近年来,加密货币的迅速发展,也催生了一种全新的黑产——挖矿木马。挖矿木马源于数字货币,利用挖矿程序获取数字货币利益。随着比特币等数字货币交易价格的不断攀高,各类挖矿木马的身价水涨船高,数量也急剧增加。
一旦设备被入侵并被植入了挖矿木马,那便成了黑客的敛财工具。因此在短短几年内就催生出一大批的挖矿木马家族,与之一起增加的还有对各个平台设备的大量攻击。
对于大部分互联网用户来说,挖矿木马更像是隐藏在互联网角落中的“寄生虫”,人们对其知之甚少。在用户不知情的情况下,将挖矿木马植入计算机、网页之中,利用挖矿程序依据特定算法通过大量运算获得数字货币,这就是所谓的“挖矿木马”。
挖矿木马主要依靠僵尸网络和网页挖矿两种手段进行敛财,僵尸网络是黑客通过入侵其他计算机植入挖矿木马,并通过继续入侵更多计算机,从而建立起庞大的傀儡计算机网络一起“挖矿”。而网页挖矿则是将挖矿木马植入网页之中,在用户浏览器打开该网页时,就会解析挖矿脚本,利用用户计算机资源进行挖矿从而获利。
挖矿木马一般需要控制大量设备来实施挖矿,才能保证可观的收益,因此可以发现挖矿木马与“僵尸网络”相伴而生。而入侵的方式多种多样,比如软件捆绑、服务器类漏洞攻击、口令爆破等。
挖矿木马隐藏在几乎所有安全性脆弱的角落,一旦中招,电脑将变为黑客的“挖矿苦力”,出现计算机使用率飙升、死机、卡慢、发热、CPU及内存被大量占用等情况,严重影响正常使用。
在暴利驱动下,挖矿木马还不断使用新花招,企图掩盖罪行并扩大传播量。比如,有些挖矿木马会根据中招者实时使用情况进行调节,以保障不会很快被计算机检测出;有些会在用户关闭浏览器窗口后,隐藏在任务栏右下角继续潜伏挖矿。
更有甚者,挖矿木马也搭上了核弹级黑客武器。360安全卫士之前曾截获一款利用“永恒之蓝”传播的门罗币挖矿木马,由于搭载了重磅攻击弹药,该木马传播量庞大,高峰时期360每天为用户拦截到的攻击就达10万次。
据360安全卫士团队介绍,被命名为JavaXminer的挖矿木马家族多使用Web服务类漏洞对OA系统、Web服务器等进行攻击。该木马团伙更新迅速且频繁,善于利用最新公开的各类Web漏洞,成本降低的同时又可以较为轻易的获取未及时修补漏洞的服务器访问权限。从其攻击趋势也可以看出与Web端漏洞的曝出相关。
360高级威胁研究分析中心表示,从2018年开始,便对JavaXminer进行了持续监控。该家族具备Windows、Linux双平台的攻击能力,导致其攻击量在2020年至2021年有大幅度增加。基于大数据分析发现:与该家族所攻击的主要Web应用目标——如各类OA、Tomcat、Confluence等——受到攻击的整体态势与JavaXminer攻击量变化态势基本吻合,这也佐证了JavaXminer的攻击对整体安全态势的影响力。
为了攫取更大利润,JavaXminer还会清理“竞品”,以便于最大程度地占据系统资源挖取货币。因为暴露于公网且存在漏洞的服务器很容易被各种木马给盯上,对于挖矿木马来说,在这种机器上常常会碰见自己的“同行”,所以清理竞品木马也就不足为奇了。
近年来挖矿木马肆虐,挖矿木马逐渐从隐匿的角落走向大众视野。在巨大利益的催生下,木马挖矿攻击频次逐步提高,黑色产业链日渐成型,用户所面临的计算机安全环境将更加复杂。
360新一代终端检测响应系统(360EDR)通过持续监测终端活动行为、检测安全风险、深度调查威胁风险、提供补救响应手段等方式,补充了传统终端安全产品防御高级威胁能力的不足,能在对抗高级威胁中压缩攻击者的攻击时间,减少高级威胁最终达到目的可能性,获得更快速、高效的防御效果。通过360EDR能够及时发现和处置各类挖矿攻击,可以通过部署360EDR检查设备使用被JavaXminer入侵。
另外,360安全卫士拥有“挖矿木马防护”功能,可以全自动检测拦截“挖矿木马”,彻底免疫挖矿攻击。用户只要开启该功能,就能全面防御从各种渠道入侵的挖矿攻击。浏览网页时,会像屏蔽广告一样,自动为用户屏蔽挖矿脚本;下载及使用软件程序时,会实时拦截各类挖矿代码的运行并弹窗预警,确保用户CPU资源不被消耗占用,保障用户正常的上网体验。
继“网购先赔”、“反勒索服务”之后,“挖矿木马防护”是360安全卫士针对电脑端高发恶意攻击,从用户场景出发打造的又一重磅服务。如今,挖矿木马将成为继勒索病毒后,黑客牟利的又一重磅武器。360在对抗挖矿木马领域,不仅一直持续追踪并率先监测拦截多起大规模挖矿事件,更成为国内首个提供挖矿木马防护的安全软件。在对抗高发木马,360安全卫士始终为5亿用户提供最为强大的后盾,全面保障用户正常的上网体验。