很多人一直弄不清楚,挖矿跟资安到底有什么关系?又到底是什么诱因使得僵尸网络转向挖矿呢?今年的 Cloudsec 2018 企业资安高峰会,趋势科技的威胁研究员 Lenart Bermejo 与 Mingyen Hsieh 揭露挖矿僵尸网络(botnet)的地下生态,当你发现自己电脑莫名变慢,就要小心自己是不是受害,电脑不幸变成挖矿僵尸网络的一分子啰!
这几年比特币越来越夯,以 9 月 5 日上午为例,1 比特币可兑换新台币近 22 万 7 千元,如果努力挖矿挖出一颗比特币就赚大钱了,但这个时代要挖出新的比特币谈何容易?没有大量强力的运算资源是不可能的事。这几年的骇客(cracker)有往商业化趋动发展的趋势,去年流行的勒索病毒就是一例,而现在看到比特币等虚拟货币的“商机”,本来作黑到处部署僵尸网络(botnet)的骇客突发奇想:如果分散式“借用”他人的 3C 设备运算资源来挖矿,不就是更好的“商业模式”吗?于是 2017 年 7 月开始,网络的地下论坛,各种新型态的挖矿僵尸软件开始暴增,根据今年趋势科技上半年监测数据指出最大宗沦陷者是电脑,此外手机、平板甚至网络摄影机都有。
▲ 拿来挖矿的硬件设备种类,最大量的仍然是电脑,不过各种 IoT 联网装置占一定比重。(Source:趋势科技)
我们要防备挖矿僵尸,得先知己知彼。它们有哪些特性呢?趋势科技研究员潜入地下论坛,发现这个天地自成一个市场,恶意程式的作者销售程式给骇客,就像一般商业软件一样提供试用版、标准版、进阶版等不同版本,甚至还提供售后服务,如同一般我们熟悉的软件开发商,真是让人瞠目结舌。这些恶意程式有一些共同“卖点”,首先是低调(silent )和隐藏,这些软件会尽可能小心不被使用者发现,会强调有以下功能:
- idle checker:当你使用电脑时,恶意程式只用 50% 资源挖矿;你没有使用电脑时(离开电脑屏幕变暗),才用 100% 资源挖矿。
- 开机隐藏。
- no drops:不会“掉”档案,减少被使用者发现异常的可能。
- FUD:是 FUD fully UnDtectable 的缩写,是完全不被防毒软件探知的保证,但是也有 semi-FUD,就是有可能会被某些牌子的防毒软件发现。
- 假讯息:最基本在安装时伪装成普通软件,更进一步的还会有精致的假讯息。
▲ 地下论坛 Aquis 贩卖页面。(Source:趋势科技)
另外一方面的卖点则是多元散布方式,例如透过 Facebook 散布、透过 USB 随身碟散布等,更高级的卖点是 Persistence,保证就算重开机还是蛰伏在系统里。不过这些软件其实没有想像中复杂,并未藏在很底层,其隐藏行为很简单,就是当侦测到你启动工作管理员等看系统资源程式时,它就把挖矿的程式杀掉或关掉。
▲ 地下论坛 SilentMiner 贩卖页面。(Source:趋势科技)
在网络黑市,可以看到这类恶意软件兜售,例如:Aqius、SilentMiner、IonMine,购买一般的标准版功能比较有限,通常比较容易被侦测到,如果不想被轻易侦测到,就得多花点钱购买进阶版,享有完整的 FUD 保证甚至售后服务──如果不幸被防毒软件发现,软件作者可重新编译改版传给买家;或作者干脆卖源代码与 builder 给买家,如果被防毒软件侦测到,可自行改程式码重新编译新版本。
有趣的是也有些买家是奥客,要求许多特色功能,却希望作者低价贩售,甚至是伸手牌,想要作者提供免费试用版软件(看来到哪里都有奥客),不过作者也不是省油的灯,会优先提供给论坛的高级会员,高级会员测试后,会发表“开箱文”描述功能有多好多棒,其他买家才付费购买正式版软件。这个生态系已形成“良性循环”,买家不断回馈新功能需求,作者也不断改良功能。例如早期用社交攻击扩散的方式,一开始安装时会骗使用者安装以后有多少好处,然而当时安装很复杂,要按照软件步骤一步一步做,有些使用者半途就放弃了;后来为了“普及”软件,就改良成一键安装的自动解压缩安装档,使用者就可以方便地无痛安装,让电脑变成骇客的奴隶了。
▲ 地下论坛 IonMine 贩卖页面。(Source:趋势科技)
受欢迎的挖矿僵尸
更进一步有 3 个值得看的“受欢迎”僵尸病毒网络软件。
RETADUP:本来是做资讯窃取,后来转行到偷挖矿。特色是变形功能──每散布一次,就会在尾端写随机乱数的垃圾字串,减少每个变体被防毒软件针侦测到的可能性。
DIGIMINE:用 Facebook 社交攻击。去年开始,你或朋友是不是有过这种经验:朋友突然传给你好看的影片连结?虽然之后经过一阵混乱,控制住 Facebook 的行为不再“发作”,看似普通的病毒已被杀掉,但很多人可能没注意到一件事──Chrome 已经重启动,贴心安装了挖矿延伸模组(extension )开始运作。你还以为自己的电脑变旧变慢了,可能 Windows 要重灌,或 MacBook Pro 应该换 2018 最新机型了?真正原因很可能是DIGIMINE 这个恶意软件导致。
▲ DIGIMINE 的元件,赫然发现伪装的 mp4 格式影片,还有 bot 伪装成 codec。(Source:趋势科技)
1ms0rry: 地下网站贩卖最多的,有两版 ver1、ver2,后者有比较好的伪装──伪装成 bonusbot 每天让你赚点数,然而让你赚小钱电脑还变慢,他却赚大钱。
▲ 1ms0rry 的元件,赫然可发现伪装成 HD DVD 影片,还会把系统程式 winhost 替换掉。(Source:趋势科技)
今年上半年 RETADUP 挖矿网络就赚了相当台币 527 万元,停下来想一想,“你付出,他赚钱”,这是不是值得呢?羊毛出在羊身上,当本来要付钱的东西却有人好意无偿传给你时,到底是自己得到好处,还是骇客得到好处?
(首图来源:shutterstock)
