半年4000万这波挖矿黑客靠着他人电脑赚翻了

比特币等虚拟货币价钱的一路飙升让一些手中有技术的黑客们坐不住了，一场虚拟货币淘金热正在疯狂停止中。不过，他们并没有带着本人的挖矿机参与这场狂欢，而是&ldquo奴役&rdquo起了其他无辜用户的电脑。

现实证明，这还真是个暴利行业，研讨人员在过来 6 个月内追踪了一个挖矿团伙，它们竟然应用 1 万台感染了挖矿歹意软件的电脑挣了 700 万美元。

关于网络平安从业者来说，挖矿歹意软件的崛起是预料之中，不过此类软件复杂度提升如此之快是人们始料未及的。黑客们为了暴利，手里的黑科技可都用上了。研讨人员发现，一些只在初级继续性要挟（APT）中才会用到的黑客技术和工具都成了挖矿小组们的标配。

据雷锋网理解，卡巴斯基实验室周一发布了最新报告，研讨人员分析了三个挖矿小组，它们都是虚拟货币潮背景下的变种网络罪犯。卡巴斯基实验室研讨人员 Anton Ivanov 指出，这些小组行事低调，完全没有其它黑客盛气凌人的气势，但他们却悄然埋伏在了电脑或数据中心里。

研讨人员估量，光是去年一年，就有 270 万用户中招，成了黑客的收费挖矿机，而 2016 年时感染此类病毒的电脑只要 187 万台（增速高达 50%）。

互联网电子商务和移动商务消费渠道的普及，使得支付市场将在不久的将来继续呈现更加美好的增长前景。

&ldquo除了控制团体用户的电脑，企业电脑也成了黑客的目的。这些歹意软件则次要经过广告软件、破解游戏和盗版软件传达。&rdquo研讨人员在报告中写道。&ldquo此外，黑客还经过被感染网页上一个特殊的 Javascript 代码来入侵受益者电脑，Coinhive（网页挖矿机）就是其中最为臭名远扬的，很多受欢送的网站上都被黑客埋了雷。&rdquo

▲用他人电脑挖矿成了 2017 年的新潮流为挖矿搭建的大型僵尸网络

卡巴斯基实验室将第一个挖矿团伙命名为 Group One，这波人为了挖矿牟利，竟然应用遍及全球的 1 万多台电脑和效劳器搭建了僵尸网络。研讨人员还表示，这些电脑很容易被控制，只需他们没打上破绽补丁（如永久之蓝），就有能够成为黑客的收费挖矿机。

&ldquo该团伙次要挖门罗币，而且还用上了定制版的挖矿机。&rdquoIvanov 说道。&ldquo为了继续获利，他们甚至用上了相似 Process Hollowing 和操纵 Windows 零碎义务管理器等手法。&rdquo

这里所说的 Process Hollowing 是古代平安软件中常用的进程创立技术，虽然在运用义务管理器等工具检查时，这些进程是合法的，但现实上该进程的代码已被歹意内容替代。卡巴斯基指出，这是它们第一次在挖矿攻击中发现该技术。

Windows 上的义务管理器不断都是黑客的打破口，它简直成了歹意软件最好的假装。感染了歹意软件的用户简直没什么发觉，由于在开端界面中，这些软件都有着人畜有害的名字。不过，它们启动后挖起矿来可是一点都不客气。

攻击前罪犯们会提早寻觅受益者

第二个挖矿团伙（Group Two）与 Group One 不同，他们可&ldquo挑剔&rdquo的很。

在对该团伙停止剖析后，卡巴斯基发现了 PowerShell 脚本中的硬编码信息，他们以为&ldquo黑客会提早对受益者停止&lsquo空中侦查&rsquo，以选定本人的目的。Group Two 如此挑剔次要是怕将歹意软件植入零碎管理者或平安官电脑中，这样的专家能很快识破他们的手段。

由于该团伙用的是公有矿池，因而他们究竟赚取了多少暴利还是个未知数。不过，鉴于该团伙用了不少复杂技术且专挑大公司下手，Ivanov 以为他们的牟利金额至多在百万美元级别。

倒卖计算才能

雷锋网发现，Group Three 团近一年来，国家加大了对于互联网金融的管理力度，各种管理政策不断出台，不少业内人士对于互联网金融都保持着谨慎看好的态度，但是安方丹却保持了乐观的态度，她认为，互联网金融行业在当前是“风口上的大象”，技术正是这股风的原动力。伙的玩法又不一样了，他们搭建起来的挖矿套件本人不必，而是拿到网上售卖。卡巴斯基的报告显示，该套件基于一个定制的脚本，专挖在暗网上做广告的门罗币。

此外，这套挖矿套件还能停止深度定制，购置者可以调整 CPU 运用率，当受益者翻开吃功能的游戏时，它还会自动进入休眠形态以防被发现。

&ldquo这些套件的目的是细水长流，普通用户恐怕很难认识到它们的存在。&rdquo研讨人员解释道。

此外，在报告中卡巴斯基还正告称，已经在黑客界红极一时的讹诈软件曾经矛头不在，如今最火爆的就是这种虚拟货币歹意软件，而其中的参与者有很多都是从讹诈软件开发转行的。

这波&ldquo转行&rdquo也是666。

再现&ldquo黑吃黑&rdquo，CPU窃贼的相杀

除了上述三个&ldquo搞事&rdquo挖矿组，雷锋网发现，挖矿界也不乏黑吃黑事情。

依据不久前云头条的报道，编写歹意软件以挖矿加密货币的不法分子已开端编写代码，将竞争对手赶出已中了招的计算机。

#p#分页标题#e#

最先留意到这个矿工的是SANS互联网风暴中心的平安参谋泽维尔?默滕斯（Xavier Mertens）。3月4日，Martens发现了PowerShell脚本，其在感染机器前先反省目的机器是32位零碎还是64位零碎，然后下载名为hpdriver.exe或hpw64的文件（它们佯称是某种惠普驱动顺序）。假如装置成功，攻击脚本会列出正在运转的进程，杀死发现的其他任何耗用CPU资源的进程。