資安威脅──挖礦殭屍網路構成新型態暗黑經濟

作者 | 發布日期 2018 年 09 月 17 日 8:30 | 分類 數位貨幣 , 網路 , 資訊安全 follow us in feedly

很多人一直弄不清楚,挖礦跟資安到底有什麼關係?又到底是什麼誘因使得殭屍網路轉向挖礦呢?今年的 Cloudsec 2018 企業資安高峰會,趨勢科技的威脅研究員 Lenart Bermejo 與 Mingyen Hsieh 揭露挖礦殭屍網路(botnet)的地下生態,當你發現自己電腦莫名變慢,就要小心自己是不是受害,電腦不幸變成挖礦殭屍網路的一份子囉!



這幾年比特幣越來越夯,以 9 月 5 日上午為例,1 比特幣可兌換新台幣近 22 萬 7 千元,如果努力挖礦挖出一顆比特幣就賺大錢了,但這個時代要挖出新的比特幣談何容易?沒有大量強力的運算資源是不可能的事。這幾年的駭客(cracker)有往商業化趨動發展的趨勢,去年流行的勒索病毒就是一例,而現在看到比特幣等虛擬貨幣的「商機」,本來作黑到處部署殭屍網路(botnet)的駭客突發奇想:如果分散式「借用」他人的 3C 設備運算資源來挖礦,不就是更好的「商業模式」嗎?於是 2017 年 7 月開始,網路的地下論壇,各種新型態的挖礦殭屍軟體開始暴增,根據今年趨勢科技上半年監測數據指出最大宗淪陷者是電腦,此外手機、平板甚至網路攝影機都有。

▲ 拿來挖礦的硬體設備種類,最大量的仍然是電腦,不過各種 IoT 聯網裝置占一定比重。(Source:趨勢科技)

我們要防備挖礦殭屍,得先知己知彼。它們有哪些特性呢?趨勢科技研究員潛入地下論壇,發現這個天地自成一個市場,惡意程式的作者銷售程式給駭客,就像一般商業軟體一樣提供試用版、標準版、進階版等不同版本,甚至還提供售後服務,如同一般我們熟悉的軟體開發商,真是讓人瞠目結舌。這些惡意程式有一些共同「賣點」,首先是低調(silent )和隱藏,這些軟體會盡可能小心不被使用者發現,會強調有以下功能:

  • idle checker:當你使用電腦時,惡意程式只用 50% 資源挖礦;你沒有使用電腦時(離開電腦螢幕變暗),才用 100% 資源挖礦。
  • 開機隱藏
  • no drops:不會「掉」檔案,減少被使用者發現異常的可能。
  • FUD:是 FUD fully UnDtectable 的縮寫,是完全不被防毒軟體探知的保證,但是也有 semi-FUD,就是有可能會被某些牌子的防毒軟體發現。
  • 假訊息:最基本在安裝時偽裝成普通軟體,更進一步的還會有精緻的假訊息。

▲ 地下論壇 Aquis 販賣頁面。(Source:趨勢科技)

另外一方面的賣點則是多元散布方式,例如透過 Facebook 散布、透過 USB 隨身碟散布等,更高級的賣點是 Persistence,保證就算重開機還是蟄伏在系統裡。不過這些軟體其實沒有想像中複雜,並未藏在很底層,其隱藏行為很簡單,就是當偵測到你啟動工作管理員等看系統資源程式時,它就把挖礦的程式殺掉或關掉。

▲ 地下論壇 SilentMiner 販賣頁面。(Source:趨勢科技)

在網路黑市,可以看到這類惡意軟體兜售,例如:Aqius、SilentMiner、IonMine,購買一般的標準版功能比較有限,通常比較容易被偵測到,如果不想被輕易偵測到,就得多花點錢購買進階版,享有完整的 FUD 保證甚至售後服務──如果不幸被防毒軟體發現,軟體作者可重新編譯改版傳給買家;或作者乾脆賣原始碼與 builder 給買家,如果被防毒軟體偵測到,可自行改程式碼重新編譯新版本。

有趣的是也有些買家是奧客,要求許多特色功能,卻希望作者低價販售,甚至是伸手牌,想要作者提供免費試用版軟體(看來到哪裡都有奧客),不過作者也不是省油的燈,會優先提供給論壇的高級會員,高級會員測試後,會發表「開箱文」描述功能有多好多棒,其他買家才付費購買正式版軟體。這個生態系已形成「良性循環」,買家不斷回饋新功能需求,作者也不斷改良功能。例如早期用社交攻擊擴散的方式,一開始安裝時會騙使用者安裝以後有多少好處,然而當時安裝很複雜,要按照軟體步驟一步一步做,有些使用者半途就放棄了;後來為了「普及」軟體,就改良成一鍵安裝的自動解壓縮安裝檔,使用者就可以方便地無痛安裝,讓電腦變成駭客的奴隸了。

▲ 地下論壇 IonMine 販賣頁面。(Source:趨勢科技)

受歡迎的挖礦殭屍

更進一步有 3 個值得看的「受歡迎」殭屍病毒網路軟體。

RETADUP:本來是做資訊竊取,後來轉行到偷挖礦。特色是變形功能──每散布一次,就會在尾端寫隨機亂數的垃圾字串,減少每個變體被防毒軟體針偵測到的可能性。

DIGIMINE:用 Facebook 社交攻擊。去年開始,你或朋友是不是有過這種經驗:朋友突然傳給你好看的影片連結?雖然之後經過一陣混亂,控制住 Facebook 的行為不再「發作」,看似普通的病毒已被殺掉,但很多人可能沒注意到一件事──Chrome 已經重啟動,貼心安裝了挖礦延伸模組(extension )開始運作。你還以為自己的電腦變舊變慢了,可能 Windows 要重灌,或 MacBook Pro 應該換 2018 最新機型了?真正原因很可能是DIGIMINE 這個惡意軟體導致。

▲ DIGIMINE 的元件,赫然發現偽裝的 mp4 格式影片,還有 bot 偽裝成 codec。(Source:趨勢科技)

1ms0rry: 地下網站販賣最多的,有兩版 ver1、ver2,後者有比較好的偽裝──偽裝成 bonusbot 每天讓你賺點數,然而讓你賺小錢電腦還變慢,他卻賺大錢。

▲ 1ms0rry 的元件,赫然可發現偽裝成 HD DVD 影片,還會把系統程式 winhost 替換掉。(Source:趨勢科技)

今年上半年 RETADUP 挖礦網路就賺了相當台幣 527 萬元,停下來想一想,「你付出,他賺錢」,這是不是值得呢?羊毛出在羊身上,當本來要付錢的東西卻有人好意無償傳給你時,到底是自己得到好處,還是駭客得到好處?

(首圖來源:shutterstock)