網路犯罪集團正嘗試利用家用裝置來挖礦

不肖的挖礦作業並不只暗藏在瀏覽器, 網路犯罪集團正在嘗試利用家用裝置來挖礦….
路由器是家中所有連網裝置的對外門戶,因此可能招來各種不同的網路威脅,讓使用者的資訊和安全陷入危險。本文將帶您回顧 2017 年當中最值得注意的一些家庭網路活動。

談到家中遭歹徒入侵,人們直覺會聯想到歹徒闖入民宅。然而隨著家庭連網裝置的大量普及,今日已出現了另一種型態的入侵者,那就是家用網路駭客,其目標是家中的連網裝置。光是全球數量龐大的入侵目標就足以吸引歹徒的覬覦,駭客不是利用勒索病毒將裝置鎖死,就是將裝置變成殭屍網路的成員,替歹徒發動 分散式阻斷服務 (DDoS) 攻擊。其中最知名的案例就是 Mirai、Persirai 及 Reaper 等殭屍網路,這些案例證明了缺乏防護的連網裝置多麼 具有破壞潛力。殭屍網路會收編一些含有漏洞的裝置 (例如:IP 攝影機和路由器),然後利用這些裝置來癱瘓知名企業機構的網路,嚴重影響其網路服務。近年來,越來越多相關事件浮上檯面,例如:駭客入侵嬰兒監視器和 智慧型電視,然後從遠端竊取個人資料或直接操控裝置。

缺乏防護的家用路由器將遭遇什麼威脅?

除了一般使用者會用到的電腦、智慧型手機、平板之外,一些連網的設備也開始快速進入家庭、工作場所,甚至工廠。這股無可阻擋的連網趨勢,使得我們的環境一旦缺乏適當防護,很容易就會遭到網路駭客攻擊,而這一切防護的起點就是路由器。

路由器一旦缺乏防護,將使得整個智慧家庭暴露於危險當中。因此,保護家用路由器,就等於保護家中所有的連網裝置。路由器可說是 所有連網裝置的交通樞紐,使用者可透過路由器即時掌握所有家庭網路流量的狀況,並且讓各種裝置獲得防護。然而根據我們 2017 年的觀察,如果路由器連基本的安全設定都沒做好,例如:網路設定錯誤、密碼過於簡單、韌體從未更新等等,那可能將成為引來智慧家庭威脅的禍首。

針對連網設備的對內攻擊,以及利用連網設備的對外攻擊

家用網路相關的攻擊基本上分「對內」和「對外」兩種。所謂對內的攻擊,是指駭客從外部對家用網路內部的裝置發動攻擊,例如:桌上型電腦、平板、智慧型電視、電玩主機等等 (也就是從網際網路攻擊家用網路)。所謂對外的攻擊,是指駭客先利用對內攻擊來入侵某個家用裝置,然後在裝置上執行惡意程式,藉此蒐集資訊、攔截通訊,或者對外部網路上的目標發動攻擊 (也就是從家用網路攻擊網際網路)。

對內的攻擊 活動數量
MS17-010 SMB 漏洞攻擊 2,441,996
暴力破解 RDP 登入密碼 1,464,012
可疑的 HTML Iframe 標籤 926,065
暴力破解 Microsoft SQL 系統管理員密碼 431,630
暴力破解 POP3 登入密碼 373,782
暴力破解 SMTP 登入密碼 289,746
利用指令列腳本 (Shell Script) 執行遠端指令 241,498
CoinHive 挖礦作業 194,665
利用 Apache Struts 動態方法呼叫從遠端執行程式碼 175,019
Netcore 路由器後門漏洞攻擊 142,902

表 1:十大對內攻擊 (2017 年)。

註:根據我們監控資料顯示,在所有家用裝置當中,出現這些攻擊活動的主要是桌上型/筆記型電腦。

趨勢科技 2017 年觀察到的家用網路流量,對外與對內攻擊的數量比例大約是 3:1,這表示家用裝置被用於攻擊網際網路的情況較多。有趣的一點是,MS17-010 SMB 漏洞攻擊是最常見的攻擊活動 (不論是對內或對外),其目標是桌上型和筆記型電腦的 Windows Server Message Block (SMB) 檔案分享通訊協定漏洞。這可追溯至 2017 年 5 月爆發的 WannaCry 勒索病毒,該病毒在後續一整年當中仍不斷影響各種產業。由於 WannaCry 具備蠕蟲的自我複製能力,因此它不但能加密資料,還可感染醫院工廠內的連網裝置和設備。 繼續閱讀

虛擬貨幣全球淘金潮, 2017年挖礦惡意程式, 台灣排全球第三

虛擬貨幣挖礦惡意程式會不會成為下一個勒索病毒?隨著加密虛擬貨幣在真實世界逐漸流行且漸形重要,這類貨幣在網路犯罪領域也開始受到重視,而且似乎有和勒索病毒 Ransomware (勒索軟體/綁架病毒)並駕齊驅的態勢。其實,加密虛擬貨幣挖礦活動是 2017 年家用路由器連接的裝置最常偵測到的網路事件。

 

 

加密虛擬貨幣挖礦惡意程式:2018 年最新威脅?

2017 年,加密虛擬貨幣挖礦活動是家用路由器連接的裝置最常偵測到的網路事件 (根據趨勢科技 Smart Home Network 智慧家庭網路產品回報資料)。
圖1:2017 年,加密虛擬貨幣挖礦活動是家用路由器連接的裝置最常偵測到的網路事件 (根據趨勢科技 Smart Home Network 智慧家庭網路產品回報資料)。

挖礦惡意程式最早出現於 2011 年中期,相較於當時最流行的蠕蟲、後門程式等惡意程式來說,只能算是個配角,但目前已演變成甚至比網路間諜活動還要賺錢的途徑,一些勒索病毒犯罪集團、駭客團體等等都紛紛跳槽加入此一行列。

就以 比特幣(Bitcoin)  為例,2017 年 1 月每一比特幣的價格還在 1,000 美元左右,但今日已超過 11,000 美元,甚至曾經一度升破 20,000 美元大關。門羅幣 (XMR) 的情況也是類似,從 2017 年 1 月的 13 美元暴漲至 2018 年 2 月的 325 美元。而巨幅的價格波動也開始讓威脅情勢產生變化:只要是有錢賺的地方,歹徒就會蜂擁而至。

最令人矚目的是,加密虛擬貨幣挖礦惡意程式幾乎呈爆炸性成長。如下圖所示,加密虛擬貨幣挖礦惡意程式數量在 2017 年一直持續有所成長,但卻在 10 月突然飆高 (116,361),接著在 11、12 月稍減之後維持穩定。加密虛擬貨幣挖礦惡意程式偵測數量最多的是:日本、印度、台灣、美國和澳洲。

加密虛擬貨幣挖礦惡意程式偵測數量 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。
圖 2:加密虛擬貨幣挖礦惡意程式偵測數量 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。
加密虛擬貨幣挖礦惡意程式分布國家 台灣名第三 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。
圖 3:加密虛擬貨幣挖礦惡意程式分布國家 台灣名第三 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。

 

除此之外,網路犯罪集團開採加密虛擬貨幣的手法也開始有些改變,包括:濫用合法工具或灰色工具 (如 Coinhive)、特別偏好門羅幣以及採用無檔案式加密虛擬貨幣挖礦程式。

從比特幣至門羅幣

Coinhive 提供了一種讓一般使用者和企業藉由在網站內嵌 JavaScript 程式碼的方式來開拓另一種財源,其原理就是藉由這套程式碼來使用網站瀏覽者的 CPU 資源來開採門羅幣。不過這套方便又能客製化的賺錢方法也逃不過網路犯罪集團的魔掌。事實上,根據報導,從 Coinhive 衍生出來的挖礦惡意程式已成為全球第六大熱門惡意程式,甚至連美、英兩國政府機關的網站都是受害者,此外還有一些知名企業的雲端伺服器,甚至透過惡意廣告來散布。

 

《延伸閱讀》

特斯拉 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機!避免「伺服器變挖礦機」四守則 

Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!

 

門羅幣和 Coinhive 會受到網路犯罪集團青睞其實不令人意外。由於開採門羅幣的演算法「CryptoNight」在設計上不適合在特殊應用晶片 (ASIC) 上執行。因此,比較適合利用消費性電腦 CPU 來挖礦。

這一點有別於比特幣,比特幣雖然也可以用一般的電腦 CPU 和顯示卡的 GPU (或兩者結合) 來挖礦,但效果已比不上採用專用的特殊應用晶片和雲端挖礦伺服器。目前,一台挖礦機可能 7 天 24 小時跑一整年還挖不到 1 個比特幣。

此外,門羅幣的隱私性也優於比特幣。由於它採用環狀簽名 (ring signature) 來保護隱私,因此其區塊鏈交易的位址、金額、來源、目的地、發送者、接收者等等更不易追查。

無檔案式加密數位貨幣挖礦惡意程式

如同勒索病毒一樣,隨著挖礦程式越來越成熟,趨勢科技也開始看到一些利用知名漏洞或其他方法以無檔案方式在系統植入挖礦程式的手法。例如根據 Coinhive 指出,一個網站只要有 10 至 20 個活躍中的挖礦程式,每個月就有 0.3 門羅幣的收入 (根據 2018 年 2 月 22 日匯率約合 97 美元)。所以只要建立一個龐大的「Botnet傀儡殭屍網路」,就能獲得可觀的不法獲利。

一個例子就是去年我們發現的一個加密虛擬貨幣挖礦惡意程式會使用 EternalBlue 漏洞攻擊技巧來散布,並利用 Windows Management Instrumentation (WMI) 來長期潛伏在系統中。事實上,專門開採門羅幣的 Adylkuzz 惡意程式據稱甚至比WannaCry(想哭)勒索蠕蟲勒索病毒還更早使用 EternalBlue。只要系統與網路一天不修補,就有機會再度受到感染。

《延伸閱讀》無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三

 

典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程如下圖所示,基本上就是直接將惡意程式碼載入系統記憶體當中。惡意程式唯一留下的感染痕跡只有:一個惡意的批次執行檔、一個安裝到系統上的 WMI 服務,以及一個 PowerShell 執行檔。至於散布的方式,有些惡意程式使用 EternalBlue 漏洞攻擊技巧,有些則使用 Mimikatz 來蒐集使用者的登入憑證,然後再登入系統,但不論何種方式,最後都會將電腦變成其中一個挖礦節點。

漏洞的確是加密虛擬貨幣挖礦惡意程式進入系統的主要管道之一。這一點從最近 Apache CouchDB 資料庫管理系統遭駭客試圖入侵即可證明。此外,遠端存取木馬程式 JenkinsMiner 也會散布門羅幣挖礦程式,並且專門攻擊 Jenkins 伺服器,其幕後集團據稱已開採到價值超過 300 萬美元的門羅幣。

典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程。
圖 4:典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程。

如何防範加密虛擬貨幣挖礦惡意程式?

並非所有國家都禁止加密虛擬貨幣流通,至少某些國家已經開放。這些貨幣儘管採用分散式架構,但仍有一些監管機制可以監督其交易的合法性,不過,藉由不法方式來開採這些貨幣則是另一回事。

雖然加密虛擬貨幣挖礦惡意程式的衝擊或許不像勒索病毒那麼容易直接感受,嚴重程度也較輕,但仍是一項威脅。去年 12 月,專門開採門羅幣的 Android 惡意程式 Loapi 即證明這類程確實有可能直接損壞行動裝置。

然而網路犯罪集團看上加密虛擬貨幣所帶來的影響,並非只有裝置的耗損或電力的消耗。這同時也意味著隨著科技日新月異,網路犯罪威脅也會隨之演變。就如同勒索病毒一樣,我們預料,隨著加密虛擬貨幣挖礦惡意程式的逐漸普及,它們也將朝多元化發展並經由各式各樣的手法來感染系統,甚至將受害者變成共犯結構之一。這正突顯出縱深防禦的重要性,此外,最佳實務原則以及養成良好資安習慣不僅對企業和一般使用者來說非常重要,對於裝置的設計、製造商來說也同樣重要。

趨勢科技解決方案能主動防範無檔案式加密虛擬貨幣挖礦惡意程式。
圖 5:趨勢科技解決方案能主動防範無檔案式加密虛擬貨幣挖礦惡意程式。

趨勢科技的 XGen安全防護融合了跨世代的威脅防禦技巧,能防止系統感染加密虛擬貨幣挖礦惡意程式。它藉由高準度的機器學習來保護閘道端點,並保護實體、虛擬及雲端工作負載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或執行不肖的挖礦程式。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。

原文出處:Cryptocurrency-Mining Malware: 2018’s New Menace? 作者:Menard Osena (資深產品經理)

 

《延伸閱讀 》

< 虛擬貨幣攻擊 > 偽裝獵人頭公司的釣魚郵件,鎖定銀行高階主管

“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

新挖礦攻擊利用 EternalBlue(永恆之藍) 漏洞攻擊技巧,入侵伺服器

資安研究人員 Nadav Avital 發現了一個由他命名為「RedisWannaMine」的加密虛擬貨幣挖礦行動,利用知名的 EternalBlue(永恆之藍)漏洞攻擊技巧入侵資料庫和應用程式伺服器。

RedWannaMine 會經由 CVE-2017-9805 這個可讓駭客從遠端執行程式碼的 Apache Struts 漏洞。Apache Struts 是一個用來開發 Java 網站應用程式的開放原始碼應用程式架構,根據研究,全球 Fortune 100 (《財星》百大) 企業當中至少有 65% 都採用這套架構。RedisWannaMine利用此漏洞從遠端執行指令列 (shell) 命令,將加密虛擬貨幣挖礦惡意程式下載至伺服器上。

[資安基礎觀念:加密虛擬貨幣挖礦惡意程式的負面影響]

此外,在追查這項攻擊行動的過程當中,研究人員還發現一個指令列腳本 (shell script),該腳本用來:

  • 下載加密虛擬貨幣挖礦惡意程式。
  • 利用 Linux 上的 crontab 工作排程器來讓自己在系統上不斷執行。
  • 在感染的系統上建立一個新的 Secure Shell (SSH) 金鑰以便從遠端連線。

繼續閱讀

“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !

瀏覽網頁時,電腦變得卡卡的, CPU 使用率突然飆高?當心是挖礦程式正利用你的電腦資源挖礦!全球每天新增 300個挖礦網站,挖礦綁架無所不在,繼星巴克之後,連 Youtube 也遭殃。若您覺得電腦 CPU飆高或者發燙跑很慢,出現疑似被植入挖礦程式的跡象,您可以怎麼做? 新型的挖礦程式關閉瀏覽器後也會繼續挖礦,該怎麼辦?先來看看最近的幾則電腦被偷偷用來挖礦案例:

 

案例一:星巴克 Wi-Fi 遭加料,顧客手機筆電竟成挖礦機

去年底跨國連鎖咖啡店星巴克(Starbucks)證實他們位於阿根廷布宜諾斯艾利斯店內的顧客會在不知情下被利用來進行數位貨幣挖礦。看起來似因為這些店家的無線網路被修改過,透過店內的 Wi-Fi 無線網路載入網頁會嵌入CoinHive挖礦程式。因為這樣,連上無線網路的使用者設備會在不知情被利用來挖掘 Monero數位貨幣。

挖礦腳本也會被嵌入在使用者可能會停留大量時間的地方,比方說長影片,趨勢科技發現串流媒體的使用者也成為目標。相關報導:挖礦劫持(Cryptojacking)幫星巴克加料,顧客上網筆電竟成挖礦機

案例二:Youtube 看影片電腦變好慢?原來是駭客正在挖礦賺外快!

有用戶反應在看 Youtube 的時候,電腦效能變差,原因是 Youtube 上的廣告被發現內含挖礦惡意程式 Coinhive ,也就是說,當你在看 Youtube 影片的同時,你的電腦或手機也默默的成為了不法駭客的「礦工」,幫他挖礦賺外快!… 《看完整報導 》

案例三:惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

惡意廣告暗藏採礦程式,一點就中! 重導向購物網站,用戶渾然不知

宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN),遭受數位加密貨幣採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客,使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。
根據 Alexa 指出,這些惡意廣告所在網站皆名列全球 15,000 大網站,意味著這些惡意網站不乏使用者造訪。… 《看完整報導 》

案例四:無法正確顯示字型? 中毒了? 假微軟技術支援網頁 真挖礦!

去年趨勢科技發現惡名昭彰的EITest 攻擊活動利用技術支援詐騙手法來散播虛擬貨幣採礦程式。在一個月的時間內,有990個受駭網站被注入惡意腳本,將潛在受害者轉向到技術支援詐騙網站。

網路釣魚腳本被設計成通知使用者下載 Hoefler Text 字型以正確顯示頁面,但實際上它會下載一個惡意執行檔。

使用者被重新導到技術支援詐騙網站
使用者被重新導到技術支援詐騙網站

技術支援詐騙網頁偽裝成正常的微軟Windows通知,提醒受害者系統中毒了,要求使用者打電話給他們的“技術部門”來解決問題。但在背後,網頁會從Coinhive的伺服器載入腳本並啟動JS數位貨幣採礦程式。除了造成系統延遲和效能問題外,使用者不會注意到自己的系統受到影響。看完整報導 … 《看完整報導 》

關閉瀏覽器後也會繼續挖礦?

挖礦通常都會需要非常高的效能,駭客將挖礦程式偷偷植入到網站上,當使用者瀏覽網站時網頁會自動開啟挖礦程式,藉由眾多瀏覽網站使用者的電腦CPU資源來挖礦,以賺取虛擬貨幣,而這也會導致使用者的CPU使用率大幅上升,電腦運行緩慢,嚴重影響使用者的使用品質及效能。所幸只要使用者關閉瀏覽器離開頁面,就不會繼續替他們挖礦了。

但現在有另一種狀況是即使關閉瀏覽器後也會繼續幫他們挖礦,這其實是當使用者瀏覽網站時,電腦會跳出一個彈出式視窗,這視窗只有Windows 工具列的高度且隱藏在工具列後,致使使用者看不到此視窗,在使用者在沒有警覺下,這個隱藏視窗持續默默的為駭客挖礦,若使用者要關閉這視窗則要將工具列往上提,再調整這個視窗的大小,才能把它關掉,為了避免瀏覽到這些網頁,趨勢科技的雲端技術中有著網頁威脅防護,這可是獲得網友們認證的超棒技術唷,因此安裝信譽卓著的防毒軟體也很重要!

不當免費礦工

但是該怎麼樣才會發現自己的電腦正在執行挖礦程式默默的為駭客賺錢呢?當您的電腦中招時, CPU 效能會被這些挖礦頁面偷走一半以上的效能,若您發現電腦處理速度變慢或是有點Lag的時候,可以查一下電腦的CPU使用率,當發現打開網站後CPU使用率突然飆高,極有可能是中招囉!此時可以把瀏覽器關掉或是看一下是否有隱藏的小視窗並關閉它來觀察是否回歸正常。

一般使用者對於自己的電腦替駭客挖礦是很難察覺的,建議大家在使用電腦時,發現運行速度和平常不大一樣時要趕緊查看處理,才不會不小心當了駭客的免費“礦工”囉!

🔴延伸閱讀:
趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰

PC-cillin 雲端版🔴防範勒索 🔴保護個資 ✓手機✓電腦✓平板,跨平台防護3到位

 

Oracle 伺服器漏洞遭駭客用來散布門羅幣 (Monero) 挖礦程式

加密虛擬貨幣突然爆紅,已經讓資安威脅情勢大為改觀。網路犯罪集團開始調整其人力和資源,將加密虛擬貨幣定為優先要務,包括直接竊取比特幣錢包或入侵網路和裝置並用於挖礦。歹徒看上加密虛擬貨幣其實已不是新聞,勒索病毒駭客集團多年來一直偏愛 比特幣 Bitcoin 為其勒索贖金的管道。不過,趨勢科技從 2017 年 10 月下旬開始在一些行動裝置應用程式商店看到手機挖礦惡意程式,到了 2017 年 12 月,Digmine 加密虛擬貨幣挖礦程式開始藉由社群媒體即時通訊散布

而現在,駭客正利用一個已經修補的 Oracle WebLogic WLS-WSAT 漏洞 (也就是可讓駭客從遠端執行程式碼的  CVE-2017-10271 漏洞) 來散布兩個加密虛擬貨幣挖礦程式,分別是 64 位元和 32 位元的 XMRig 門羅幣挖礦程式。兩個版本分別對應不同版本的 Windows 作業系統。「圖 1」顯示此漏洞攻擊程式碼仍在開發當中。此份報告所分析的是最新版本的惡意程式。

惡意程式新舊版本比較 (左側為新版本,右側為舊版),新版多了一個新元件 (紅框標示處)。
圖 1:惡意程式新舊版本比較 (左側為新版本,右側為舊版),新版多了一個新元件 (紅框標示處)。

漏洞攻擊在系統植入兩個挖礦程式

至截稿為止,趨勢科技發現駭客會利用 CVE-2017-10271 漏洞在系統上植入趨勢科技命名為「Coinminer_MALXMR.JL-PS」的挖礦程式。受感染的系統上會有兩個門羅幣挖礦程式。 繼續閱讀