涉案1500万,奇葩挖矿木马团伙落网记

2017 年底,一款名为“tlMiner”的挖矿木马的传播量达到峰值,12 月 20 日,腾讯电脑管家的安全研究员发现,有近 20 万台机器受到该挖矿木马影响,并发现“tlMiner”挖矿木马瞄准的是“吃鸡”玩家及网吧高配电脑,搭建挖矿集群。

竟然利用“外挂+木马”的形式搞起了鹅厂爆款游戏的用户?这事忍不了。安全研究人员决定,一查到底。没想到,追踪起来,他们发现了许多奇葩事。

“高新技术”企业搞“副业”

2017年,一家大连当地高新技术企业偷偷发展起了副业。虽然这是一家号称“高新技术”的企业,事实上,没多少员工,和村口开小卖部的“夫妻店”规模不相上下。

2017 年 12 月,比特币涨幅依旧惊人,主流币种中,IOTA、XMR(门罗币)、EOS表现十分亮眼。这家企业于是打起了挖矿的主意。

本来,这家号称高新技术的企业是以推广网络广告为主。有什么办法可以利用现有分发渠道,“空手套白狼”一样的做挖矿的生意呢?毕竟,采购专业矿机,搭建矿场也需要很高的成本。

这家企业的老板 A 想了个法子:构建僵尸网络,让大家“集资”给给自己挖矿!

怎么结合现有业务打造一个巨大的僵尸网络呢?

这一年,吃鸡游戏火遍中国,A 注意到了一个优秀的吃鸡游戏外挂作者B,这个人做的付费挂不错。于是,A 联系上了 B ,称自己这里有一个赚钱的好生意。

A 对 B 说,要在 B 开发的外挂里加入挖矿木马,通过自己强大的分销网络推广其外挂,B只要坐等分钱就好。

B 一听,动了心。

黑吃黑的“合谋”

一场合谋开始了。

A 利用自家现有的软件分发渠道“卖起了挂”,比如网吧联盟、论坛、下载站和云盘渠道等,干得轻车熟路,风生水起。

一不小心,在半年的时间里,他们构造了一个涉及 389 万台电脑的僵尸网络群,经常打游戏的宅友可能知道,这些都是高配电脑,简直是挖矿神器。

而且,这事干得极其隐秘。

“机智”的挖矿木马“tlMiner”能够检测受感染机器的CPU使用情况,做出以下决策:

1.机器CPU利用一旦超过50%,伦家就不要你挖矿了。

2.如果伦家挖矿的行为要占据你40%的进程,哦,抱歉,我退出。

3.主人在吃鸡?为了不影响你的游戏速度,咱们的挖矿大业靠边站。

4.电脑息屏,主人玩累了在休息?行,挖矿全速开进。

“tlMiner”这么做,并不是因为它有良心,而是为了尽量降低自己对受感染电脑的影响,不被电脑主人发现,延长自己挖矿的时间。。。

所谓“谋财不害命”,专注自己的主业说的就是这个“诚恳”的挖矿木马了。

A 还颇有商人的“素养”:咱家好歹是高新技术企业,主业还是弹广告,所以这 389 万台电脑里,只要选出 100 万台高配电脑种挖矿木马就行,其他电脑就老老实实地继续弹广告吧。

A 和 B 初步合作后,效果不错,于是 A 给 B 的帐户打了一笔不小的感谢费。

B 一看:这事可以搞啊!A 居然能这么坐躺收钱,我也可以做是不是?

于是,“机智”的 B 在 A 不知情的情况下,偷偷在自己的外挂软件上开了个后门,主挖 HSR(红烧肉币)。此刻,老板 A 正乐此不疲地继续盯着 XMR(门罗币)、SHR(超级现金币)、BCD(比特币钻石)、SIA(云储币)、DGB(极特币)等山寨币继续挖。

两人看上去井水不犯河水。

事实上,为了不让 A 察觉“好风凭借力”的另一后门,B 也是费尽了心思:毕竟电脑的资源是有限的,当然偶尔抢抢资源挖矿就好。但就是这样一个后门,让 B 在 A 的分销渠道上继续躺着赚了两百来万,A 则赚了 1000 多万,两人相安无事。

落网

直到 2017 年 12 月,这一木马的传播量引起了安全研究员在云端部署的安全大脑的警觉。

安全人员还发现,该挖矿木马走了“白+黑”的套路:某个正常的程序或进程,调用了一个异常的模块。

除了机器捕捉到的零散的行为,还有一项直接的证据:近 20 万台机器受到该挖矿木马影响。

于是,电脑管家的运营团队赶紧和腾讯守护者计划部门联系,将这一线索反馈给了警方,拔出萝卜带出泥,找出了一个公司化运营的大型挖矿木马黑色团伙。

据《法制日报》报道,警方接案后,通过互联网提取到外挂木马样本,找到木马开发者建立的木马交流群,初步落查发现该款木马程序开发者为杨某宝。杨某宝通过建立了多个外挂讨论群,在群文件中共享外挂程序,利用“天下网吧论坛”版主的身份,将上传含有木马的外挂程序到“天下网吧”论坛供网民下载,还有通过某网盘进行分享下载的形式传播外挂。

3 月 8 日,杨某宝被抓获。原来,杨某宝曾为 58 迅推增值联盟雇佣,利用该平台增值客户端非法挖矿共同获利。警方顺藤摸瓜,发现58 迅推增值联盟的幕后公司为大连某网络科技有限公司。

4 月 11 日,警方抓获该案全部涉案嫌疑人 16 名。随后,警方对大连该网络科技有限公司的下线进行梳理,并开展抓捕。

原来,大连该网络科技有限公司作为上线提供技术支持,研发了挖矿监控软件、集成挖矿程序,然后发展了全国几百名下线从事代理。这些下线手中掌着全国 389 万台电脑的庞大资源,大连这家公司一一与下线达成合作协议,不仅向这 389 万台电脑发送广告获利,还选择其中 100 多万台进行后台静默挖矿,这两部分的利润由上线与下线按比例分成。

[区块链木马挖矿黑产流程图]

**花絮**

一个好奇的编辑宝宝 VS 腾讯电脑管家高级安全专家李铁军

1.雷锋网:如何评价这起案件的规模?

李:位于大连的“tlMiner”挖矿木马团伙,并不是我们捕捉到的规模最大的一个,但是其构建的僵尸网络是目前归案的国内同类案件中规模最大的一起。

300万台规模的僵尸网络,如果搞DDoS攻击,很容易造成网络瘫痪。如果搜集肉鸡电脑个人信息,比如远程控制桌面、摄像头,后果也十分严重。因为现阶段,绝大多数病毒的感染量都不高,能感染上千台已经算不错了,上万台称得上感染严重,百万台就是超级严重了。

2018 年 4 月,我们曾监控到一个遍布全球的 PhotoMiner 木马挖矿组织,该组织通过入侵感染FTP服务器、SMB服务器暴力破解来扩大传播范围。自 2016 年首次被发现至今,PhotoMiner木马团伙通过门罗币挖矿累计收入已达到令人惊叹的 8900 万人民币,是 2018 年上半年的“黄金矿工”,但是,由于其服务器在国外,涉及到很多问题,抓捕有难度。

2.雷锋网:在这起案件中,他们构建了一个庞大的僵尸网络,为什么不同时用来提供DDoS攻击服务?

李:现在国家对DDoS攻击监控十分严密,后果很严重,这些人本就是图财不想赔上命,而且挖矿收益大多了,所以。。。

3.雷锋网:现在这些僵尸网络除了打D、挖矿,还有什么生财之道?

李:我们监测到,还有人可能利用各种手段获取短视频平台以及社交网站的帐号组成僵尸粉大军,搞水军,刷评论,捧网红。。。

4.雷锋网:不同的僵尸网络可能覆盖同一些容易获取的肉鸡,要是大家都用它来挖矿,资源有限,互相打架怎么办?

李:厉害的会踢掉之前的挖矿木马,然后开展自己的挖矿大业。

5.雷锋网:以前很多木马主要干些锁主页、弹广告、推广软件的脏活,现在它专注挖矿,用户是不是“可能还能松了口气”?

李:当前个人电脑的主流配置性能很强,即使木马已经在挖矿,性能变差的直观感受也并不明显。只有挖矿木马启动挖矿程序,同时用户启动较耗资源的应用,比如大型游戏,此时才会感觉电脑速度变慢、温度升高、风扇噪音增加等现象。通过大量计算机运算获取数字货币奖励,挖矿对电脑硬件配置要求比较高,主机经常长期高负荷运转,显卡、主板、内存等硬件会提前报废,对电脑的损害极大(编辑脑补了潜台词:傻孩子,并没有松口气)。

雷锋网注:该案件涉案团伙落网信息参考自《法制日报》相关报道。

  • 发表于:
  • 原文链接:https://kuaibao.qq.com/s/20180719C1FPQ600?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券