分類: 挖礦病毒/挖礦惡意程式/採礦惡意程式

放假時沒有特別的活動時,你通常有什麼安排呢?追劇、滑手機或是找一間可提供插座與 Wi–Fi 又不限時間的咖啡廳打發時間呢?去年勒索病毒大流行時,有網友在論壇上求助,說想利用連假在網路上看電影,電影看完了,電腦裡所有檔案卻都打不開了，原來是中了惡名昭彰的 Cerber勒索病毒! 今年趨勢科技偵測到不少追劇或是成人網站上,出現挖礦程式,這類惡意程式跟勒索病毒不同的是,挖礦程式不需要與受害者互動來勒索贖金， 除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現。

五一勞動節將至,提醒三種族群:追劇族 、手機血拚族 、咖啡館久坐族,當心挖礦程式出沒,免得不小心讓你的電腦或手機裝置成為幫別人賺外快的礦工。

你放假它加班 挖礦 24 小時不關機 礦工忙到「火大」了

挖礦惡意程式最早出現於 2011 年中期，相較於當時最流行的蠕蟲、後門程式等惡意程式來說，只能算是個配角，但目前已演變成甚至比網路間諜活動還要賺錢的途徑，一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

虛擬貨幣興起全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三。巨幅的價格波動也開始讓威脅情勢產生變化：只要是有錢賺的地方，歹徒就會蜂擁而至,引發電線短路的火警原因有多,但去年起台灣也出現因為挖礦而導致的火燒民房事件。

去年9月新北市三重一處公寓傳出火警，警消獲報到場後發現，屋內是「比特幣礦場」，至少有15台電腦的機房，疑因二十四小時不斷電挖礦，意外導致延長線不堪負荷走火。這起為挖比特幣24小時不關機的火警事件,當天三重出現兩起,都是24小時不關機、隱身民宅的挖礦機房。

挖礦劫持出沒,三族群,請迴避!

提醒以下在假日經常從事的三種網路活動的朋友,要嚴加小心挖礦程式出沒:

1. 【 追劇族】:在家追劇,電腦有可能為駭客做牛做馬挖礦賺外快?
   挖礦程式偏好嵌入在使用者可能會停留大量時間的地方，比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。想趁五一勞動節,追劇朋友請當心: Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
   前陣子有用戶反應在看 Youtube 的時候，電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時，你的電腦或手機也默默的成為了不法駭客的「礦工」，幫他挖礦賺外快!據AdGuard研究人員所發表的報告，有近十億串流媒體網站的訪客被秘密地用在虛擬貨幣挖礦活動，這種做法被稱為“挖礦劫持（cryptojacking）”。今年初趨勢科技發現 Coinhive 網頁式挖礦程式的偵測數量突然翻了三倍。我們發現，這些出現在高流量網站上的惡意廣告,利用 Google 的網路廣告服務 DoubleClick 來散布其惡意程式。受影響的國家包括台灣。YouTube 也向媒體證實該站廣告被嵌入Coinhive 挖礦程式。為何針對 Youtube? 駭客應該是看準用戶通常看影片時停留較長時間，有更多時間挖掘加密虛擬貨幣。
2. 【手機血拚族】:滑手機閒逛,購物網站有夠好康,手機會成挖礦機?宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN)，遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客，使用者一旦點選惡意廣告，它就會在背後載入 ETN 網頁採礦程式，同時將使用者重導至一個正常的購物網站以免被使用者發現。
   根據 Alexa 指出，這些惡意廣告所在網站皆名列全球 15,000 大網站，意味著這些惡意網站不乏使用者造訪。另外還要當心新的Android挖礦程式,榨乾你的手機電力!一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」, 利用感染裝置的 CPU 來開採門羅幣 (Monero)。該惡意程式會假冒成正常的 Google Play 更新程式並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦，直到電力耗盡為止。這也會使得手機過熱，甚至故障。

 

3. 【 不限時 WIFI 咖啡館久坐族】:到咖啡館上網,可能被偷偷加料挖礦劫持（Cryptojacking）?
   跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過，透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣，連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。
   詳請請看:挖礦劫持（Cryptojacking）幫星巴克加料,顧客上網筆電竟成挖礦機。

電腦愈來愈慢 手機發燙? 懷疑挖礦程式找上門,立刻檢測

虛擬貨幣挖礦不像勒索病毒需要與受害者互動來勒索贖金， 除非裝置上出現電量激增或系統當機的狀況，否則幾乎不會被發現,發現電腦處理速度變慢時，請這麼做:

檢查電腦的 CPU 使用率 ，若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常
免費下載 PC-cillin雲端版檢測確認➔立即下載

 

PC-cillin 雲端版封鎖含有挖礦程式的追劇和成人網站 》即刻免費下載試用

 

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位

虛擬貨幣挖礦惡意程式會不會成為下一個勒索病毒？隨著加密虛擬貨幣在真實世界逐漸流行且漸形重要，這類貨幣在網路犯罪領域也開始受到重視，而且似乎有和勒索病毒 Ransomware (勒索軟體/綁架病毒)並駕齊驅的態勢。其實，加密虛擬貨幣挖礦活動是 2017 年家用路由器連接的裝置最常偵測到的網路事件。

 

 

加密虛擬貨幣挖礦惡意程式：2018 年最新威脅？

挖礦惡意程式最早出現於 2011 年中期，相較於當時最流行的蠕蟲、後門程式等惡意程式來說，只能算是個配角，但目前已演變成甚至比網路間諜活動還要賺錢的途徑，一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

就以 比特幣(Bitcoin)  為例，2017 年 1 月每一比特幣的價格還在 1,000 美元左右，但今日已超過 11,000 美元，甚至曾經一度升破 20,000 美元大關。門羅幣 (XMR) 的情況也是類似，從 2017 年 1 月的 13 美元暴漲至 2018 年 2 月的 325 美元。而巨幅的價格波動也開始讓威脅情勢產生變化：只要是有錢賺的地方，歹徒就會蜂擁而至。

最令人矚目的是，加密虛擬貨幣挖礦惡意程式幾乎呈爆炸性成長。如下圖所示，加密虛擬貨幣挖礦惡意程式數量在 2017 年一直持續有所成長，但卻在 10 月突然飆高 (116,361)，接著在 11、12 月稍減之後維持穩定。加密虛擬貨幣挖礦惡意程式偵測數量最多的是：日本、印度、台灣、美國和澳洲。

 

除此之外，網路犯罪集團開採加密虛擬貨幣的手法也開始有些改變，包括：濫用合法工具或灰色工具 (如 Coinhive)、特別偏好門羅幣以及採用無檔案式加密虛擬貨幣挖礦程式。

從比特幣至門羅幣

Coinhive 提供了一種讓一般使用者和企業藉由在網站內嵌 JavaScript 程式碼的方式來開拓另一種財源，其原理就是藉由這套程式碼來使用網站瀏覽者的 CPU 資源來開採門羅幣。不過這套方便又能客製化的賺錢方法也逃不過網路犯罪集團的魔掌。事實上，根據報導，從 Coinhive 衍生出來的挖礦惡意程式已成為全球第六大熱門惡意程式，甚至連美、英兩國政府機關的網站都是受害者，此外還有一些知名企業的雲端伺服器，甚至透過惡意廣告來散布。

 

《延伸閱讀》

特斯拉 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機!避免「伺服器變挖礦機」四守則 

Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

 

門羅幣和 Coinhive 會受到網路犯罪集團青睞其實不令人意外。由於開採門羅幣的演算法「CryptoNight」在設計上不適合在特殊應用晶片 (ASIC) 上執行。因此，比較適合利用消費性電腦 CPU 來挖礦。

這一點有別於比特幣，比特幣雖然也可以用一般的電腦 CPU 和顯示卡的 GPU (或兩者結合) 來挖礦，但效果已比不上採用專用的特殊應用晶片和雲端挖礦伺服器。目前，一台挖礦機可能 7 天 24 小時跑一整年還挖不到 1 個比特幣。

此外，門羅幣的隱私性也優於比特幣。由於它採用環狀簽名 (ring signature) 來保護隱私，因此其區塊鏈交易的位址、金額、來源、目的地、發送者、接收者等等更不易追查。

無檔案式加密數位貨幣挖礦惡意程式

如同勒索病毒一樣，隨著挖礦程式越來越成熟，趨勢科技也開始看到一些利用知名漏洞或其他方法以無檔案方式在系統植入挖礦程式的手法。例如根據 Coinhive 指出，一個網站只要有 10 至 20 個活躍中的挖礦程式，每個月就有 0.3 門羅幣的收入 (根據 2018 年 2 月 22 日匯率約合 97 美元)。所以只要建立一個龐大的「Botnet傀儡殭屍網路」，就能獲得可觀的不法獲利。

一個例子就是去年我們發現的一個加密虛擬貨幣挖礦惡意程式會使用 EternalBlue 漏洞攻擊技巧來散布，並利用 Windows Management Instrumentation (WMI) 來長期潛伏在系統中。事實上，專門開採門羅幣的 Adylkuzz 惡意程式據稱甚至比WannaCry(想哭)勒索蠕蟲勒索病毒還更早使用 EternalBlue。只要系統與網路一天不修補，就有機會再度受到感染。

《延伸閱讀》無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

 

典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程如下圖所示，基本上就是直接將惡意程式碼載入系統記憶體當中。惡意程式唯一留下的感染痕跡只有：一個惡意的批次執行檔、一個安裝到系統上的 WMI 服務，以及一個 PowerShell 執行檔。至於散布的方式，有些惡意程式使用 EternalBlue 漏洞攻擊技巧，有些則使用 Mimikatz 來蒐集使用者的登入憑證，然後再登入系統，但不論何種方式，最後都會將電腦變成其中一個挖礦節點。

漏洞的確是加密虛擬貨幣挖礦惡意程式進入系統的主要管道之一。這一點從最近 Apache CouchDB 資料庫管理系統遭駭客試圖入侵即可證明。此外，遠端存取木馬程式 JenkinsMiner 也會散布門羅幣挖礦程式，並且專門攻擊 Jenkins 伺服器，其幕後集團據稱已開採到價值超過 300 萬美元的門羅幣。

如何防範加密虛擬貨幣挖礦惡意程式?

並非所有國家都禁止加密虛擬貨幣流通，至少某些國家已經開放。這些貨幣儘管採用分散式架構，但仍有一些監管機制可以監督其交易的合法性，不過，藉由不法方式來開採這些貨幣則是另一回事。

雖然加密虛擬貨幣挖礦惡意程式的衝擊或許不像勒索病毒那麼容易直接感受，嚴重程度也較輕，但仍是一項威脅。去年 12 月，專門開採門羅幣的 Android 惡意程式 Loapi 即證明這類程確實有可能直接損壞行動裝置。

然而網路犯罪集團看上加密虛擬貨幣所帶來的影響，並非只有裝置的耗損或電力的消耗。這同時也意味著隨著科技日新月異，網路犯罪威脅也會隨之演變。就如同勒索病毒一樣，我們預料，隨著加密虛擬貨幣挖礦惡意程式的逐漸普及，它們也將朝多元化發展並經由各式各樣的手法來感染系統，甚至將受害者變成共犯結構之一。這正突顯出縱深防禦的重要性，此外，最佳實務原則以及養成良好資安習慣不僅對企業和一般使用者來說非常重要，對於裝置的設計、製造商來說也同樣重要。

趨勢科技的 XGen安全防護融合了跨世代的威脅防禦技巧，能防止系統感染加密虛擬貨幣挖礦惡意程式。它藉由高準度的機器學習來保護閘道與端點，並保護實體、虛擬及雲端工作負載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析，來防範今日針對企業的威脅，這些威脅不僅能避開傳統資安防禦，更能利用已知、未知或尚未公開的漏洞，竊取個人身分識別資訊或執行不肖的挖礦程式。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

原文出處：Cryptocurrency-Mining Malware: 2018’s New Menace? 作者：Menard Osena (資深產品經理)

 

《延伸閱讀 》

< 虛擬貨幣攻擊 > 偽裝獵人頭公司的釣魚郵件,鎖定銀行高階主管

“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大！跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板，跨平台防護３到位