您应当了解的七种加密货币挖矿木马与僵尸网络

加密货币挖矿木马已经成为全球各类组织机构所面临的主要威胁之一。在今天的文章中，我们将综合探讨其中最为“罪大恶极”的七种类别。

Coinhive

Coinhive是一款被部署在全球数千个网站之上的加密货币挖矿器——其中部分网站拥有者了解并同意其运行，但大多数网站是在毫不知情的条件下默默为其“作贡献”。该挖矿器通过暗中劫持访问者所使用系统的计算资源，从而利用这些网站挖掘门罗币。

Coinhive本身并无恶意特性。事实上，Coinhive.com允许各网站拥有者自由使用该挖矿器，从而通过访问其网站的用户所使用的浏览器实现负载分配——作为回报，网站拥有者将得到部分门罗币，进而为用户提供无广告浏览体验。然而，多家安全厂商已经开始着手阻止Coinhive，因为相当一部分网站拥有者选择直接运行挖矿器而不对用户发出任何通知。

网络犯罪分子亦利用该挖矿器在未告知网站拥有者的情况下将其无差别嵌入至成千上万个网站当中。根据Check Point软件技术公司提供的估算结论，截至2018年1月，全球23%的组织都受到Coinhive的影响。Coinhive挖矿器原本针对浏览器的JavaScript挖矿代码也被秘密加载到Google Play商店内正式上架的19款Android应用当中。Synopsys公司高级安全策略师Taylor Armerding指出，其中一款应用甚至拥有高达10万到50万台设备的安装规模。

RiskIQ公司产品经理Vamsi Gullapalli援引最近公布的数据指出，“RiskIQ爬取到的数据发现，目前有超过5万个网站已经被嵌入Coinhive挖矿器，或者通过其它被破坏的第一方组件（例如Texthelp）在过去一年内遭到感染。”他同时强调称，其中相当一部分网站的拥有者可能并没有意识到这一严峻状况。

Smominru

Smominru Monero挖矿僵尸网络由52万多台Windows主机组成，其中大部分属于服务器。安全厂商 Proofpoint公司称，该僵尸网络的幕后操纵者一直在利用泄露自美国国安局的“永恒之蓝”漏洞通过Smominru挖矿器感染全球系统，并将其吸引为自身僵尸网络的组成部分。

截至2018年1月底，该僵尸网络已经开采到约8900枚门罗币，实时价值高达280万美元。根据当时Proofpoint公司作出的估计，该僵尸网络每天能够挖掘到约24个门罗币，价值在8500美元左右。由于大多数受感染的系统属于服务器，因此Proofpoint方面指出受害者为企业的可能性很高。

WannaMine

由Panda Security公司于去年10月发现的WannaMine同样是一款用于挖掘门罗币的挖矿器。Panda方面将其描述为一种相当可怕的恶意工具，因为其会最大程度利用受感染系统中的处理器与内存资源。

Crowdstrike公司则发现，该挖矿器会利用Mimikatz凭证收集器在网络当中获取证书以实现横向移动，从而在企业内部网络中实现有效传播。一旦失败，WannaMine亦会尝试利用国安局储备的“永恒之蓝”漏洞向其它系统扩散。

Adylkuzz

去年5月，Adylkuzz 引起了相当广泛的关注，因为其是继Wannary利用国安局“永恒之蓝”与“双脉冲星”漏洞之后出现的首批恶意工具之一。与众多其它加密工具一样，Adylkuzz同样属于门罗币挖矿器。该恶意软件的一大值得注意的特性，在于其能够关闭受感染系统上的所有SMB通信，从而防止目标系统后续被其它恶意软件所入侵。

Proofpoint公司估计，该恶意软件可能已经分布在全球数十万套系统当中。根据该公司发布的报告，Adylkuzz在感染系统方面的规模可能已经超过WannaCry。

JSECoin

JSECoin是一款类Coinhive型JavaScript挖矿器，其为网站拥有者提供了一种通过在网站上嵌入加密货币挖矿器以获取收入的方法。与Coinhive一样，JSECoins会在用户访问嵌入该挖矿器的网站时被激活。但与前者的区别在于，JSECoins会将CPU使用率限制在最大值的15%至25%之间，且始终显示隐私声明，甚至为用户提供退出链接。尽管如此，Check Point公司仍然在本月将该挖矿器列入其十大热门恶意软件工具榜单当中。

Bondnet

Bondnet 是一套加密货币僵尸网络，可用于挖掘多种不同数字化货币。GuardCore公司指出，该僵尸网络由多达15000台不同规模的服务器构成，并于去年5月被首次发现及曝光。该公司解释称，此僵尸网络的受害者包括多家全球性企业、市政机构、大学以及公共机构。

该僵尸网络的幕后操纵者倾向于利用各种广为人知的安全漏洞入侵Windows服务器，并安装Windows Management Interface木马以实现与远程命令与控制服务器间的通信。GuardiCore公司还注意到，该僵尸网络还能够轻松通过转换发起DDoS攻击。

PyCrypto Miner

F5 Networks公司的研究人员们指出，PyCrypto Miner是一套基于Python语言的僵尸网络，且长久以来一直未被安全行业所发现。

这套立足Linux平台的加密货币挖矿恶意网络通过SSH协议进行传播，且同样用于挖掘门罗币。截至去年12月，该僵尸网络的幕后操纵者似乎已经借此至少获得价值46000美元的加密货币。

PyCrypto Miner的一大突出特性，在于其利用Pastebin.com网站发布并传输新的命令与控制服务器地址，从而防止在原始服务器因某种原因而被关闭或不可用时引发挖矿失败。截至去年12月中旬，该恶意软件已经获得对存在漏洞的JBoss系统进行扫描的新功能。

本文翻译自DarkReading

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。