尋夢新聞LINE@每日推播熱門推薦文章,趣聞不漏接❤️
2017 年底,一款名為「tlMiner」的挖礦木馬的傳播量達到峰值,12 月 20 日,騰訊電腦管家的安全研究員發現,有近 20 萬台機器受到該挖礦木馬影響,並發現「tlMiner」挖礦木馬瞄準的是「吃雞」玩家及網吧高配電腦,搭建挖礦集群。
竟然利用「外掛+木馬」的形式搞起了鵝廠爆款遊戲的用戶?這事忍不了。安全研究人員決定,一查到底。沒想到,追蹤起來,他們發現了許多奇葩事。
「高新技術」企業搞「副業」
2017年,一家大連當地高新技術企業偷偷發展起了副業。雖然這是一家號稱「高新技術」的企業,事實上,沒多少員工,和村口開小賣部的「夫妻店」規模不相上下。
2017 年 12 月,比特幣漲幅依舊驚人,主流幣種中,IOTA、XMR(門羅幣)、EOS表現十分亮眼。這家企業於是打起了挖礦的主意。
本來,這家號稱高新技術的企業是以推廣網路廣告為主。有什麼辦法可以利用現有分發管道,「空手套白狼」一樣的做挖礦的生意呢?畢竟,採購專業礦機,搭建礦場也需要很高的成本。
這家企業的老板 A 想了個法子:構建僵屍網路,讓大家「集資」給給自己挖礦!
怎麼結合現有業務打造一個巨大的僵屍網路呢?
這一年,吃雞遊戲火遍中國,A 注意到了一個優秀的吃雞遊戲外掛作者B,這個人做的付費掛不錯。於是,A 聯繫上了 B ,稱自己這裡有一個賺錢的好生意。
A 對 B 說,要在 B 開發的外掛裡加入挖礦木馬,通過自己強大的分銷網路推廣其外掛,B只要坐等分錢就好。
B 一聽,動了心。
黑吃黑的「合謀」
一場合謀開始了。
A 利用自家現有的軟體分發管道「賣起了掛」,比如網吧聯盟、論壇、下載站和雲盤管道等,幹得輕車熟路,風生水起。
一不小心,在半年的時間裡,他們構造了一個涉及 389 萬台電腦的僵屍網路群,經常打遊戲的宅友可能知道,這些都是高配電腦,簡直是挖礦神器。
而且,這事幹得極其隱秘。
「機智」的挖礦木馬「tlMiner」能夠檢測受感染機器的CPU使用情況,做出以下決策:
1.機器CPU利用一旦超過50%,倫家就不要你挖礦了。
2.如果倫家挖礦的行為要占據你40%的進程,哦,抱歉,我退出。
3.主人在吃雞?為了不影響你的遊戲速度,咱們的挖礦大業靠邊站。
4.電腦息屏,主人玩累了在休息?行,挖礦全速開進。
「tlMiner」這麼做,並不是因為它有良心,而是為了盡量降低自己對受感染電腦的影響,不被電腦主人發現,延長自己挖礦的時間。。。
所謂「謀財不害命」,專注自己的主業說的就是這個「誠懇」的挖礦木馬了。
A 還頗有商人的「素養」:咱家好歹是高新技術企業,主業還是彈廣告,所以這 389 萬台電腦裡,只要選出 100 萬台高配電腦種挖礦木馬就行,其他電腦就老老實實地繼續彈廣告吧。
A 和 B 初步合作後,效果不錯,於是 A 給 B 的帳戶打了一筆不小的感謝費。
B 一看:這事可以搞啊!A 居然能這麼坐躺收錢,我也可以做是不是?
於是,「機智」的 B 在 A 不知情的情況下,偷偷在自己的外掛軟體上開了個後門,主挖 HSR(紅燒肉幣)。此刻,老板 A 正樂此不疲地繼續盯著 XMR(門羅幣)、SHR(超級現金幣)、BCD(比特幣鑽石)、SIA(雲儲幣)、DGB(極特幣)等山寨幣繼續挖。
兩人看上去井水不犯河水。
事實上,為了不讓 A 察覺「好風憑借力」的另一後門,B 也是費盡了心思:畢竟電腦的資源是有限的,當然偶爾搶搶資源挖礦就好。但就是這樣一個後門,讓 B 在 A 的分銷管道上繼續躺著賺了兩百來萬,A 則賺了 1000 多萬,兩人相安無事。
落網
直到 2017 年 12 月,這一木馬的傳播量引起了安全研究員在雲端部署的安全大腦的警覺。
安全人員還發現,該挖礦木馬走了「白+黑」的套路:某個正常的程序或進程,調用了一個異常的模塊。
除了機器捕捉到的零散的行為,還有一項直接的證據:近 20 萬台機器受到該挖礦木馬影響。
鵝廠安全經營部門的研究員把相關的樣本、分布情況、樣本來源、攻擊者的 IP 地址、控制服務器的 IP 地址、域名、病毒下載鏈接、受害電腦的 IP 地址信息等等信息收集整理成完整的安全威脅情報。研判之後認為,這是一起威脅嚴重的網路犯罪行為,可能危害上百萬台電腦。有必要通過公司安全管理部門向國家執法部門報告。
於是,電腦管家的經營團隊趕緊和騰訊守護者計劃部門聯繫,將這一線索反饋給了警方,拔出蘿蔔帶出泥,找出了一個公司化經營的大型挖礦木馬黑色團夥。
據《法制日報》報導,警方接案後,通過互聯網提取到外掛木馬樣本,找到木馬開發者建立的木馬交流群,初步落查發現該款木馬程序開發者為楊某寶。楊某寶通過建立了多個外掛討論群,在群文件中共享外掛程序,利用「天下網吧論壇」版主的身份,將上傳含有木馬的外掛程序到「天下網吧」論壇供網民下載,還有通過某網盤進行分享下載的形式傳播外掛。
3 月 8 日,楊某寶被抓獲。原來,楊某寶曾為 58 迅推增值聯盟雇傭,利用該平台增值客戶端非法挖礦共同獲利。警方順藤摸瓜,發現58 迅推增值聯盟的幕後公司為大連某網路科技有限公司。
4 月 11 日,警方抓獲該案全部涉案嫌疑人 16 名。隨後,警方對大連該網路科技有限公司的下線進行梳理,並開展抓捕。
原來,大連該網路科技有限公司作為上線提供技術支持,研發了挖礦監控軟體、集成挖礦程序,然後發展了全國幾百名下線從事代理。這些下線手中掌著全國 389 萬台電腦的龐大資源,大連這家公司一一與下線達成合作協議,不僅向這 389 萬台電腦發送廣告獲利,還選擇其中 100 多萬台進行後台靜默挖礦,這兩部分的利潤由上線與下線按比例分成。
▲區塊鏈木馬挖礦黑產流程圖
**花絮**
一個好奇的編輯寶寶 VS 騰訊電腦管家高級安全專家李鐵軍
1.宅客頻道:如何評價這起案件的規模?
李:位於大連的「tlMiner」挖礦木馬團夥,並不是我們捕捉到的規模最大的一個,但是其構建的僵屍網路是目前歸案的國內同類案件中規模最大的一起。
300萬台規模的僵屍網路,如果搞DDoS攻擊,很容易造成網路癱瘓。如果搜集肉雞電腦個人信息,比如遠程控制桌面、錄影頭,後果也十分嚴重。因為現階段,絕大多數病毒的感染量都不高,能感染上千台已經算不錯了,上萬台稱得上感染嚴重,百萬台就是超級嚴重了。
2018 年 4 月,我們曾監控到一個遍布全球的 PhotoMiner 木馬挖礦組織,該組織通過入侵感染FTP服務器、SMB服務器暴力破解來擴大傳播範圍。自 2016 年首次被發現至今,PhotoMiner木馬團夥通過門羅幣挖礦累計收入已達到令人驚嘆的 8900 萬人民幣,是 2018 年上半年的「黃金礦工」,但是,由於其服務器在國外,涉及到很多問題,抓捕有難度。
2.宅客頻道:在這起案件中,他們構建了一個龐大的僵屍網路,為什麼不同時用來提供DDoS攻擊服務?
李:現在國家對DDoS攻擊監控十分嚴密,後果很嚴重,這些人本就是圖財不想賠上命,而且挖礦收益大多了,所以。。。
3.宅客頻道:現在這些僵屍網路除了打D、挖礦,還有什麼生財之道?
李:我們監測到,還有人可能利用各種手段獲取短視頻平台以及社交網站的帳號組成僵屍粉大軍,搞水軍,刷評論,捧網紅。。。
4.宅客頻道:不同的僵屍網路可能覆蓋同一些容易獲取的肉雞,要是大家都用它來挖礦,資源有限,互相打架怎麼辦?
李:厲害的會踢掉之前的挖礦木馬,然後開展自己的挖礦大業。
5.宅客頻道:以前很多木馬主要幹些鎖主頁、彈廣告、推廣軟體的臟活,現在它專注挖礦,用戶是不是「可能還能松了口氣」?
李:當前個人電腦的主流配置性能很強,即使木馬已經在挖礦,性能變差的直觀感受也並不明顯。只有挖礦木馬啟動挖礦程序,同時用戶啟動較耗資源的應用,比如大型遊戲,此時才會感覺電腦速度變慢、溫度升高、風扇噪音增加等現象。通過大量計算機運算獲取數字貨幣獎勵,挖礦對電腦硬體配置要求比較高,主機經常長期高負荷運轉,顯卡、主板、記憶體等硬體會提前報廢,對電腦的損害極大(編輯腦補了潛台詞:傻孩子,並沒有松口氣)。
宅客頻道註:該案件涉案團夥落網信息參考自《法制日報》相關報導。
|
戳藍字查看更多精彩內容 探索篇 ▼ 真相篇 ▼ 「老婆,開門」,隔壁老王帶來的恐懼 人物篇 ▼ 更多精彩正在整理中…… |
—
「喜歡就趕緊關注我們」
宅客『Letshome』
雷鋒網旗下業界報導公眾號。
專注先鋒科技領域,講述黑客背後的故事。
長按下圖二維碼並識別關注
