《病毒30演變史》你放假它加班 挖礦 24 小時不關機 礦工忙到「火大」了-2018年衝擊最大資安威脅:虛擬貨幣挖礦

手機速度越來越慢或是電池常常發燙,小心3C裝置已經成為幫助駭客賺取虛擬貨幣挖礦工!相較於勒索病毒在第一時間嚷著你的檔案已經被加密,挖礦病毒算是悶不作聲發黑心財,更勝一籌的駭客搖錢樹。

1988 年趨勢科技成立之初,你知道當年出現的病毒,是靠 5.25 英吋的磁碟片傳播的嗎?
今年(2018年)趨勢科技成立滿 30 年,我們一同回顧 30年病毒演變史
本篇來到 2018 年,介紹還正火紅的資安威脅::虛擬貨幣挖礦

2017年9月新北市三重一處公寓傳出火警,警消獲報到場後發現,屋內是「比特幣礦場」,至少有15台電腦的機房,疑因二十四小時不斷電挖礦,意外導致延長線不堪負荷走火。這起為挖比特幣24小時不關機的火警事件,當天三重出現兩起,都是24小時不關機、隱身民宅的挖礦機房。

最近有則誇張的新聞,中國山西一名男子竊取鐵路電力挖礦被捕,他在電線杆上偷接電力,提供50台比特幣「挖礦機」和三台用來散熱的電風扇24小時的電力。男子被判處3年半有期徒刑,並處以罰金10萬元人民幣,4個月挖得3.2枚比特幣、全部依法沒收。

挖礦惡意程式最早出現於 2011 年中期,相較於當時最流行的蠕蟲、後門程式等惡意程式來說,只能算是個配角,但目前已演變成甚至比網路間諜活動還要賺錢的途徑,一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

虛擬貨幣興起全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三。巨幅的價格波動也開始讓威脅情勢產生變化:只要是有錢賺的地方,歹徒就會蜂擁而至,引發電線短路的火警原因有多,但去年起台灣也出現因為挖礦而導致的火燒民房事件。

什麼是加密虛擬貨幣(Cryptocurrency)?

先來認識加密虛擬貨幣,加密虛擬貨幣是代表一種貨幣單位的加密資料串。它經由點對點網路所監控和管理,也稱為區塊鍊,作為交易(如購買、出售、轉讓)的安全帳簿。跟實體貨幣不同,加密虛擬貨幣去中央化,這代表它們並不由政府或其他金融機構發行。

加密虛擬貨幣透過加密演算法來產生,經由稱為挖礦的程序來維護和確認,由一群電腦或特製硬體(如特殊應用積體電路,ASIC)來處理和驗證交易。這個過程會用加密虛擬貨幣來回報給礦工。

 

2018 上半年虛擬貨幣挖礦活動的偵測量比 2017 年成長 96%

趨勢科技發佈的 2018 上半年的安全總評報告,發現加密貨幣挖礦和挖礦綁架已經成為主要的網路犯罪威脅。這種威脅已經成為犯罪者的常見行為,也有許多如何進行這種犯罪的討論。雖然這種威脅的破壞性沒有勒索病毒這麼強,卻可以破壞系統作業,因為大多數虛擬貨幣的目標,都是盡可能使用最多系統資源來挖礦。

「2018 上半年資安總評」報告,指出網路犯罪集團正逐漸捨棄容易引人關注的勒索病毒攻擊,轉而採用鴨子划水的方式暗中進行攻擊,以達到竊取錢財和珍貴運算資源的目標。

趨勢科技發現,光是2018 上半年加密貨幣挖礦活動的偵測數量就比 2017 年一整年的數量成長 96%,若與 2017 上半年相比,更是成長 956%,顯示網路犯罪集團正逐漸捨棄能讓他們快速致富的勒索病毒,轉而暗中竊取運算資源來開採虛擬貨幣。

隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。

 

挖礦劫持出沒,三族群,請迴避!

放假時沒有特別的活動時,你通常有什麼安排呢?追劇、滑手機或是找一間可提供插座與 WiFi 又不限時間的咖啡廳打發時間呢?去年勒索病毒大流行時,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了,原來是中了惡名昭彰的 Cerber勒索病毒! 今年趨勢科技偵測到不少追劇或是成人網站上,出現挖礦程式,這類惡意程式跟勒索病毒不同的是,挖礦程式不需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現。

三種族群:追劇族 、手機血拚族 、咖啡館久坐族,當心挖礦程式出沒,免得不小心讓你的電腦或手機裝置成為幫別人賺外快的礦工。

挖礦程式不像勒索病毒,需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現。

從事的三種網路活動的朋友,要嚴加小心挖礦程式出沒:

  1. 追劇族】:在家追劇,電腦有可能為駭客做牛做馬挖礦賺外快?Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!挖礦程式偏好嵌入在使用者可能會停留大量時間的地方,比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。
    喜歡追劇朋友請當心: Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
    有用戶反應在看 Youtube 的時候,電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時,你的電腦或手機也默默的成為了不法駭客的「礦工」,幫他挖礦賺外快!據AdGuard研究人員所發表的報告,有近十億串流媒體網站的訪客被秘密地用在虛擬貨幣挖礦活動,這種做法被稱為“挖礦劫持(cryptojacking)”。
    2017年初趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量突然翻了三倍。這些出現在高流量網站上的惡意廣告,利用 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。受影響的國家包括台灣。YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間,有更多時間挖掘加密虛擬貨幣。
  2. .【手機血拚族】:滑手機閒逛,購物網站有夠好康,手機會成挖礦機?

新的Android挖礦程式又來了,這回要榨乾你的手機電力
宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN),遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客,使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出,這些惡意廣告所在網站皆名列全球 15,000 大網站,意味著這些惡意網站不乏使用者造訪。另外還要當心新的Android挖礦程式,榨乾你的手機電力!一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。

3.【 不限時 WIFI 咖啡館久坐族】:到咖啡館上網,可能被偷偷加料挖礦劫持(Cryptojacking?
跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過,透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣,連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。

詳請請看:挖礦劫持(Cryptojacking)幫星巴克加料,顧客上網筆電竟成挖礦機

趨勢科技如何使用機器學習偵測虛擬貨幣挖礦病毒?

隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。

TLSH可以幫助趨勢科技將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”,用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。

集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼,用來主動識別更多相似檔案。這是因為自動化系統(或是逆向工程師)可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時,會去檢視是否具備惡意軟體群組呈現的元素,並確認新檔案是否屬於惡意軟體群組的範圍。除此之外,TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。
看完整文章

電腦愈來愈慢 手機發燙? 懷疑挖礦程式找上門,立刻檢測

虛擬貨幣挖礦不像勒索病毒需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現,發現電腦處理速度變慢時,請這麼做:

檢查電腦的 CPU 使用率 ,若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常
免費下載 PC-cillin雲端版檢測確認➔立即下載

 

 

PC-cillin 雲端版封鎖含有挖礦程式的追劇和成人網站