腾讯安全:2018上半年区块链安全报告分析

上半年,几乎每一个接触过区块链或者接触过某种“币”的人都听到过“挖矿”和“矿工”这两个词。简单来说,区块链是个公用账本,而挖矿就是记账的过程,因此在区块链系统中的每个用户都可以是矿工。当然,参与记账自然会获得一定比例的报酬。然而,很多人无法想到的是,就像昨天提到的网络中的勒索病毒的出现一样,黑客利用挖矿这一动作,也造出了挖矿病毒。

挖矿病毒发展成为2018年传播最广的网络病毒,且挖矿热度往往与币种价格成正比。由于挖矿病毒的控制者可以直接通过出售挖到的数字虚拟货币牟利,挖矿病毒的影响力空前高涨,已经完全取代几年前针对游戏玩家的盗号木马、针对网购用户的交易劫持木马、甚至是用于偷窥受害者家摄像头的远程控制木马。

当受害者电脑运行挖矿病毒时,计算机CPU、GPU资源占用会上升,电脑因此变得卡慢,如果是笔记本电脑,会更容易观察到异常:比如电脑发烫、风扇转速增加,电脑噪声因此增加,电脑运行速度也因此变慢。挖矿年年有,但进入2018年以来,PC端挖矿木马以前所未有的速度增长,仅上半年爆出挖矿木马事件45起,比2017年整年爆出的挖矿木马事件都要多。

1、上半年挖矿木马样本分析与传播特征

腾讯御见威胁情报中心对数十万挖矿病毒样本进行归类,对挖矿木马使用的端口号、进程名、矿池地址进行了总结。

挖矿木马最偏爱的端口号是3333,其次是8008、8080、5555等端口。

木马最爱的借用的进程名是svchost.exe以及csrss.exe,这两个名字原本属于windows系统进程,现被挖矿木马利用来命名以迷惑用户。

矿池就是一个开放的、全自动的挖矿平台,目前挖矿木马主要通过连接矿池挖矿,矿工将自己的矿机接入矿池,贡献自己的算力共同挖矿,共享收益。上半年PC端僵尸网络挖矿应用最广泛的矿池为f2pool。

与以往挖矿木马相比,2018上半年挖矿木马出现新的传播特征:

(1)瞄准游戏高配机,高效率挖矿

辅助外挂是2018上半年挖矿木马最喜爱的藏身软件之一。由于游戏用户对电脑性能要求较高,不法分子瞄准游戏玩家电脑,相当于找到了性能“绝佳”的挖矿机器。

2018年1月,腾讯电脑管家曝光tlMiner挖矿木马隐藏在《绝地求生》辅助程序中进行传播,单日影响机器量最高可达20万台。随即在3月份配合腾讯守护者计划安全团队,协助山东警方快速打击木马作者,并在4月初打掉这个链条顶端的黑产公司。据统计,该团伙合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金)、BCD(比特币钻石)等各种数字加密货币超过2000万枚,非法获利逾千万。

2018年2月,腾讯电脑管家发现一款门罗币挖矿木马藏身在上百款《荒野行动》辅助二次打包程序中传播,并在2月中下旬通过社交群、网盘等渠道传播,出现明显上涨趋势。

2018年5月,腾讯御见威胁情报中心感知到一款名为“520Miner”的挖矿木马通过游戏外挂传播,控制数千台机器挖了好几天的矿,最终收获67枚VIT币,总价值不到一毛钱人民币,可以说是史上最能穷折腾的挖矿木马。

(2)利用网页挂马,大范围传播

挖矿木马的传播渠道不限于通过伪装成电脑软件下载,还普遍采用了网页挂马这种最高效率的传播方式。

2018年4月12日,腾讯御见威胁情报中心监测到国内一起大规模的网页挂马事件。当天包括多款知名播放器软件、视频网站客户端、常见的工具软件在内的50余款用户量千万级别的电脑软件遭遇大规模网页挂马攻击。

攻击者将攻击代码通过某广告联盟的系统主动分发带毒页面,而这个带毒页面被内嵌在50余款千万级别用户群的常用软件中,这些用户的电脑一开机会主动连网下载广告资源,电脑会因此下载若干个病毒,其中就包括挖矿病毒。腾讯电脑管家当天拦截超过20万次病毒下载。

此外,腾讯御见威胁情报中心还监测到一款挖矿病毒感染量异常增高,经病毒溯源分析发现,受害者电脑上的挖矿木马均来自某些打着“人体艺术”旗号的色情网站。

当网民浏览这些网站时,由于部分系统存在Flash高危安全漏洞,打开网页会立刻中毒。之后,受害者电脑便会运行挖矿代码,电脑沦为一名矿工。攻击者会控制大量矿工电脑集中算力挖矿,并以此牟利。

(3)网页挖矿:在正常网址插入挖矿代码

由于杀毒软件的存在,许多挖矿木马文件一落地到用户电脑就可能被拦截,不利于扩大挖矿规模,更多攻击者倾向实施网页挖矿:通过入侵存在安全漏洞的网站,在网页中植入挖矿代码。访客电脑只要浏览器访问到这个网页,就会沦为矿工。

在挖矿的网站类型中,色情网站占比最高,其次是视频网站和博客、论坛。用户在此类网站观看视频、阅读文章,停留时间较长,黑客利用这些网站进行挖矿,可以获取较高的收益。

在矿池方面最早出现的coinhive矿池占据网页挖矿中的最大比例,与coinhive同一平台的authemine矿池占11%;基于coinhive建立的ppoi矿池和cryptoloot矿池分别占比21%、4%。

2、下半年挖矿木马的传播趋势

数字加密货币在2018年上半年持续暴跌,比特币已从去年年底的2万美元,跌至现在不足7000美元,“炒币”热似在降温,但这并没有影响挖矿木马前进的脚步,毕竟挖矿木马是靠肉鸡挖矿赚钱,勿需投入物理设备,而从最近爆出的挖矿木马事件中发现,挖矿木马可选择的币种越来越多,设计越来越复杂,隐藏也越来越深,下半年的挖矿将会持续活跃,与杀毒软件的对抗会愈演愈烈。

(1)全能型挖矿木马产生,同时带来多种危害

PC病毒的名字通常包含了病毒的来源、传播路径、目的等信息,如“Trojan.StartPage”代表这是一类锁主页木马,“Backdoor.GrayBird”属于灰鸽子后门病毒,如今在杀软的强力打击之下,病毒木马“栖息地”越来越少,拓展“业务”已成为众多病毒木马的首要任务,挖矿木马也不例外。

上半年出现的“Arkei Stealer”木马,集窃密、远控、DDoS、挖矿、盗币于一体,可谓木马界“全能”。下半年的挖矿木马或将集成更多的“业务”,通过各种渠道入侵至用户机器。

(2)隐藏技术更强,与安全软件对抗愈加激烈

病毒发展至今,PC机上隐藏技术最强的无疑是B/Rootkit类病毒,这类木马编写复杂,各模块设计精密,可直接感染磁盘引导区或系统内核,其权限视角与杀软平行,属于比较难清除的一类病毒。

此类病毒常用于锁主页及勒索,而近期发现R/Bookit技术也被应用于挖矿木马中,使挖矿木马的隐藏技能提升几个档次。下半年数字加密货币安全形势依然严峻,挖矿木马的隐藏对抗或将更加激烈。

数字劫匪“铤而走险”攻击交易所,半年获利约7亿美元

除了勒索病毒造成的损失,盗窃行为也同样可对数字加密货币持有者造成大量损失,从数字加密货币诞生初期,数字加密货币被盗的新闻就层出不穷。目前盗取数字加密货币的方式大致4种:入侵交易所,入侵个人用户,“双花攻击”,漏洞攻击。

3、数字加密货币交易平台被攻击

数字加密货币交易所被攻击,仅2018年上半年就损失了约7亿美元。

(1)2018年1月日本最大的数字加密货币交易所Coincheck被盗走价值5.34亿美元的NEM(新经币);

(2)2018年3月7日,Binance交易锁被入侵,此次为大规则通过钓鱼获取用户账号并试图盗币事件;

(3)2018年4月13日,印度数字加密货币交易所CoinSecure被438枚比特币,疑为内部人员监守自盗;

(4)2018年6月10日,韩国数字加密货币交易所Coinrail被攻击,损失超过5000万美元;

(5)2018年6月20,韩国数字加密货币交易所Bithumb被黑客攻击,价值3000万美元的数字加密货币被盗,这是Bithumb第三次被黑客攻击了。

4、个人账号遭入侵

(1)通过植入病毒木马窃取钱包文件

2018年2月腾讯电脑管家发现大量利用Office公式编辑器组件漏洞(CVE-2017-11882)的攻击样本,通过下载并运行已被公开源码的Pony木马,窃取用户比特币钱包文件等敏感信息。

2018年3月,一款基于剪切板劫持的盗币木马在国内出现,该木马使用易语言编写,通过激活工具、下载站到达用户机器,木马会监视用户剪切板,一旦发现有钱包地址,则替换为木马的钱包地址,木马内置30多个钱包地址,且部分钱包已经有盗取记录。

此外,腾讯御见威胁情报中心分析发现,越来越多的病毒会尝试劫持数字加密币交易钱包地址,当受害者在中毒电脑上操作数字加密货币转帐交易时,病毒会迅速将收款钱包地址替换为病毒指定的地址,病毒行为就如同现实中的劫匪。类似病毒在电脑网购普及时也曾经出现,病毒在交易完成的一瞬间,将受害者资金转入自己指定的交易账户。

(2)内部盗取加密货币

2018年3月份,北京某互联网攻击员工利用职务便利,在公司服务器部署恶意代码,盗取该公司100个比特币,目前已经被依法逮捕,这是北京首例比特币盗窃案。

5、“双花攻击”

“双花攻击”是控制某数字加密货币网络51%算力之后,对数字加密货币区块链进行攻击,可实现对已经交易完成的数据进行销毁,并重新支付,这样就可获得双倍服务。

2018年5月,BTG(比特黄金)交易链被黑客攻击,黑客向交易所充值后迅速提币,并销毁提币记录,共转走了38.8万枚BTG,获利1.2亿人民币。

6、漏洞攻击

2018年4月,BEC智能合约中被爆出数据溢出漏洞,攻击者共盗取579亿枚BEC币,随后SMT币也被爆出类似漏洞。

关于2018上半年出现的所有区块链网络安全事件我们已经全部分析完了,不知你是否有所收获了呢?

到目前为止,区块链技术仍是众多互联网公司乃至国有银行系统重点研究的领域。区块链的应用并不等同于数字虚拟货币,安全专家并不鼓励人们炒币。

安全建议

对于区块链安全来讲,对于参与数字虚拟币交易的所有网民来讲,应充分了解可能存在的风险,在电脑端、手机端使用安全软件,避免掉进网络钓鱼陷阱,避免数字虚拟币钱包被盗事件发生;

对于普通网民而言,应防止电脑中毒成为被人控制的“矿工”,谨慎使用游戏外挂、破解软件、视频网站客户端破解工具,这些软件被人为植入恶意程序的概率较大。同时,安装正规杀毒软件并及时更新升级,当电脑卡顿、温度过热时,使用腾讯电脑管家进行检查,防止电脑被非法控制,造成不必要的损失;

对于企业网站、服务器资源的管理者,应部署企业级网络安全防护系统,防止企业服务器被入侵安装挖矿病毒,防止受到勒索病毒侵害。企业网站应防止被黑,及时修补服务器操作系统、应用系统的安全漏洞,避免企业服务器沦为黑客挖矿的工具,同时也避免因服务器被入侵而导致企业网站的访客电脑沦为“矿工”。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20180906A1QKVI00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券