虛擬貨幣 挖礦惡意程式會不會成為下一個勒索病毒 ?隨著加密虛擬貨幣在真實世界逐漸流行且漸形重要,這類貨幣在網路犯罪領域也開始受到重視,而且似乎有和勒索病毒 Ransomware (勒索軟體/綁架病毒)並駕齊驅的態勢。其實,加密虛擬貨幣挖礦活動是 2017 年家用路由器連接的裝置最常偵測到的網路事件。
加密虛擬貨幣挖礦惡意程式:2018 年最新威脅?
圖1:2017 年,加密虛擬貨幣挖礦活動是家用路由器連接的裝置最常偵測到的網路事件 (根據趨勢科技 Smart Home Network 智慧家庭網路產品回報資料)。 挖礦惡意程式最早出現於 2011 年中期 ,相較於當時最流行的蠕蟲、後門程式等惡意程式來說,只能算是個配角,但目前已演變成甚至比網路間諜活動 還要賺錢的途徑,一些勒索病毒 犯罪集團、駭客團體 等等都紛紛跳槽加入此一行列。
就以 比特幣(Bitcoin) 為例,2017 年 1 月每一比特幣的價格還在 1,000 美元左右,但今日已超過 11,000 美元,甚至曾經一度升破 20,000 美元大關。門羅幣 (XMR) 的情況也是類似,從 2017 年 1 月的 13 美元暴漲至 2018 年 2 月的 325 美元。而巨幅的價格波動也開始讓威脅情勢產生變化:只要是有錢賺的地方,歹徒就會蜂擁而至。
最令人矚目的是,加密虛擬貨幣挖礦惡意程式 幾乎呈爆炸性成長 。如下圖所示,加密虛擬貨幣挖礦惡意程式數量在 2017 年一直持續有所成長,但卻在 10 月突然飆高 (116,361),接著在 11、12 月稍減之後維持穩定。加密虛擬貨幣挖礦惡意程式偵測數量最多的是:日本、印度、台灣、美國和澳洲。
圖 2:加密虛擬貨幣挖礦惡意程式偵測數量 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。 圖 3:加密虛擬貨幣挖礦惡意程式分布國家 台灣名第三 (2017 年, 根據趨勢科技 Smart Protection Network 全球威脅情報網的資料)。
除此之外,網路犯罪集團開採加密虛擬貨幣的手法也開始有些改變,包括:濫用合法工具或灰色工具 (如 Coinhive)、特別偏好門羅幣以及採用無檔案式 加密虛擬貨幣挖礦程式。
從比特幣至門羅幣
Coinhive 提供了一種讓一般使用者和企業藉由在網站內嵌 JavaScript 程式碼的方式來開拓另一種財源,其原理就是藉由這套程式碼來使用網站瀏覽者的 CPU 資源來開採門羅幣。不過這套方便又能客製化的賺錢方法也逃不過網路犯罪集團的魔掌。事實上,根據報導 ,從 Coinhive 衍生出來的挖礦惡意程式已成為全球第六大熱門惡意程式,甚至連美、英兩國政府機關的網站都是受害者 ,此外還有一些知名企業的雲端伺服器 ,甚至透過惡意廣告 來散布。
《延伸閱讀》
特斯拉 ( Tesla ) 與 Jenkins 伺服器成駭客挖礦機!避免「伺服器變挖礦機」四守則
Youtube 看影片電腦變好慢?當心駭客正在挖礦賺外快!
門羅幣和 Coinhive 會受到網路犯罪集團青睞其實不令人意外。由於開採門羅幣的演算法「CryptoNight」在設計上不適合在特殊應用晶片 (ASIC) 上執行。因此,比較適合利用消費性電腦 CPU 來挖礦。
這一點有別於比特幣,比特幣雖然也可以用一般的電腦 CPU 和顯示卡的 GPU (或兩者結合) 來挖礦,但效果已比不上採用專用的特殊應用晶片和雲端挖礦伺服器。目前,一台挖礦機可能 7 天 24 小時跑一整年還挖不到 1 個比特幣。
此外,門羅幣的隱私性也優於比特幣。由於它採用環狀簽名 (ring signature) 來保護隱私,因此其區塊鏈交易的位址、金額、來源、目的地、發送者、接收者等等更不易追查。
無檔案式加密數位貨幣挖礦惡意程式
如同勒索病毒一樣,隨著挖礦程式越來越成熟,趨勢科技 也開始看到一些利用知名漏洞或其他方法以無檔案方式在系統植入挖礦程式的手法。例如根據 Coinhive 指出 ,一個網站只要有 10 至 20 個活躍中的挖礦程式,每個月就有 0.3 門羅幣的收入 (根據 2018 年 2 月 22 日匯率約合 97 美元)。所以只要建立一個龐大的「Botnet傀儡 殭屍網路」 ,就能獲得可觀的不法獲利。
一個例子就是去年我們發現的一個加密虛擬貨幣挖礦惡意程式 會使用 EternalBlue 漏洞攻擊技巧來散布,並利用 Windows Management Instrumentation (WMI) 來長期潛伏在系統中。事實上,專門開採門羅幣的 Adylkuzz 惡意程式據稱甚至比WannaCry(想哭) 勒索蠕蟲勒索病毒還更早使用 EternalBlue。只要系統與網路一天不修補,就有機會再度受到感染。
《延伸閱讀》 無檔案病毒攻擊: 新數位貨幣採礦病毒, 亞太區為重度感染區,台灣排名第三
典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程如下圖所示,基本上就是直接將惡意程式碼載入系統記憶體當中。惡意程式唯一留下的感染痕跡只有:一個惡意的批次執行檔、一個安裝到系統上的 WMI 服務,以及一個 PowerShell 執行檔。至於散布的方式,有些惡意程式使用 EternalBlue 漏洞攻擊技巧,有些則使用 Mimikatz 來蒐集使用者的登入憑證,然後再登入系統,但不論何種方式,最後都會將電腦變成其中一個挖礦節點。
漏洞的確是加密虛擬貨幣挖礦惡意程式進入系統的主要管道之一。這一點從最近 Apache CouchDB 資料庫管理系統遭駭客試圖入侵即可證明。此外,遠端存取木馬程式 JenkinsMiner 也會散布門羅幣挖礦程式,並且專門攻擊 Jenkins 伺服器,其幕後集團據稱已開採到價值超過 300 萬美元 的門羅幣。
圖 4:典型的無檔案式加密虛擬貨幣挖礦惡意程式感染過程。 如何防範加密虛擬貨幣挖礦惡意程式?
並非所有國家都禁止加密虛擬貨幣流通,至少某些國家 已經開放。這些貨幣儘管採用分散式架構,但仍有一些監管機制可以監督其交易的合法性,不過,藉由不法方式來開採這些貨幣則是另一回事。
雖然加密虛擬貨幣挖礦惡意程式的衝擊或許不像勒索病毒那麼容易直接感受,嚴重程度也較輕,但仍是一項威脅。去年 12 月,專門開採門羅幣的 Android 惡意程式 Loapi 即證明這類程確實有可能直接損壞行動裝置。
然而網路犯罪集團看上加密虛擬貨幣所帶來的影響,並非只有裝置的耗損或電力的消耗。這同時也意味著隨著科技日新月異,網路犯罪威脅也會隨之演變。就如同勒索病毒一樣,我們預料,隨著加密虛擬貨幣挖礦惡意程式的逐漸普及,它們也將朝多元化發展並經由各式各樣的手法來感染系統,甚至將受害者變成共犯結構之一。這正突顯出縱深防禦的重要性,此外,最佳實務原則以及養成良好資安習慣 不僅對企業 和一般使用者來說非常重要,對於裝置 的設計、製造商來說也同樣重要。
圖 5:趨勢科技解決方案能主動防範無檔案式加密虛擬貨幣挖礦惡意程式。 趨勢科技的 XGen 安全防護融合了跨世代的威脅防禦技巧,能防止系統感染加密虛擬貨幣挖礦惡意程式。它藉由高準度的機器學習來保護閘道 與端點 ,並保護實體、虛擬及雲端工作負載。XGen™ 能藉由網站/網址過濾、行為分析及客製化沙盒模擬分析,來防範今日針對企業的威脅,這些威脅不僅能避開傳統資安防禦,更能利用已知、未知或尚未公開的漏洞,竊取個人身分識別資訊或執行不肖的挖礦程式。聰明、最佳化、環環相扣的 XGen™ 是趨勢科技 Hybrid Cloud Security 混合雲防護、User Protection 使用者防護以及 Network Defense 網路防禦等解決方案的技術基礎。
原文出處:Cryptocurrency-Mining Malware: 2018’s New Menace? 作者:Menard Osena (資深產品經理)
《延伸閱讀 》
< 虛擬貨幣攻擊 > 偽裝獵人頭公司的釣魚郵件,鎖定銀行高階主管
“你的字型需要更新” “關閉網頁後,竟還繼續挖礦?” 這些騙術讓你的電腦做牛做馬幫他人賺外快 !
趨勢科技 PC-cillin 2018 防毒軟體雲端版好強大!跟偷挖礦、勒索病毒說掰掰
PC-cillin 雲端版
宣稱是第一個可以使用手機開採的數位加密貨幣的 Electroneum 數位加密貨幣 (簡稱 ETN),遭受採礦程式的攻擊。一些會在背後載入惡意廣告的網站專門提供一些好康優惠給訪客,使用者一旦點選惡意廣告,它就會在背後載入 ETN 網頁採礦程式,同時將使用者重導至一個正常的購物網站以免被使用者發現。
防範勒索 
