T之家11月27日消息 微軟近日發(fā)布警報�,詳細(xì)介紹了一種名為Dexphot的新惡意軟件變種���,自2018年首次發(fā)現(xiàn)以來���,已經(jīng)感染了80,000多個設(shè)備��。
據(jù)悉,黑客主要利用Dexphot來挖掘加密貨幣,并非竊取數(shù)據(jù),盡管該病毒相對無害���,但所使用的方法非常復(fù)雜,使其能夠逃避傳統(tǒng)的安全工具監(jiān)測。它的技術(shù)之一是多態(tài)性偽裝���,能夠不斷改變自己在計算機(jī)上的足跡,每20-30分鐘改變一次。還可以重新安裝自己�����,以確保有足夠的時間挖礦�����。
Dexphot會將五個密鑰文件寫入磁盤,包括一個帶有兩個URL的安裝程序;從其中一個網(wǎng)址下載的MSI打包文件,即受密碼保護(hù)的zip文件����;從檔案中提取的加載器DRL��;和一個加密的數(shù)據(jù)文件,其中三個附加可執(zhí)行文件已加載到系統(tǒng)進(jìn)程中。
“除了安裝程序,在執(zhí)行過程中運行的其他進(jìn)程是合法的系統(tǒng)進(jìn)程。這會使檢測和修復(fù)更加困難����?���!毖芯咳藛T指出����。“在以后的階段中�����,Dexphot會針對其他一些系統(tǒng)進(jìn)程進(jìn)行空洞化����,包括svchost.exe,tracert.exe和setup.exe�?�!?/p>
目前,微軟通過部署相關(guān)策略以提高檢測率和阻止攻擊���,受感染設(shè)備數(shù)量緩慢下降�����。截止到今年7月31日��,已經(jīng)不到1萬臺。
算機(jī)病毒盛行����,網(wǎng)絡(luò)安全何去何從����,中國網(wǎng)絡(luò)安全最深的刻痕是什么?
阿里宕機(jī)事件�����?
騰訊玄武實驗室�?
都不是,中國網(wǎng)絡(luò)安全最深的刻痕是熊貓燒香����。
2006年10月���,一名網(wǎng)友在網(wǎng)上求助�,自己電腦上以exe結(jié)尾的文件����,全變成了一張張熊貓燒香的圖片。一個月后���,這個人們眼中的“小毛病”,卻成為了威脅千余家企業(yè)和政府機(jī)構(gòu)的“大毒瘤”��。
2006年11月中旬�,熊貓燒香的傳播速度急劇加快�;
12月,病毒進(jìn)入飛速變種期��;
2007年初����,南北十幾個省,幾十萬臺電腦�,被感染病毒�。
這些被感染的電腦�����,無一不出現(xiàn)藍(lán)屏�,頻繁重啟的現(xiàn)象��,系統(tǒng)硬盤中數(shù)據(jù)文件也遭到破壞�。為此�����,很多公司正在洽談的合作���,也因為病毒的插腳����,而最終泡湯��,造成巨大的經(jīng)濟(jì)損失�。
網(wǎng)上對熊貓主人的討伐之聲��,一浪高過一浪��,甚至有公司提出,以價值5萬元的帆船做為獎勵�,懸賞緝拿熊貓主人。同時,2007年1月22日����,警方成立1·22專案組���,在網(wǎng)上佯裝殺毒軟件購買者�,終于釣到了這個幕后黑手�����,25歲的武漢男孩李俊����。
2月4日,仙桃市公安局網(wǎng)監(jiān)大隊,又將幫助李俊散播病毒并從中牟利的同學(xué)雷磊,緝捕歸案,將涉案人員服務(wù)器布控扣押����。
2月12日���,李俊將網(wǎng)站關(guān)閉���,熊貓燒香案終于告破�。
而熊貓燒香的陰影�����,卻永遠(yuǎn)留在了受害用戶的心中��,這個造成政府、企業(yè)�、個人網(wǎng)絡(luò)安全威脅的病毒�����,真的這么厲害嗎�?
盛名之下,其實難副��。
據(jù)騰訊安全聯(lián)合實驗室的解釋�,熊貓燒香在一定程度上的確有獨到之處,在感染電腦后����,病毒會將自己和以exe結(jié)尾的文件綁定����,但由于技術(shù)的不成熟�����,感染后的文件以熊貓燒香的圖片出現(xiàn)��,反倒刺激了普通用戶,引發(fā)恐慌情緒����。
其次���,程序會對其他進(jìn)程加以監(jiān)視��,發(fā)現(xiàn)游戲類進(jìn)程啟動后,立即盜取游戲的賬號密碼,而當(dāng)用戶發(fā)現(xiàn)中毒,下載殺毒軟件后�,系統(tǒng)已經(jīng)被病毒控制���,殺軟要么把文件和病毒一起刪除�����。
從技術(shù)上說�����,熊貓燒香本身并不高明�,但當(dāng)時的中國計算機(jī)技術(shù)還不成熟��,許多殺毒軟件也存在很多漏洞����,再加上李俊的炫耀心理和半吊子技術(shù)�����,將病毒做得明目張膽��,才造成了大規(guī)模的感染,恐慌情緒的蔓延�����。
而在十幾年的技術(shù)沉淀下,病毒被做得越來越精巧��,木馬病毒就以高度的隱蔽性��,得到了眾多不法者的青睞����,成為2019至2020威脅最大的病毒之一����。
2018年,一個名為“PhotoMiner”的木馬挖礦組織�,通過遠(yuǎn)程操作用戶電腦“挖礦”�����,就獲得8900萬人民幣利益�����,成為2018上半年的“黃金礦工”�����,而感染了數(shù)十萬臺電腦的熊貓燒香,卻僅僅賺了幾十萬。
木馬挖礦程序的危害之大�,早已不是十幾年前可以想象的了���,PhotoMiner是一個遍布全球的挖礦組織���,而這里說的“礦”�,并不是自然界存在的天然礦產(chǎn)����,而是虛擬貨幣門羅幣之礦。
PhotoMiner組織的挖礦活動���,就是一種在區(qū)塊鏈經(jīng)濟(jì)下,萌生的新型網(wǎng)絡(luò)犯罪活動����。
區(qū)塊鏈��,簡單來說就是一種去中心化的記賬方法,有人提議要繞過銀行�����,讓每個人都擁有記賬的權(quán)利��,為了鼓勵這種做法,他制定了一個規(guī)則�,以虛擬貨幣進(jìn)行交易����,人們可以自己記賬��,然后通過一種解數(shù)學(xué)題的競爭方法��,來選拔提交賬本的資格,最后成功提交者���,就可以獲得記賬獎勵。
這個獲得獎勵的過程就被稱為“挖礦”�,而運算數(shù)學(xué)題的計算機(jī)���,就被稱為“礦機(jī)”���,而參與的人越多�,涉及的虛擬貨幣數(shù)目越大�,獎勵就越大。
截止至2018年,比特幣就從幾百元每枚躍升至4.8萬元每枚,巨大的利益誘惑下,人們開始開發(fā)算力更高的計算機(jī),而一些心術(shù)不正者,卻想到了利用別人的計算機(jī)����,為自己挖礦����。
就這樣,挖礦木馬應(yīng)運而生,和特洛伊木馬戰(zhàn)術(shù)一樣�����,木馬進(jìn)入電腦后極其不易被察覺���,它會一直潛伏著�����,讓你的電腦為他沒日沒夜地工作,使主機(jī)長期處于高負(fù)荷運轉(zhuǎn)�,從而造成顯卡主板等內(nèi)存不可逆的損害��,直至報廢。
除此之外��,挖礦這種不產(chǎn)生任何實體產(chǎn)物的活動�����,還會消耗巨大的電力��,《焦耳》雜志研究表明,比特幣挖礦在一年內(nèi)消耗的電力,與愛爾蘭全國電力消費相當(dāng)�,挖礦耗電量占全球耗電量的0.3%左右�。
而在火絨的年度安全報告中顯示���,挖礦木馬在危害性上排名第一�。
2018年是一個忙碌的年份,除了PhotoMiner之外�,在遼寧大連�,名為tlMiner的挖礦木馬也大殺四方�����,在一個月內(nèi)��,就感染了二十多萬臺電腦,獲得2000萬枚各類數(shù)字貨幣����,非法獲利1500余萬元����。
當(dāng)初提出區(qū)塊鏈的人����,恐怕怎么也想不到�,一個用來解決中心化記賬方式的嘗試,會被人加以利用�,生出一條完整的黑色產(chǎn)業(yè)鏈��。如果說挖礦病毒,還只能侵害有一定網(wǎng)絡(luò)知識的青壯年群體的話,那么接下來的這個病毒�,恐怕已經(jīng)喪心病狂到���。
對不會用智能產(chǎn)品的老人家���,都要薅一把羊毛的程度了�。
2019年�,浙江新昌縣居民小朱,到公安局報案���,原來小朱在5月份給外婆買了一部功能機(jī),沒成想��,兩個月后��,小朱想查詢外婆話費�����,卻始終接受不到驗證碼,然而其他短信卻接受正常��,這是怎么回事����?
民警接到報案后馬上組織查探,終于在一家生產(chǎn)功能機(jī)主板的廠家處,查到了一批插入了異常程序的主板�,經(jīng)過司法鑒定后發(fā)現(xiàn)�����,這些主板被植入了一種木馬程序,程序會對接收到的所有短信提取關(guān)鍵字,進(jìn)行篩選�,攔截帶有驗證碼的短信�����,再將短信發(fā)送給一個叫“小吳”的人,而這個小吳��,就是這場案件的關(guān)鍵���。
犯罪人小吳聲稱���,在一次領(lǐng)取平臺新人優(yōu)惠券的時候�����,他發(fā)現(xiàn)了“商機(jī)”����,幾乎所有平臺都會發(fā)放優(yōu)惠券����,然而廣大不會使用智能機(jī)的老人家們,卻基本沒有領(lǐng)取過,這是一個巨大的市場空白���。
因此,他想出了一個“絕妙”的辦法,他和主板生產(chǎn)商談攏,承諾以主板三倍的市場價�����,讓生產(chǎn)商在主板中植入一段程序��,再和下游進(jìn)行分工,小吳負(fù)責(zé)比對電話號碼和驗證碼�����,確認(rèn)無誤后發(fā)送給“番茄平臺”���,下游就會依靠這些信息��,在各大平臺進(jìn)行新人注冊�����,進(jìn)行優(yōu)惠券套現(xiàn)。
就這樣��,這個完整的黑色產(chǎn)業(yè)鏈�����,獲取了巨大的利潤����,僅僅是記錄某多多平臺的一頁紙上��,犯罪金額就超過了61萬���。而時過一年��,全國31個省市自治區(qū),4500多種型號的功能機(jī)��,500多萬臺手機(jī)����,都感染了這種“薅羊毛”病毒�。
如果不是有個愛較真的小朱,很難說這條黑色產(chǎn)業(yè)鏈還會存在多久���。回到現(xiàn)實��,僅僅是今年5月以來,就有2.5萬余個非法控制網(wǎng)絡(luò)攝像頭被查獲���,1500余套竊聽器材被收繳。
當(dāng)我們的社會治安越來越好��,走夜路越來越安全的時候�,一種新的犯罪活動正在悄然潛行,而這種犯罪已經(jīng)從炫耀性計算機(jī)病毒“熊貓燒香”�����,演變到結(jié)合新經(jīng)濟(jì)區(qū)塊鏈的挖礦木馬�,現(xiàn)如今又出現(xiàn)了薅羊毛的功能機(jī)病毒,可謂防不勝防�。
我們早就不應(yīng)該用老眼光��,來看待新時代的安全威脅了,但正如今年九月����,反詐騙APP登上了應(yīng)用商店下載榜首一樣�,我國也在完善網(wǎng)絡(luò)安全防御的構(gòu)建����,而作為一個并不在專業(yè)領(lǐng)域的普通人,我們更應(yīng)該給自己提個醒�,認(rèn)清新型網(wǎng)絡(luò)技術(shù)性犯罪的危險性����。
像小朱一樣��,保護(hù)好自己�����,也保護(hù)好家人��。
文來源:時代周報 作者:周夢梅
“白天打游戲�,晚上挖礦的日子到頭了�����?��!蔽錆h在校大學(xué)生劉小軍(化名)對時代周報記者透露����,他所在的高校已下發(fā)《全面排查整治虛擬貨幣“挖礦”活動的通知》�����,對校內(nèi)“挖礦”行為進(jìn)行定位�����,攔截封堵重點IP。
時代周報記者不完全統(tǒng)計,近期��,西安電子科技大學(xué)��、哈爾濱工程大學(xué)���、云南中醫(yī)藥大學(xué)等十余所大學(xué)均發(fā)布通知���,對學(xué)校計算機(jī)�、服務(wù)器進(jìn)行排查���,并下發(fā)防范“挖礦”木馬病毒的指南�����。
多所高校的工作人員對時代周報記者透露,高校整治“挖礦”與上級部門要求教體系統(tǒng)開展虛擬貨幣“挖礦”清零行動有關(guān)。
虛擬貨幣“挖礦”����,是指通過利用計算機(jī)硬件進(jìn)行虛擬貨幣發(fā)行的過程�。近年,虛擬貨幣價格暴漲引發(fā)“挖礦”熱,一些高校機(jī)房也成為“挖礦”重災(zāi)區(qū)�����,甚至成為部分人牟利的工具��。更有部分不法份子利用“挖礦”木馬病毒入侵高校�、企業(yè)計算機(jī)系統(tǒng)�����,形成安全隱患���。
校園 “礦工”
“一位學(xué)長2021年下半年靠挖礦就賺了好幾萬�?���!眲⑿≤姺Q,2021年8月���,虛擬貨幣以太坊走出一輪高漲行情。他用筆記本電腦“挖礦”��,“每天賺幾十塊錢���,‘挖礦’的技術(shù)門檻不高��,身邊不少同學(xué)都在兼職做?���!?/p>
多所高校出手整治����。2021年12月22日��,廣東某高校網(wǎng)絡(luò)信息與技術(shù)中心發(fā)布通告稱 ����,11月份以來學(xué)校監(jiān)測到214臺網(wǎng)絡(luò)終端存在“挖礦”活動���。
2021年9月6日至9月9日�����,浙江省相關(guān)部門成立聯(lián)合檢查組��,突擊抽查省內(nèi)7個地區(qū)20家國有單位的36個IP地址,查糾了一批利用公共資源參與虛擬貨幣“挖礦”與交易的違規(guī)違紀(jì)行為�����。抽查發(fā)現(xiàn)��,浙江某大學(xué)共查實有6個IP地址參與“挖礦”行為�,均為利用實驗室公用計算機(jī)或個人計算機(jī)���,運行“挖礦”程序軟件主動“挖礦”��。
圖源:視覺中國
“‘挖礦’會對筆記本電腦造成一定損耗,電費太高也讓室友不滿����。一些同學(xué)因此用學(xué)校實驗室公共機(jī)房的電腦‘挖礦’����?!眲⑿≤娡嘎叮行┯嬎銠C(jī)高手還在學(xué)校公共計算機(jī)植入程序�����,入侵主機(jī)��,獲得主機(jī)控制權(quán)�����,再植入“挖礦”程序使計算機(jī)被動“挖礦”��, 隱蔽性更強(qiáng)。
這次抽查發(fā)現(xiàn)��,高校部分工作人員也存在違規(guī)“挖礦”情況����。浙江省溫州市某職業(yè)技術(shù)學(xué)院臨聘人員金某某,利用學(xué)校場所���、電力、網(wǎng)絡(luò)進(jìn)行虛擬貨幣“挖礦”��,4個月挖了2.4個以太幣�����,獲利約4.3萬元。
除此之外�,浙江紹興市上虞區(qū)職業(yè)教育中心機(jī)房管理員丁某某伙同勞務(wù)派遣人員何某某����,利用辦公電腦并購置3臺“礦機(jī)”放置于信息技術(shù)樓���,從事挖取渡鴉幣活動累計111天�����,獲利1.5萬元�����。
2021年10月8日,江蘇省通信管理局公告稱�,監(jiān)測發(fā)現(xiàn)全省參與“挖礦”的互聯(lián)網(wǎng)IP地址總數(shù)高達(dá)4502個����。從IP地址歸屬和性質(zhì)看�����,歸屬高校����、企業(yè)被入侵利用開展虛擬貨幣“挖礦”行為的占比約21%�。
“虛擬貨幣‘挖礦’賺錢快,但是成本也高。利用公共資源挖礦�����,可以轉(zhuǎn)移成本�����。“ 有多年“挖礦”經(jīng)驗的王林(化名)對時代周報記者解釋�,“挖礦”的主要成本是顯卡消耗和電費支出����。高性能的“挖礦”顯卡售價不菲�����,而且難以買到��。一些高校、企業(yè)的計算機(jī)設(shè)備配置高,可以滿足“挖礦”要求。
“這樣���,既不用高價買設(shè)備,又不用承擔(dān)電費,把這兩項成本都轉(zhuǎn)移出去����?��!蓖趿终f����。
公共計算機(jī)淪為“黑勞工”
“挖礦”木馬病毒的危害不容小覷。
“一些不法分子為縮減成本, 把礦機(jī)程序植入別人的計算機(jī)挖礦,獲取非法收益��。這類非法侵入用戶計算機(jī)的礦機(jī)程序被稱作‘挖礦’木馬����。”哈爾濱工業(yè)大學(xué)聯(lián)合CERT實驗室發(fā)布的《針對挖礦木馬的簡要技術(shù)分析》披露,“挖礦”木馬會影響政企機(jī)構(gòu)組織系統(tǒng)運行速度�����、占用計算機(jī)資源�����,極大可能中斷業(yè)務(wù)正常運行。
此外���,“挖礦”木馬通常會關(guān)閉防火墻、獲取管理員權(quán)限、植入后門等,竊取核心業(yè)務(wù)數(shù)據(jù)��、發(fā)動勒索等其他網(wǎng)絡(luò)攻擊����。
時代周報記者理解到,內(nèi)部人主動“挖礦”是少數(shù)�,更多是不法分子通過植入木馬病毒�����,使得公共計算機(jī)淪為“黑勞工”,被動“挖礦”����,極難察覺�。
上述廣東某高校的網(wǎng)絡(luò)信息與技術(shù)中心通告����,已發(fā)現(xiàn)的214臺網(wǎng)絡(luò)終端存在“挖礦”活動,主要與使用者網(wǎng)絡(luò)安全意識不強(qiáng)�、防護(hù)手段不足導(dǎo)致感染“挖礦”病毒有關(guān)�。
浙江突擊抽查的78家單位中����,有32家單位主機(jī)或網(wǎng)絡(luò)設(shè)備因感染木馬存在被動“挖礦”的情況。
據(jù)奇安信發(fā)布的《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)典型案例集(2021)》��,2021年上半年���,奇安信安服團(tuán)隊共參與和處置了590起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件�,其中‘挖礦’木馬占所有惡意程序類型的18.8%����,僅次于勒索病毒位居第二。
2021年以來�,監(jiān)管部門整治虛擬貨幣“挖礦”活動的力度不斷升級���。
2021年5月21日�����,國務(wù)院金融穩(wěn)定發(fā)展委員會召開會議,強(qiáng)調(diào)堅決防控金融風(fēng)險����,“打擊比特幣‘挖礦’和交易行為����,堅決防范個體風(fēng)險向社會領(lǐng)域傳遞”���。這被視為國家層面對虛擬貨幣“挖礦”與交易明確提出打擊要求����。
當(dāng)年9月�����,國家發(fā)改委等聯(lián)合印發(fā)《關(guān)于整治虛擬貨幣“挖礦”活動的通知》,要求加強(qiáng)虛擬貨幣“挖礦”活動上下游全產(chǎn)業(yè)鏈監(jiān)管�。據(jù)時代周報記者不完全統(tǒng)計,2021年,為實現(xiàn)虛擬幣挖礦“清零”目標(biāo)�,已有15個省份開展虛擬貨幣“挖礦”專項整治活動��。
整治浪潮之下,高校加大對虛擬貨幣“挖礦”活動的清理毫不意外���。
2021年12月13日,貴州大學(xué)明確提出����,根據(jù)上級部門關(guān)于“堅決實現(xiàn)教育系統(tǒng)挖礦活動清零”任務(wù)要求�,重申任何單位和個人不得以任何理由����、使用任何設(shè)備在學(xué)校從事虛擬貨幣“挖礦”、交易活動��。
進(jìn)入2022年��,監(jiān)管部門對虛擬貨幣“挖礦”活動的整治有加強(qiáng)態(tài)勢���。
國家發(fā)改委1月10日在官網(wǎng)發(fā)文�,將虛擬貨幣“挖礦”活動列入“淘汰類產(chǎn)業(yè)”����。同日,央行濟(jì)南分行發(fā)文警示“挖礦”風(fēng)險,指出要充分認(rèn)識虛擬貨幣“挖礦”活動的危害,提高防范虛擬貨幣“挖礦”木馬病毒攻擊的意識和能力���,自覺抵制任何形式的虛擬貨幣“挖礦”活動。
