币,就会被转移到网络罪犯的钱包,造成受害者计算机性能下降,同时电费也比平时高一些。根据卡巴斯基实验室观察,网络罪犯倾向于挖掘两种加密货币:Zcash和Monero。之所以选择这两种,可能是它们提供了可靠的交易和钱包所有者匿名手段。

卡巴斯基实验室最早在2016年12月就发现了恶意挖矿程序回归的第一个迹象,当时有一家公司的研究人员报告说自己公司至少有1,000台计算机被恶意软件感染,被用来挖掘Zcash加密货币。这种加密货币最早于2016年10月底推出。当时,由于Zcash的价格增长迅速,这种僵尸网络能够为其所有者每周赚取6,000美元的利润。当时,卡巴斯基实验室就预测将会有新的挖矿僵尸网络出现,最近的研究结果证明这种预测是正确的。

“恶意挖矿的主要问题在于很难可靠地检测这种行为,因为恶意软件使用的是完全合法的挖矿软件,所以也可能是合法用户安装的。在观察这两个僵尸网络时,我们还发现了另一个惊人的事实,即这些恶意挖矿恶意软件自身在黑市上也逐渐变得有价值。我们已经发现有网络罪犯提供所谓的矿工制造者:即一种软件,付费后可以使用完整版创建自己的挖矿僵尸网络。这意味着我们最近发现的僵尸网络绝对不是最后一个,”卡巴斯基实验室恶意软件分析师Evgeny Lopatin说。

整体来看,最近几年,遭遇加密货币挖矿恶意软件的用户数量显著增长。例如,2013年,卡巴斯基实验室产品为全球约205,000名用户抵御了这类威胁。2014年,这一数量增加到710,000,而仅在2017年前八个月,遭受这种威胁攻击的用户数量就达到165万。

mining-botnets-01.png

卡巴斯基实验室保护的不受恶意挖矿软件威胁的用户数量,从2011年至2017年

为了避免自己的计算机成为消耗电力的僵尸,为网络罪犯赚钱,卡巴斯基实验室研究人员建议用户采取以下措施:

  • 不要从不受信任的来源安装可疑的软件到计算机。
  • 您使用的安全解决方案的广告软件检测功能可能默认被关闭,请确保开启这一功能。
  • 使用经过验证的互联网安全解决方案来保护您的数字环境,避免遭受各种威胁侵害,包括恶意挖矿威胁。
  • 如果您使用的是服务器,确保使用安全解决方案对其进行保护,因为服务器具有较高的计算性能(与一般计算机相比),对于犯罪分子来说是有利可图的攻击目标。

卡巴斯基实验室产品能够检测和拦截这种传播恶意挖矿软件的恶意软件,检测结果为:

  • RiskTool.Win32.BitCoinMiner.hxao
  • PDM:Trojan.Win32.Generic

要了解更多有关最新发现的恶意挖矿僵尸网络详情,请访问Securelist.com

“挖矿”僵尸网络重现——感染数千台计算机,为网络罪犯带来数十万美元的利润

最近,卡巴斯基实验室反恶意软件研究团队发现了两个由受恶意软件感染的计算机组成的僵尸网络。
Kaspersky logo

关于卡巴斯基

卡巴斯基是一家成立于1997年的全球网络安全和数字隐私公司。卡巴斯基不断将深度威胁情报和安全技术转化成创新的安全解决方案和服务,为全球的企业、关键基础设施、政府和消费者提供安全保护。公司提供全面的安全产品组合,包括领先的端点保护解决方案以及多种针对性的安全解决方案和服务,以及用于应对复杂和不断变化的数字威胁的网络免疫解决方案。全球有超过4亿用户使用卡巴斯基技术保护自己,我们还帮助全球200,000家企业客户保护最重要的东西。要了解更多详情,请访问www.kaspersky.com.cn.

相关文章 企业新闻