从寄生虫到僵尸网络挖矿木马大起底

安全牛 · 公众号 · 互联网安全 · 2018-01-30 10:42

正文

请到「今天看啥」查看全文

比本地挖矿木马植入技术更高明的另一种木马植入形式正在悄然崛起，那就是：云端挖矿。 云端挖矿是指黑客通过植入带有挖矿木马的JS脚本来窃取用户资源，进行在线挖矿。从行业内部讲，大多数情况下挖矿软件本身是存在后门的，黑客可利用此后门窃取用户的机器资源甚至用户的虚拟货币。

根据亚信安全高级威胁应急响应团队初步调查，确定Coinhive是一个提供恶意JS脚本的网站平台，允许攻击者将脚本挂到自己或被入侵的网站上，所有访问这些网站的用户都可能成为虚拟货币的挖掘矿工。

通俗来讲，Coinhive采矿平台专门为网站开拓“另一种”收入来源：不必在网页上夹带大量广告，只要在网页内嵌入开采Monero（门罗币）的代码即可，这些代码会使用访客电脑的运算资源来开采门罗币。Coinhive会从开采出来的门罗币中收取一定比例的佣金，其余则归网站所有。目前，越来越多的恶意软件开发者偏爱嵌入此类代码。

下图为嵌入网页中挖矿JS代码：

目前，我们检测到植入挖矿脚本的站点类型分布如下：

占比最多的是企业网站，比例高达62%，排在后面的依次是色情、博彩、游戏、小说以及视频等类型的网站。

企业网站存在大量风险

与此同时，许多挖矿平台还存在着诈骗与盗用盗刷信用卡的情况，用户的财产安全在不经意间受到了极大威胁。

四、黑产的影响

那么“挖矿木马”对我们有什么实际的影响呢？据统计，自2017年10月以来，挖矿站点数量呈现上涨趋势，越来越多的网站被发现被植入了挖矿木马，因网站被入侵而被动参与挖矿的网站也在增多。

亚信安全高级威胁应急响应团队的研究人员在发现了一些高流量的挖矿网站的同时，也监测到受影响的用户流量有明显增加。

在“挖矿”这条道路上，黑客为了使自己的利益最大化，可谓无所不用其极。常言道，魔高一尺，道高一丈，邪终不胜正。为了进行全方位的安全防护，亚信安全高级威胁应急响应团队的研究人员对收集到的以下病毒进行全面分析，并还原出病毒进入计算机后的各种行为，力求保障企业与用户安全，让大家对“挖矿木马”有更清晰的了解。

五、“挖矿木马”案例

案例1：进入Windows主机后的“寄生虫” -- Conhosts.exe

我们通过对内存镜像的分析发现，在某台可疑计算机中，conhosts.exe进程占用的CPU空间高达75%，因此我们有理由怀疑该程序是木马程序。通过对进程conhosts.exe进一步分析，我们发现该程序的PID为856，存放路径是c:\windows\fonts，由csrss.exe创建并启动。同时csrss.exe存放路径也是c:\windows\fonts，而正常的csrss.exe存放路径应该存放在c:\windows\system32下，因此可以进一步判断该进程是一个木马程序。