闷声发大财年度之星:2017挖矿木马的疯狂敛财暗
分类:新酷科技

  月活3000万的企业微信,对移动办公的垂直服务商推出亿元奖励和培训计划

  12月21日,企业微信对外公布了当前的运营情况和未来的发展战略。企业微信于2016年4月正式上线,定位是为企业提供办公移动化解决方案。2017年,企业号与企业微信正式合并,推出企业微信2.0版本。这被认为是和阿里钉钉正面刚的举措。截止目前,

  OA免费试用,可咨询蓝凌官网客服哦~近期,又一家中国500强企业:甘肃建投签约蓝凌,构建一体化智慧OA平台!一、关于甘肃建投甘肃省建设投资(控股)集团总公司创建于1953年,连续6年获评中国500强企业(2016年排名第300位),是ENR

  “双旦”马上就要来了,今年的圣诞和元旦都碰上了周末。走亲访友、商场剁手,注定是热闹非凡。12月21日,ofo小黄车发布共享出行行业首份《2017年圣诞节、2018年元旦假期出行预测报告》,ofo凭借奇点人工智能大数据平台结合节假日与日常的全

  若干年后,人们也许会这样记录中国科技界曾经的重要事件:21世纪第二个十年,云计算逐渐成为互联网发展到一定阶段后最重要的基础设施,如同现实世界的水电煤,云计算成为互联网领域的连接器与能量供给源,各类互联网服务以此为基础发展繁茂。正是看到了占据

  12月16日,美国三大商业媒体之一《快公司FastCompany》中文版公布“中国最佳创新公司50”(Most Innovative Companies 50,简称MIC50),该榜单是观察中国创新的风向标之一,代表了国内时下创新热点领域和

  【摘要】2017年12月19日,由杨浦金融办指导、上海权数/凯峰数据主办、上海总部经济促进中心协办,中国首个旨在用AI技术破解中小微企业融资难题的论坛《中国新三板·新金融·创新型投资论坛暨2017年颁奖盛典》在上海豫园成功举办,主办方凯峰数

  小米商城2017感恩季的活动正在如火如荼进行中,此次小米商城直接送出100万张100元无套路现金劵,让不少米粉大呼惊喜。更惊喜的是,小米科技的董事长雷军给所有在小米商城消费过的用户,拍了一段定制感恩视频,视频中雷军亲口说出了每一个用户的名字

  美菱,作为一家拥有35年历史、专注家电制造的企业,近年来始终坚持在变频和智能产品上持续发力,积极推进传统家用电器制造业从低端加工向高端智能制造发展,实现制造业投资结构转型升级的发展战略。昨日,江西美菱电器有限责任公司年产100万台环保节能冰

  近日,传化智联(证券代码:002010)旗下浙江数链科技有限公司正式通过CMMI 3级认证。本次认证以传化智慧园区、B2B商城、风控项目三个系统作为样板项目,对前期部署准备、标准化过程导入、项目对标改进、项目模型优化等各方面进行了审核认证,

  2017年12月19日,在2017云栖大会·北京峰会上,阿里云展示了新零售时代的智慧门店解决方案。作为本方案的重要技术合作伙伴之一,魔点科技提供基于人脸识别的“交互端”,将阿里云提出的“智慧门店”概念通过人工智能落实到具体的场景应用中。不可

  站在2017年尾巴尖上,商界再传重磅消息!12月21日,首个智能泛家居公园INXpark在北京发布,由京东、网易、少海汇等联手打造,通过打通线上线下、AI赋能和深度体验的场景构建,整合设计、供应链、物流、安装等服务,为消费者提供极致便利的购

  明星想让粉丝们搜索自己时,看到的内容更全面、更准确,实现更简单的互动交流,那么答案无疑在于线上访问量、线下曝光度这两个数据指标,这也正是通过互联网的能力来助力娱乐产业的初衷,12月21日,百度搜索熊掌号在北京正式发布“百晓生计划”,依托搜索

  原标题:拍拍二手:打造逆向供应链 让二手市场换个活法2017年11月24日,京东集团董事局主席兼首席执行官刘强东在个人微头条评论媒体关于复活拍拍二手品牌的文章时表示“正合我意”。一个月后的12月21日,京东正式发布“拍拍二手”品牌,宣布将以

  原标题:中消协举报酷骑公司涉刑:申请公安机关立案【中关村在线日消息,援引中国消费者协会官网发布公告称,根据消费者反映和前期调查情况,已经向有关公安机关提交刑事举报书,举报酷骑(北京)科技有限公司及其主要负责人涉嫌刑事犯罪

  12月21日,京东正式发布了二手交易平台——拍拍二手,依托京东的资源,从商品获取,逆向物流,检测分级,再加工和销售五个方面,打造最值得信赖的二手交易平台。这也是京东3C文旅事业部推出的第二个重大创新项目,将京东的联盟生态拓展到了二手交易领域

  两年助力飞鹤、雅迪等16家企业增长 深度揭秘“咨询界黑马”君智是如何炼成的?

  提到君智咨询,你可能有些陌生。但是,如果提到飞鹤奶粉、雅迪电动车、香飘飘奶茶,大家是不是就熟悉多了?大家有没有发现,也就是这两年,这几家老牌企业,突然焕发了活力,不仅行业排位发生翻天覆地的变化,口碑也愈发响亮。那么,问题就来了,在竞争如此惨

  新闻配图12月21日,彭博社援引Capital杂志未注明消息来源的报道称,家乐福首席执行官Alexandre Bompard已聘请三家投行研究剥离中国、阿根廷和波兰业务的方案。Capital还援引公司内部资料报道称,家乐福在法国的超市与大卖

  原标题:非客房内容生态,突破民宿营收天花板的秘密编者按:本文来自微信公众号“左驭”(ID:zuoyucapital1),作者杨佳宾,36氪经授权发布。随着国家大力提倡乡村旅游、民宿相关政策的逐步放开,尤其今年民宿标准的颁布,民宿业态持续加温

  原标题:百度发布“百晓生计划” 熊掌号直指娱乐生态明星想让粉丝们搜索自己时,看到的内容更全面、更准确,实现更简单的互动交流,那么答案无疑在于线上访问量、线下曝光度这两个数据指标,这也正是通过互联网的能力来助力娱乐产业的初衷,12月21日,百

  我们用手机上网时,最怕被莫名其妙的弹窗广告打扰。很多弹窗广告就算点关闭按钮都很难关掉,网友也常常被商家推送的各种广告所烦扰。近日,一种在无线网络环境下,通过微信向无线使用者发送微信弹窗广告,且广告窗口在微信首页悬浮时间超过五、六个小时的通信

  近年来,手机维修后个人信息被盗取事件频繁爆出。“通讯录、微信、支付宝账号、银行卡号全都有,比修手机赚钱。”12月18日,《工人日报》记者走访沈阳市小北手机维修一条街的多家维修网点发现,在手机维修招牌背后,个人信息售卖链条正在隐秘运行。两周前

  原标题:基于完整逆向供应链 拍拍二手复活上线随着消费升级,二手市场也蓬勃发展起来。今日京东正式复活了二手交易平台——“拍拍二手“,宣布将以平台化的运营思路,整合回收、检测、再加工、销售等逆向供应链资源,竖起“品质二手”的大旗,将京东的联盟生

  皮云正(天方燕谈作者)今年的“共享”一词已然成为资本市场的座上宾,大有“万物互联,万物共享”的趋势。于此之中,除了共享单车、共享充电宝等龙头共享经济形态,按摩椅的共享模式也悄然布局线下,在这个“共享”概念大热的元年及时买下一张船票。但是这个

  2017年只剩下最后几天时间,无论行业冒出的声音好坏,都应该对今年做简单的总结,以往的方式都是以十大关键词来总结,今年,我们选择打破这样关键词模式,尝试用另外一种方式来阐述今年的家居行业,因为,2017年的家居行业比我们想象中更加“令人惊喜

  禹唐体育注:运动服装和设备以及大众健身是普通消费者接触体育领域的主要触点之一。这些行业有许多知名品牌,善于营销和打造品牌。这个系列是关于这些品牌的营销特点和案例的呈现。运动服装和器械产业以及大众健身是体育产业中的重要类别,因为他们和消费者的

  原标题:2B领域最大的媒体沙龙又来了,你以什么姿势参加?我们又双叒来了!!!先说正经事儿,今年大家期待的2B大咖秀定于2018年2月1日下午2点正式在知春路的北京丽亭华苑酒店举行,望各位周知。好了,正事儿说完了,现在咱们聊八卦。最近这段时间

  躺枪!躺枪!躺枪!!!无论是“保温杯事件”还是“朋克养生事件”作为第一批“90后”的我统统躺枪!这边厢还没缓过来那边厢又被暴击看看我自己每天晚上睡前最后一件事和每天早上睁眼第一件事就是看微信吃喝玩乐发个朋友圈亲友联系工作沟通用微信闲暇之余也

  原标题:​科技神回复 当余承东和雷军同时掉进水里,李彦宏会救谁呢?苹果承认限制老款iPhone性能:变卡都是为了你们好;雷军与董明珠10亿赌约将到期,妖妖灵!这有人聚众赌博……晚间回顾一下有哪些不容错过的科技新闻和网友的神回复。雷军与董

  申万宏源发布研报称,Sisram (01696)拥有丰富的产品线和布局全球的销售网络,再加上能量源医疗美容器械需求不断增长、竞争日益激烈,行业已成整合趋势。因此,Sisram通过IPO募集的资金中较大部分将用于并购。Sisram专注于设计,

  胡润研究院今天发布了《2017年胡润百富中国独角兽指数》(Hurun Greater China Unicorn Index 2017),蚂蚁金服位居榜首,滴滴出行紧随其后,小米、新美大并列第三。报告列出了大中华区120家最佳独角兽,截至2

  0x1 前言如果说勒索病毒是暴露在大众视野中的“恶魔”,那么挖矿木马就是潜藏在阴暗之处的“寄生虫”。在2017年这个安全事件频发的年份,除了受到全世界关注的“WannaCry”勒索病毒的出现之外,一大波挖矿木马也悄然崛起。不同于勒索病毒的明目张胆,挖矿木马隐蔽在几乎所有安全性脆弱的角落中,悄悄消耗着计算机的资源。由于其隐蔽性极强,大多数PC用户和服务器管理员难以发现挖矿木马的存在,这也导致挖矿木马数量的持续上涨。本文将通过多个方面介绍挖矿木马的种类,发展趋势,危害以及防范措施。

  2009年,比特币横空出世。得益于其去中心化的货币机制,比特币受到许多行业的青睐,其交易价格也是一路走高。图1展示了比特币从2013年7月到2017年12月交易价格(单位:美元)变化趋势。

  由于比特币的成功,许多基于区块链技术的数字货币纷纷问世,例如以太币,门罗币等。这类数字货币并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得。而完成如此大量运算的工具就是挖矿机程序。

  挖矿机程序运用计算机强大的运算力进行大量运算,由此获取数字货币。由于硬件性能的限制,数字货币玩家需要大量计算机进行运算以获得一定数量的数字货币,因此,一些不法分子通过各种手段将挖矿机程序植入受害者的计算机中,利用受害者计算机的运算力进行挖矿,从而获取利益。这类在用户不知情的情况下植入用户计算机进行挖矿的挖矿机程序就是挖矿木马。

  挖矿木马最早出现于2013年。图2展示了自2013年开始国内披露的大规模挖矿木马攻击事件数量。

  由于数字货币交易价格不断走高,挖矿木马的攻击事件也越来越频繁,不难预测未来挖矿木马数量将继续攀升。

  对于挖矿木马而言,选择一种交易价格较高且运算力要求适中的数字货币是短期内获得较大收益的保障。图3展示了挖矿木马所选择的币种比例。

  不难看出,门罗币是最受挖矿木马亲睐的币种。黑客之所以选择门罗币作为目标主要有以下几个原因:

  (1) 门罗币交易价格不俗。虽然门罗币在交易价格上不比比特币,但其依然保持在一个较高的交易价格。

  (2) 门罗币是一种匿名币,安全性更高。匿名币是一种在交易过程中隐藏交易金额、隐藏发送方与接收方的一种特殊的区块链代币。由于这样一个特性,任何人都无法在区块链浏览器中查找到门罗币交易的金额和交易双方的地址。这也为黑客转移门罗币提供便利。

  (3) 门罗币是基于CryptoNight 算法运算得到的,通过计算机的CPU和GPU即可进行该算法的运算而不需要其他特定的硬件支持。

  在下文中我们将根据挖矿木马的种类分别对不同类型的挖矿木马进行详细介绍和分析。

  僵尸网络(Botnet)是黑客通过入侵其他计算机,在其他计算机中植入恶意程序并通过该恶意程序继续入侵更多计算机,从而建立起来的一个庞大的傀儡计算机网络。僵尸网络中的每一台计算机都是一个被黑客控制的节点,也是一个发起攻击的节点。黑客入侵计算机并植入挖矿木马,之后利用被入侵的计算机继续向其他计算机植入挖矿木马从而构建的僵尸网络就是挖矿木马僵尸网络。

  2017年是挖矿木马僵尸网络大规模爆发的一年,出现了“Bondnet”,“Adylkuzz”,“隐匿者”等多个大规模挖矿木马僵尸网络,而其中很大一部分的挖矿木马僵尸网络来自于中国。

  僵尸网络是否能成规模关键在于僵尸网络的初步建立。黑客需要一个能够完成大规模入侵的攻击武器以获得更多计算机的控制权。

  “永恒之蓝”漏洞攻击武器的出现助长了挖矿木马僵尸网络的建立。2017年4月,shadow broker公布了NSA(美国国家安全局)方程式组织的漏洞攻击武器“永恒之蓝”。2017年5月爆发的造成空前影响的“WannaCry”勒索病毒就是通过“永恒之蓝”进行传播的。而在“WannaCry”爆发之前,已有挖矿木马利用“永恒之蓝”进行传播。“永恒之蓝”有两个其他漏洞利用工具无法企及的优势:

  (1) 攻击无需载体。不同于利用浏览器漏洞或者办公软件漏洞进行的“被动式攻击”,“永恒之蓝”漏洞利用攻击是一种“主动式攻击”,黑客只需要向目标发送攻击数据包而不需要目标进行额外的操作即可完成攻击。

  (2) 攻击目标广。只要目标计算机开启445端口且未及时打补丁,黑客就可以成功入侵目标计算机。黑客完全可以进行全网扫描捕捉猎物。

  正因此,“永恒之蓝”一时间成了挖矿木马僵尸网络的标配。表1展示了2017年爆发的几个大规模挖矿木马僵尸网络配备“永恒之蓝”漏洞利用武器的情况。

  随着漏洞的更多细节公之于众,各式各样的“永恒之蓝”漏洞攻击工具问世。在2017年9月出现并呈增长趋势的“mateMiner”僵尸网络中集成了由Powershell编写的“永恒之蓝”漏洞攻击模块。图5展示了部分攻击代码。

  除了“永恒之蓝”漏洞攻击武器之外,其它各类Nday漏洞也备受挖矿木马僵尸网络的亲睐。“yamMiner”僵尸网络就是利用Java 反序列化漏洞进行服务器入侵的。

  “yamMiner”僵尸网络2016年底出现,并在2017年呈现增长趋势,目前仍处在活跃状态。该僵尸网络建立之初,通过Java Commons Collections反序列化漏洞入侵服务器,漏洞如下所示:

  当僵尸网络初具雏形后,黑客需要通过现有的傀儡机攻击更多的计算机,通过量的积累转化为可见的利益。因此,僵尸网络中的每一台傀儡机都是攻击的发起者,而他们的目标是互联网中的所有计算机。

  “永恒之蓝”漏洞攻击武器在僵尸网络的扩张中起到重要的作用。在上文中展示了“永恒之蓝”漏洞攻击武器在僵尸网络建立时发挥的重要作用,这些同样作用于僵尸网络的扩张,在此不再赘述。

  端口扫描和爆破也是僵尸网络扩张的帮手。“隐匿者”挖矿木马僵尸网络中带有全网扫描模块,僵尸程序会不断地对随机ip进行指定端口扫描,若端口开放则尝试进行爆破,爆破成功后则登录目标计算机植入挖矿木马和僵尸程序,继续进一步的扩张。图6展示了“隐匿者”挖矿木马僵尸网络端口扫描模块代码片段。表2展示了“隐匿者”僵尸网络爆破模块、爆破对象以及当前支持情况。

  高级内网渗透攻击开始出现在挖矿木马僵尸网络的扩张中。我们在“mateMiner”僵尸网络中发现了使用“pass the hash”攻击进行内网渗透的模块。僵尸网络释放了凭证窃取工具mimikatz获取保存在本计算机中的凭证,并用其进行“pass the hash”攻击。图7展示了“mateMiner”僵尸网络凭证获取模块的代码片段。

  “mateMiner”僵尸网络会首先尝试使用这些凭证登录内网中的其他计算机,一旦登录成功就往这些计算机中植入挖矿木马和僵尸程序,只有尝试登录失败才会使用“永恒之蓝”漏洞攻击武器进行入侵。可见,随着“永恒之蓝”漏洞攻击成功率的降低,诸如 mimikatz这类高级内网渗透工具已经开始被挖矿木马僵尸网络所使用。图8展示了“mateMiner”僵尸网络进行内网渗透的代码片段。

  黑客是否能够持续控制傀儡机关键在于傀儡机中的僵尸程序能否持续驻留。而挖矿木马僵尸网络也是用尽了各种办法让僵尸程序持续驻留在傀儡机中。

  将僵尸程序直接寄生在系统进程中是最好的选择。“yamMiner”僵尸网络在利用Java反序列化漏洞入侵计算机后直接在Java进程中执行命令。而“隐匿者”僵尸网络在通过爆破MSSQL服务入侵其他计算机后以SQLServer Job的形式运行挖矿机,并且在SQLServer中写入多段shellcode。图9展示了“隐匿者”在SQLServer中写入的一段shellcode。

  WMI, PowerShell都是持续驻留的好帮手。许多僵尸网络通过WMI实现僵尸程序在目标计算机中的持续驻留,并且使用PowerShell协助完成工作。

  “隐匿者”僵尸网络在SQLServer中的shellcode就包含了使用WMI进行挖矿机配置文件定时更新的功能。图10展示了这段shellcode的内容。

  除了利用PowerShell脚本完成工作,“mateMiner”更是将WMI的灵活性发挥到了极致,不仅使用WMI的__EventFilter类实现持续驻留,还将shellcode保存为WMI下类属性的值,需要时载入内存执行,真正实现“无文件”攻击。图12展示“mateMiner”使用WMI下类属性存储shellcode的代码片段。

  先进的控制与命令方式是持续驻留的关键。每个僵尸网络都有一个最终的控制端,这个控制端负责向僵尸网络中的每个节点下发控制指令。由于控制端的存活时间并不长,其ip地址会频繁进行更换,因此挖矿木马僵尸网络需要一套完备的控制体系以保证随时与控制端联系。

  “隐匿者”僵尸网络就拥有一套完善的控制体系。图13展示了“隐匿者”僵尸网络中僵尸程序与控制端之间的交互。

  “隐匿者”有多个功能不同的控制服务器,分别负责挖矿木马的更新、僵尸程序的更新以及远控木马的下发。当傀儡机中的僵尸程序启动时,会进行一次自检,以确定是否有新版本的僵尸程序存在。同时,“隐匿者”也在SQLServer中写入这样一段自检的shellcode,以保证僵尸程序被杀后还能从控制端下载新的僵尸程序。而僵尸程序所请求的控制端ip地址是不固定的,“隐匿者”通过访问指定博客获取博文内容,通过博文内容解密得到控制端ip。控制者只需修改博文内容就能够实现控制端ip的更换。

  当然,将控制端ip的快速更新展现得淋漓尽致的当数“yamMiner”挖矿木马僵尸网络了。其控制端ip地址基本保持了一星期一更新的频率。图14展示了“yamMiner”僵尸网络2017年11月至12月控制端ip地址更新时间线 “yamMiner”僵尸网络2017年11月-12月更新概况

  通过观察“yamMiner”僵尸网络2017年11月到12月向控制端发起的请求数量我们发现了一个有趣的细节。这可以从图15展现。

  不难看出,当“yamMiner”的控制端ip发生变化的时候,傀儡机中的僵尸程序能够立即连接新的ip地址,所以就有了图中新控制端ip地址出现时旧控制端ip地址请求数量下降到0的现象。实现这样的效果就要求傀儡程序能够实时获知ip地址的变化情况,而“yamMiner”就是利用Java Commons Collections反序列化漏洞周期性地在傀儡机上执行命令,修改傀儡程序连接的控制端ip。由于这一功能是在Java进程中实现的,能够有效躲避杀软的查杀。一般情况下僵尸网络控制端ip地址存活时间不长,优秀的挖矿木马僵尸网络会利用漏洞在傀儡机执行命令更改控制端ip或者将控制端ip存储在例如博客内容这类容易修改又不容易被发现的位置。如果傀儡机所有者不修补计算机系统中存在的漏洞或者删除计算机中持续工作的一些项目(例如SQLServer中的恶意Job),僵尸程序就能在傀儡机中生生不息。

  挖矿机僵尸网络是2017年大规模爆发的一个安全威胁,它的危害程度可以从黑客获利的金额展现。图16和图17分别展示了 “yamMiner”僵尸网络的门罗币钱包之一和“隐匿者”僵尸网络的门罗币钱包。

  截至笔者撰稿时“隐匿者”僵尸网络从傀儡机中总共挖到了2010枚门罗币,合计61万美元。“yamMiner”僵尸网络其中一个钱包就获利4万美元,而“yamMiner”拥有多个门罗币钱包,可想而知其总获利金额。挖矿木马带来的暴利导致各家僵尸网络竞争的白热化,其中不乏对其他僵尸网络的攻击。例如“mateMiner”僵尸网络会根据其他僵尸网络的矿池端口结束相应进程,如图18所示。

  当然,这样的竞争还会持续下去,数字货币交易价格的持续走高必将使更多的不法分子加入到这场僵尸网络之战中。

  2017年9月,著名的BT站点,同样也是盗版资源集散地的Pirate Bay(海盗湾)被发现在网页中植入挖矿脚本,网页挖矿开始进入公众的视野。

  当用户访问一个网页时,用户的浏览器负责解析该网站中的资源、脚本,并将解析的结果展示在用户面前。当用户访问的网页中植入了挖矿脚本,浏览器将解析并执行挖矿脚本,利用用户计算机资源进行挖矿从而获利。挖矿脚本的执行会导致用户计算机资源被严重占用,导致计算机卡慢,甚至出现死机等情况,严重影响用户计算机的正常使用。

  网页挖矿脚本种类众多,目前发现的植入到网页中的挖矿脚本有Coinhive,JSEcoin,reasedoper,MineCrunch,MarineTraffic,Crypto-Loot,ProjectPoi等,大部分挖矿脚本项目都是开源的,这也方便一些站长或网站入侵者在网页中植入挖矿脚本。

  可以看出,Coinhive是大多数不法分子的选择,这也归功于Coinhive的便捷性。入侵网站的黑客或者贪图利益的站长并不需要将挖矿的js代码写入网页中,而是在网页中调用Coinhive官网中的js文件coinhive.min.js并指定一个唯一的标识符即可。图20展示了Coinhive的代码范例。

  随着网页挖矿脚本的兴起,许多网站开始通过一些特殊技巧掩盖挖矿时所产生的大量系统资源消耗。2017年9月,有安全研究人员发现后缀为m的域名挂有挖矿代码。这些网站以“安全检查”作为幌子掩盖挖矿时系统的卡慢。如图21所示。

  无独有偶,前段时间,malwarebytes安全研究人员发现某些包含挖矿代码的网页会在用户关闭浏览器窗口后隐藏在任务栏右下角继续挖矿。如图22所示。(图片来自:

  在这些被植入挖矿脚本的网站中,一部分是贪图利益的站长主动将挖矿脚本嵌入网页中的,而另一部分则是黑客入侵网站之后植入挖矿脚本的。2017年11月我们发现一批网站被植入了带有相同标识符的ProjectPoi挖矿脚本,但这一批网站之间并没有丝毫关联,可以推测,是黑客入侵网站之后植入的挖矿脚本。图23展示了这些网站中植入的挖矿脚本。

  不同于通过入侵服务器搭建挖矿木马僵尸网络,网页挖矿脚本更容易被用户所察觉,但由于利益驱使依然有许多网站中被植入了挖矿脚本。图24展示了2017年9月-12月网页植入挖矿脚本数量变化趋势。不难看出,网页挖矿脚本数量还在不断增加,特别是进入12月后数量有明显上涨的趋势。

  网页挖矿脚本之所以如此活跃,主要是因为大部分挖矿脚本都来自于色情网站这一类特殊的站点,由于这类网站的高访问量导致挖矿脚本数量的持续升高。图25展示了网页挖矿脚本在各类网站中出现的比例,不难看出,色情网站是网页挖矿脚本的重灾区。

  相比较挖矿木马僵尸网络,网页挖矿脚本属于后起之秀,但出现时间晚并不能阻止此类挖矿木马的兴起,巨大的利益驱动促使更多的黑产从业者投身挖矿事业中。但由于网页挖矿隐蔽性较低,未来黑产从业者可能会将挖矿目标转移到网页游戏和客户端游戏中,通过游戏的资源高消耗率掩盖挖矿机的运作。而移动平台也有可能是挖矿木马的重要目标。

  挖矿木马的崛起源于数字货币交易价格的持续走高,从当前的情况看,数字货币交易价格还将持续攀升,这也将可能导致挖矿木马数量的激增。因此,如何防范挖矿木马是重中之重。

  挖矿木马僵尸网络的目标是服务器,黑客通过入侵服务器植入挖矿机程序获利。如果能对黑客的入侵行为进行有效防范,就能够将挖矿木马僵尸网络扼杀在摇篮中。作为服务器管理员,进行如下工作是防范挖矿木马僵尸网络的关键:

  (2)及时为操作系统和相关服务打补丁。许多挖矿木马僵尸网络利用“永恒之蓝”漏洞利用武器进行传播,而“隐匿者”更是在“永恒之蓝”漏洞利用武器泄露的几天后就开始将它用于线day,Nday漏洞的利用十分娴熟。由于大部分漏洞细节公布之前相应厂商已经推送相关补丁,如果服务器管理员能够及时为系统和相关服务打补丁就能有效避免漏洞利用攻击。服务器管理员需要为存在被攻击风险的服务器操作系统、Web服务端、开放的服务等及时打补丁。

  (3)定期维护服务器。由于挖矿木马会持续驻留在计算机中,如果服务器管理员未定期查看服务器状态,那么挖矿木马就难以被发现。因此服务器管理员应定期维护服务器,内容包括但不限于:查看服务器操作系统CPU使用率是否异常、是否存在可疑进程、WMI中是否有可疑的类、计划任务中是否存在可疑项、是否有可疑的诸如PowerShell进程、mshta进程这类常被用于持续驻留的进程存在。

上一篇:借“木马”监控女生触刑律被判有罪 下一篇:挖矿木马年度报告出炉 “永恒之蓝”成挖矿攻击
猜你喜欢
热门排行
精彩图文