摘要:(图:挖矿木马矿池对应端口占比)挖矿木马成企业安全新威胁从传播方式上看,腾讯安全反病毒实验室发现,除部分利用MS17-010传播的挖矿木马蠕虫及软件绑架传播外,大多数挖矿木马更喜欢使用基于Web端的远程代码执行漏洞进行主机扫描,漏洞利用成功后向受害主机投放挖矿木马。...
长期以来,计算机病毒木马灰生产一直是互联网应用中最受欢迎的实践者。所有网民关注的网络焦点都包含了巨大的数据流量和商机,也是木马病毒竞相进入的试验场。
自2017年以来,随着比特币等虚拟加密货币的疯狂炒作,挖掘木马的总数也急剧增加。一些专家说,从木马挖什么硬币,几乎可以知道黑市中哪些硬币很容易流通。相反,如果一个虚拟货币根本没有病毒木马作者的网络挖掘,这意味着这种货币不易流通,更有可能是“空气货币”。最近,腾讯结合自己的安全大数据,发布了一组最新的采矿木马研究报告,指出门罗币已经超过了BTC,成为“矿工”采矿的首选。
国内挖掘木马最爱门罗币
据了解,采矿木马主要以PC客户端和网页脚本的形式存在,悄悄潜入用户电脑,定期启动采矿程序进行计算,消耗大量客户电脑资源,导致用户电脑异常热、性能降低、运行速度慢、使用寿命短等。
腾讯安全反病毒实验室在对近期发现的采矿木马进行大数据分析后指出,采矿木马在采矿过程中使用的工艺名称一般与安装文件相对应,这是由于采矿木马采用安装文件作为工艺傀儡进行采矿。例如,排名第一的进程名conhost在很多情况下对应系统的记事本程序notepad.exe,EthDcrminer64等其他进程名称、minerd 、xig、ETHSC、xmrig等都是标准的采矿木马。
(图:挖掘木马对应的进程名称)
腾讯安全反病毒实验室利用其自主研发的哈勃分析系统分析了挖掘木马的工作过程,并对这些挖掘木马连接的矿池地址进行了统计,发现国内挖掘客户最喜欢的矿池地址是波波.minexmr.com,相应挖掘的货币为门罗币。
值得注意的是,深受挖掘木马青睐的货币是门罗币,其次是以太币、BTC裸钻、狗币和非常现金,其他货币非常罕见。虽然BTC很有名,但直接挖掘比特币的病毒木马很少,或者因为比特币挖掘太困难,比挖掘更容易赚钱更快。
(图:国内采矿木马活跃矿池地址)
通常,用户可以通过端口协助判断计算机是否有挖掘行为。腾讯安全反病毒实验室统计了采矿木马矿池地址对应的端口号。数据显示,3333端口是采矿木马最喜欢的端口,约占所有采矿池连接端口的12%。从端口范围来看,3000-3999之间的端口是采矿木马最常用的端口范围,该范围内的端口占采矿端口的38.7%。
(图:挖掘木马矿池相应端口的比)
采矿木马成企业安全新威胁
从传播方式来看,腾讯安全反病毒实验室发现,除了部分采矿木马蠕虫和软件绑架传播外,大多数采矿木马更喜欢使用基于网络远程代码的主机扫描漏洞,漏洞检测成功后将采矿木马放入受害主机。
在这方面,腾讯企业安全技术专家建议个人用户确保系统及时更新,使用腾讯计算机管家安装最新的安全补丁修复已知的安全漏洞,可以大大降低风险;企业客户应及时完成服务器操作系统、网络服务器、开放服务补丁,以抵御基于扫描漏洞的黑客挖掘木马的攻击。
腾讯企业安全技术专家指出,无论采用何种沟通方式,黑客的采矿收入都取决于受害者的数量和性能,因此企业客户更有可能成为犯罪分子的目标。腾讯安全为企业客户推出了皇家世界先进威胁检测系统(
http://s.tencent.com/product/gjwxjc/index.html),它是基于腾讯安全反病毒实验室的安全能力和腾讯在云和端的海量数据开发的一种独特的威胁情报和恶意检测模型系统。通过对公司内外网络边界的数据流量分析,及时感知采矿木马的应用和攻击,有效保护企业网络安全。
(图:腾讯御界高级威胁监测系统)
面对不断肆虐的采矿木马,腾讯企业安全技术专家指出,企业和个人客户应养成良好的计算机使用习惯,加强网络安全意识:使用强密码保护服务器账户;不浏览高风险恶意网站,不打开未知文件或异常链接;对于异常文件,可使用腾讯计算机管家等安全软件进行扫描,或将文件上传到哈勃分析系统(https://habo.qq.com/)检查文件是否存在风险。此外,腾讯电脑管家的“反挖掘保护”功能已经覆盖了整个版本的客户,可以实时阻止和预警各种挖掘木马过程和包含挖掘js脚本网页的运行,以确保用户的计算机资源不被占用,并有一种轻松的互联网体验。
