資安研究人員發現了一波挖礦劫持(Cryptojacking)攻擊活動 – 攻擊者劫持電腦進行挖礦( coinmining ),他們利用MikroTik路由器的漏洞注入惡意版本的Coinhive(網頁型虛擬貨幣礦工)。以下是你所需要了解關於此威脅的資訊:
發生了什麼事?
據報導,挖礦劫持一開始在巴西攻擊了7.2萬台的MikroTik路由器。直到本文撰寫時,已經有超過20萬台MikroTik路由器遭到入侵。雖然大多數路由器都在巴西,但研究人員指出這些攻擊現在也在國外散播。
這表示使用有漏洞MikroTik路由器的使用者或組織容易遭受挖礦劫持。事實上,研究人員也有發現有非MikroTik路由器受到影響,很可能是因為巴西的網路服務商(ISP)在其主要網路內使用MikroTik路由器。
[相關報導:VPNFilter影響的裝置有19個漏洞,可能遭受Mirai、Reaper、WannaCry攻擊]
這波挖礦劫持攻擊利用什麼漏洞?
根據資安研究人員指出,日前出現了一個無檔案式虛擬加密貨幣挖礦惡意程式,專門攻擊企業的伺服器和電腦。這個名為 PowerGhost 的惡意程式 (趨勢科技命名為 TROJ_BLUTEAL.D、DDOS_NITOL.SMC 和 Coinminer_CryptoNight.SM-WIN64) 會運用 Powershell 腳本執行工具和 EternalBlue 漏洞攻擊來暗中將自己散布到企業網路上的電腦和伺服器。此外,此惡意程式還能讓駭客發動分散式阻斷服務攻擊 (DDoS)攻擊。
PowerGhost 會使用正常的軟體工具,例如 Windows Management Instrumentation (WMI),並且利用加密編碼的 Powershell 腳本來感染系統,腳本內含有挖礦程式的核心程式碼與模組。此腳本會下載挖礦程式 「mimikatz」以及用來啟動挖礦程式的程式庫「msvcp120.dll」和「msvcr120.dll」,還有 EternalBlue 漏洞攻擊程式碼 (shellcode) 以及一個 Reflective PE 注入模組 (用來從記憶體內直接執行程式)。 繼續閱讀
趨勢科技發現一個新的漏洞攻擊套件(命名為Underminer),它會使用其他漏洞攻擊套件出現過的功能來阻止研究人員追蹤其活動或逆向工程其送入的病毒。Underminer會傳送感染系統開機磁區的bootkit及名為Hidden Mellifera的虛擬貨幣挖礦病毒。Underminer透過加密TCP通道來派送這些惡意軟體,並且用類似ROM檔案格式(romfs)的客製化格式來封裝惡意檔案。這些作法讓漏洞攻擊套件及有效載荷(payload)難以被分析。Underminer似乎是在2017年11月所開發。不過在此次案例中,使用了包括Flash漏洞攻擊碼,並且會用無檔案攻擊手法來安裝惡意軟體。
Underminer在7月17日的活動顯示它主要將病毒散播到亞洲國家。Hidden Mellifera是從5月時出現,據報影響多達50萬台的電腦。Hidden Mellifera的作者也跟2017年8月所報導的瀏覽器劫持木馬Hidden Soul有關。關聯分析顯示Underminer是由同一批駭客所開發,而Underminer也散播了Hidden Mellifera。另外,Underminer是透過廣告伺服器派送,這伺服器的網域名稱是用Hidden Mellifera開發者的電子郵件地址註冊。
圖1、Underminer漏洞攻擊亞洲國家,據報影響多達50萬台電腦,主要攻擊日本,台灣居第二(從7月17日到7月23日)
「虛擬加密貨幣挖礦」(或簡稱「挖礦(cryptocurrency mining或coinmining)」) 是一種透過分散式點對點網路節點 (也就是「礦工」) 來處理並驗證交易的方式,這些礦工是由無數使用者裝置所安裝的挖礦程式所組成。交易在處理時都是以一個「區塊」為單位,這區塊需經過網路礦工運算出來的加密雜湊碼 (一串固定長度的英文與數字) 加以驗證然後才能加到「區塊鏈」上 ,此區塊鏈就是該貨幣的公開帳簿。
這個動作完成之後,區塊鏈就可以再繼續接受下一個區塊。貨幣持有人的虛擬加密貨幣錢包內的私密金鑰 (或稱為「種子」) 就是貨幣持有人的識別碼,此識別碼也用來簽署交易,如此可防止資料遭到篡改 (由礦工運算出來的雜湊碼進行驗證)。
第一個計算出正確雜湊碼的礦工 (也就是必須搶在任何其他礦工之前算出正確的雜湊碼),就可以獲得一定單位的貨幣作為報酬,這就是為何需要挖礦強大的運算效能,因為要在很短的時間內算出正確的雜湊碼 (通常在 10 分鐘左右)。而為了計算這些雜湊碼,挖礦作業有可能使用一台或多台配備高階顯示卡 (GPU) 的大型電腦,或者使用許許多多小型挖礦電腦經由網路同步運算。
網路上也有一些所謂的「礦池」來集合眾人之力共同挖礦,然後再依據彼此的貢獻度來分享利潤。
手機又沒電? 電腦風扇好吵 ,當心遇到榨乾電力的挖礦程式
一個新的 Android 挖礦程式:「ANDROIDOS_HIDDENMINER」,會假冒成正常的 Google Play 更新程式 (google.android.provider) 並且使用了 Google Play 的圖示。HIDDENMINER挖礦程式會使用手機的運算資源不停挖礦,直到電力耗盡為止。這也會使得手機過熱,甚至故障。HiddenMiner使用多種技術隱蔽自己,讓一般使用者很難發現手機已經受到感染。除了在桌面使用透明圖標外,也無法在應用程式列表中發現它。
>> 延伸閱讀:手機又沒電的8個原因
電腦突然發出擾人噪音到底是出了什麼問題?其實電腦的噪音大多是來自風扇,其中一個原因是當電腦的 CPU 使用率飆高,也會導致電腦溫度升高,於是風扇就需要增加轉速來散熱,風散噪音也增加了,您可以檢查一下CPU是否有使用異常或是關閉一些執行中的程式降低CPU使用率。
>> 延伸閱讀:電腦主機風扇突然變大聲,很吵嗎? 簡單四招降低噪音
《 同場加映》電腦變慢是 D 槽太滿? 兩招教你檢查電腦是否中了挖礦病毒
虛擬貨幣挖礦不像勒索病毒需要與受害者互動來勒索贖金, 除非裝置上出現電量激增或系統當機的狀況,否則幾乎不會被發現
發現電腦處理速度變慢時,請這麼做:
檢查電腦的 CPU 使用率 ,若有異常飆高現象可以關閉瀏覽器頁面並觀察 CPU 使用率是否回歸正常免費下載 PC-cillin雲端版檢測確認➔立即下載
因為運算能力的關係,利用物聯網(IoT ,Internet of Thing)來進行虛擬貨幣挖礦是否實際一直是個問號。但儘管如此,趨勢科技還是會看到有惡意份子針對連網裝置,甚至在地下市場也會提供虛擬貨幣挖礦病毒。
我們的蜜罐系統被設計成模擬SSH、Telnet和FTP服務,最近偵測到跟IP地址192.158.228.46相關的挖礦殭屍。這地址看起來會搜尋SSH和IoT相關端口,包括22、2222和502。不過在此次攻擊中,這個IP會連到端口22,即SSH服務。此種攻擊可作用在所有執行SSH服務的伺服器和連網裝置。
引起我們注意的是:金融詐騙網站也在進行虛擬貨幣挖礦
殭屍網路(botnet)搜尋可以讓攻擊者進行漏洞攻擊的裝置。一旦找到並攻擊成功,就會執行wget命令來下載腳本檔案,隨後執行腳本並安裝惡意軟體。 繼續閱讀