11日，騰訊發(fā)布的一份報(bào)告顯示，盡管以比特幣為代表的虛擬加密幣在過(guò)去幾年經(jīng)歷了“過(guò)山車”行情，但在過(guò)去的一年，挖礦木馬樣本每月產(chǎn)生的數(shù)量高達(dá)百萬(wàn)級(jí)別，遠(yuǎn)超游戲盜號(hào)木馬等傳統(tǒng)病毒，且“求生欲”強(qiáng)烈。

圖片來(lái)源：文中報(bào)告

誰(shuí)的電腦被挖礦了?

報(bào)告稱，輔助外掛是2018年挖礦木馬最喜愛(ài)的藏身軟件之一。線上兩款熱門的策略射擊游戲均被挖礦木馬“光顧”，包括時(shí)下流行的“吃雞”游戲，甚至還出現(xiàn)了通殺游戲外掛的520Miner挖礦木馬。

醫(yī)院也沒(méi)能逃脫挖礦木馬的魔爪。2018年7月，多家三甲醫(yī)院服務(wù)器被不法黑客入侵，攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù)，之后利用某品牌云筆記的分享文件功能下載多種挖礦木馬，最終獲利超40萬(wàn)人民幣。

針對(duì)企業(yè)的攻擊趨勢(shì)在老牌挖礦木馬——PhotoMiner上體現(xiàn)得更為明顯。這個(gè)被首次發(fā)現(xiàn)于16年的病毒在去年4月重新活躍，通過(guò)入侵控制企業(yè)服務(wù)器，組建僵尸網(wǎng)絡(luò)云上挖礦，累計(jì)挖到8萬(wàn)枚門羅幣，收益達(dá)到驚人的8900萬(wàn)人民幣，成為名副其實(shí)的“黃金礦工”。

據(jù)介紹，挖礦木馬主要借助一種專用惡意應(yīng)用秘密安裝到用戶電腦上，包括游戲外掛、盜版軟件以及一些激活碼的生成器等植入程序。一般被植入挖礦木馬的機(jī)器具有CPU占用明顯增加，電腦變熱，運(yùn)行速度變慢，重啟也不能解決問(wèn)題等癥狀。

NSA攻擊流程。圖片來(lái)源：文中報(bào)告

挖礦木馬的“求生欲”

數(shù)據(jù)顯示，在非法利益的直接驅(qū)使下，挖礦木馬不斷變幻手段，為了減少被用戶發(fā)現(xiàn)的幾率，挖礦木馬常用套路是故意把挖礦時(shí)占用的CPU資源控制在一定范圍內(nèi)，并且設(shè)置為檢測(cè)到任務(wù)管理器時(shí)將自身退出的特性。

除此之外，挖礦木馬還會(huì)應(yīng)用獨(dú)特技術(shù)來(lái)逃避殺毒軟件的攔截。2018年5月出現(xiàn)的“美人蝎”挖礦木馬，會(huì)隱藏在美女圖片當(dāng)中，利用圖片加密傳遞礦池相關(guān)信息，通過(guò)DNS隧道返回的信息來(lái)獲取隱蔽的C2信息，逃避殺軟偵測(cè)。該木馬控制超過(guò)2萬(wàn)臺(tái)肉雞電腦，分配不同的肉雞集群挖不少于4種數(shù)字加密幣。

為了進(jìn)一步升級(jí)技術(shù)手段，挖礦木馬也瞄上了NSA武器庫(kù)。該工具包經(jīng)過(guò)簡(jiǎn)單的修改利用便可達(dá)到蠕蟲(chóng)式傳播病毒的目的。

圖片來(lái)源：文中報(bào)告

規(guī)?；腥救绾芜_(dá)成?

報(bào)告稱，無(wú)論是對(duì)攻擊目標(biāo)精挑細(xì)選，還是對(duì)技術(shù)手段不斷升級(jí)，挖礦木馬的核心目的都在于感染更多用戶電腦，攫取更高收益。因此，挖礦木馬對(duì)于攻擊渠道的選擇也煞費(fèi)苦心。

例如電腦和手機(jī)端同時(shí)發(fā)力。2018年11月，一個(gè)雙平臺(tái)挖礦木馬被發(fā)現(xiàn)，該木馬具有Windows和Android雙平臺(tái)版本，可在中毒電腦和手機(jī)上同時(shí)運(yùn)行門羅幣挖礦程序。

即使是單個(gè)電腦端的傳播，挖礦木馬為了擴(kuò)大范圍也想出了新法子——普遍采用了網(wǎng)頁(yè)掛馬這種最高效率的傳播方式，而以往利用網(wǎng)頁(yè)掛馬傳播最多的是盜號(hào)木馬。

另外，網(wǎng)頁(yè)掛馬傳播還有進(jìn)階版——通過(guò)大規(guī)模入侵存在安全漏洞的網(wǎng)站，在網(wǎng)頁(yè)中植入挖礦代碼。訪客電腦只要瀏覽器訪問(wèn)到這個(gè)網(wǎng)頁(yè)，就會(huì)淪為礦工。

對(duì)此，報(bào)告建議，不要下載來(lái)歷不明的軟件，謹(jǐn)慎使用破解工具、游戲輔助工具;企業(yè)用戶及時(shí)修復(fù)服務(wù)器組件漏洞;監(jiān)測(cè)設(shè)備的CPU、GPU占用情況，部署更完善的安全防御系統(tǒng)。(完)(記者 吳濤)

關(guān)鍵詞：