利用新興的挖礦手法(Crypto-Currency Mining),輔以僵屍病毒(Botnet)發動攻擊,用受害者的電腦為駭客挖礦,雖然,可能不致直接造成電腦的損害,但背後耗用大量的處理器與繪圖運算資源,而且電腦遠端聽令於駭客,這樣的組合攻擊,令人聽了不寒而慄。趨勢科技威脅研究員謝銘晏在8月23日舉行的CloudSec大會上,揭露了3種目前在黑市流行的挖礦僵屍病毒,它們的發展情形與攻擊手法,藉此提醒臺下的與會者要加以留心。

在這樣的攻擊方式中,駭客在遠端利用C&C中繼站,不只能控制什麼時候要執行挖礦作業,還能得知賺到了多少加密貨幣,而受害者可能只是覺得偶爾電腦變慢,未必發現自己的電腦成為駭客挖礦大隊的一員。

根據謝銘晏指出,在他的研究中,發現這種惡意軟體在黑市的銷售,也像一般的軟體,隨著提供的功能差異,而產生價碼的高低。例如,完全隱藏、不會在使用者電腦上出現任何視窗或訊息,或是較不容易被防毒軟體偵測出來,價碼較高,而且,還有等級之分,像是已上傳到VirusTotal檢測通過,或是作者保證完全不會被任何防毒軟體偵測出來等,都會影響駭客取得所需的費用。

甚至,謝銘晏說,駭客還會向程式開發者討價還價、要求試用版本,而程式開發者也會將軟體交由知名駭客試用,藉此宣傳。由此可見,駭客想要犯案,這些攻擊的工具取得可說是相當容易,甚至還能向開發者議價,以更便宜的價格取得。

在現在常見的挖礦攻擊軟體中,謝銘晏以3種常見的惡意軟體,分別是Digmine、1ms0rry、Retadup等,解說他發現這些軟體的運用滲透管道,或是演進過程。

以Digmine而言,便是透過臉書的Messenger傳播,透過已經滲透電腦的使用者,將惡意軟體散布到受害者臉書的其他朋友。而已經發展多代的1ms0rry,則是假冒能讓使用者賺取信用卡點數的軟體,讓受害者誤以為能藉此取得回饋。

而Retadup是一款以USB裝置擴散的惡意軟體,謝銘晏指出,這款軟體原先是能從遠端存取的木馬程式,後來加入了挖礦的功能,此外,為求執行的效率更好,也將原本利用AutoIt軟體開發的做法,改為AutoHotKey。而謝銘晏也指出他們發現,這個惡意軟體為駭客賺進了不少門羅幣(XMR),但是,其中有段時間,大約是從去年的12月中到月底,完全沒有開採任何的門羅幣,這也突顯能由C&C中繼站定期發號司令,或是暫停挖礦。

 


Advertisement

更多 iThome相關內容