加密虛擬貨幣近來持續引起許多騷動。雖然部分政府致力於管理相關交易,但也有一些政府希望完全停止相關挖礦活動。趨勢科技注意到網路犯罪者持續積極參與加密貨幣挖礦惡意程式活動,包括入侵消費者的硬體圖形處理器 (GPU),以及利用使用者的行動裝置。
俗話說,犯罪總是離不開錢財,網路犯罪者的行為再次印證了這個說法。地下世界充滿了許多加密虛擬貨幣惡意程式,犯罪者肯定很難判斷哪個最有利可圖。此類惡意程式亦稱為挖礦惡意程式 (cryptomalware),其目標明確,就是要從加密虛擬貨幣交易中獲利。這可以透過兩種方式達成:竊取加密貨幣,以及偷偷地在受害者的裝置上進行加密虛擬貨幣挖礦,此程序亦稱為挖礦綁架。在本文中,我們將討論這兩種方式如何運作,以及研究連接至物聯網(IoT ,Internet of Thing) 的裝置 (運算能力相對較低) 是否會成為目標。
「虛擬貨幣挖礦惡意程式」與「虛擬貨幣竊取惡意程式」的運作方式
如同一般惡意程式,挖礦惡意程式也可能採取不同的形式,包括用戶端網頁指令碼以及行動應用程式等。隨著線上服務的普及,挖礦過程變得更加容易,值得注意的是,我們發現以 JavaScript 撰寫的網頁型用戶端加密貨幣挖礦惡意程式有所增加。
不過,這項威脅並不限於電腦。幾乎任何連接網際網路的裝置都可能成為挖礦殭屍網路的一部分。犯罪者只需要能夠實現此目標的程式碼,而且他們早已進行開發,本文稍後就會說明。
一般加密虛擬貨幣挖礦惡意程式的手法如下:
- Dropper 程式碼透過指令碼或適當的可執行檔,未經受害者同意而執行於受害者的裝置上 (如同任何其他惡意程式)。為達到此目的,網路犯罪者會攻擊防備不足的電腦基礎設施、進行網路釣魚詐騙,或惡意利用瀏覽器擴充功能、行動應用程式及即時傳訊等工具。
- 挖礦程式碼執行於受害者的裝置,並開始利用其運算能力來計算雜湊。此時,受害者可能會注意到裝置效能降低,如果是電腦,風扇會為了降溫而發出較大的噪音。
- 計算結果送回攻擊者或直接送至線上採礦池,無論是否惡意 (專門設置用於支持網路犯罪)。接下來,攻擊者將結果轉換為加密貨幣。
加密虛擬貨幣竊取惡意程式不同於加密貨幣挖礦惡意程式,步驟如下:
- 惡意程式碼可在本機儲存裝置上 (文字檔、組態檔等) 尋找錢包位址,並監控裝置的記憶體,包括剪貼簿。如此一來,當受害者複製貼上錢包位址時,惡意程式即可用自己的位址取代它。這種行為讓我們想起 Broban 惡意程式,它於 2015 年在巴西利用類似的技巧重新導向付款單目的地。
- 惡意程式攔截加密貨幣交易。每筆交易,無論金額高低,都會在使用者不知不覺的情況下流入犯罪者的錢包。
當然,還有各式各樣其他可能的攻擊方式。趨勢科技已發現加密貨幣交易所、混合器及其他服務的網路釣魚網頁 (類似發生在網路銀行網站的情況),但本文將聚焦於加密貨幣惡意程式。
物聯網成為加密虛擬貨幣挖礦惡意程式的目標
智慧型手機與物聯網裝置的運算能力遠低於伺服器甚至筆記型電腦。但是,我們確實看到犯罪者正在打造加密貨幣挖礦惡意程式以感染這些裝置。範例之一是 DroidMiner,2017 年在某論壇打廣告:
圖 1:智慧型手機 Silent Monero 挖礦程式的貼文
在同一個論壇,另一位參與者提供適用於路由器的 Monero 挖礦程式,可用於不同的架構。但他立即遭到另一位聲譽較高的成員攻擊,聲稱這根本不值得一提,可能是考量到這些裝置的處理能力:
圖 2:適用於路由器的 Monero 挖礦程式貼文
加密貨幣惡意程式似乎正在成為地下網路犯罪論壇的熱門主題,有些致力於討論入侵連網裝置 (雖然運算能力不足) 獲取利益是否為適當的冒險。儘管如此,這並不像其他犯罪者想像的那麼有利可圖,至少目前如此。
如需有關我們發現的地下加密貨幣挖礦惡意程式的詳細資訊,包括最常成為目標的加密貨幣以及廣告的惡意程式功能,請參閱這篇研究概要。
如何防範虛擬貨幣挖礦惡意程式?
加密貨幣挖礦是需要大量資源的運算密集作業,更不用說高耗電量。即使如此,挖礦可以獲利,而且我們看到了竊取感染病毒的機器資源的相關活動,大幅影響其效能並增加耗損。事實上,加密貨幣挖礦是 Trend MicroTM Smart Home Network 解決方案在 2017 年最常偵測到的家用網路事件,而 Trend MicroTM Smart Protection NetworkTM 基礎架構偵測到,加密貨幣挖礦惡意程式的動能持續增加到年底。
受影響裝置的負面影響使得加密貨幣挖礦惡意程式成為確實的威脅。為了減緩這些風險,我們建議使用者採取最佳措施:
- 定期將裝置更新為最新的韌體,防止攻擊者利用漏洞侵入系統。
- 變更裝置的預設憑證以避免未經授權的存取。
- 使用入侵偵測及預防系統以偵測惡意行為。
- 注意已知的攻擊手法,例如社交工程連結、附件,以及來自可疑網站、第三方應用程式及非請求電子郵件的檔案。
使用者亦可考慮採用安全解決方案,透過跨世代混合威脅防禦技術,提供保護以避免各種加密貨幣挖礦惡意程式的危害。XGen™ 防護提供高度擬真機器學習,可維護閘道及端點的安全,並保護實體、虛擬及雲端工作負載。XGen Security 具備採用 Web/URL 過濾、行為分析及自訂沙盒的技術,提供保護以避免不斷變化的威脅跳過傳統控制,並入侵已知與未知的安全漏洞。XGen Security 亦強化趨勢科技的安全解決方案產品:混合雲端防護、使用者防護及網路防禦。
原文來源:Cryptocurrency-Mining Malware Targeting IoT, Being Offered in the Underground