导语:2018年1季度的网络犯罪所用的技巧和技术主要有加密货币挖矿,勒索软件和欺骗。下面我们一一进行分析。
加密货币挖矿恶意软件
恶意挖矿机对恶意软件来说是非常简单的一部分,许多的恶意软件家族已经将payload换成挖矿恶意软件或是增加了挖矿组件。总的来说,大多数的挖矿机都是用开源的挖矿组件,很少或不使用混淆技术。所以,逆向工程师很容易就可以进行逆向分析。
分发传播
为了利益最大化,威胁单元会用尽可能多的设备的计算能力来进行挖矿。所以,攻击者要有一种能够大量传播的方法,比如垃圾邮件、漏洞利用、恶意APK、和供应链攻击等。
漏洞利用
Wannacry勒索软件使用了泄漏的永恒之蓝和双脉冲星(DoublePulsar)漏洞利用,至少有两个不同的组织利用了相同的漏洞来感染Windows服务器,安装加密货币挖矿机,最终获利上百万。
其他像Oracle WebLogic Server (CVE-2017-10271)漏洞被用来做学校和科研机构的服务器床传播挖矿机。这也是网络犯罪分子的最爱,因为能提供更多的运算能力,能更快的挖到加密货币。最近,研究人员发现有利用超级计算机来在一些重要基础设施环境中挖矿的。也有用漏洞利用工具来传播挖矿机的,比如RIG EK已经被用来进行传播,这也将是一个趋势。事实上,加密货币挖矿机也是最常用的drive-by下载攻击。
恶意APK
移动用户对加密货币挖矿并不是免疫的,含有恶意挖矿代码的安卓平台就是一个例子。与Windows恶意软件类似,恶意APK会有特殊功能的模块,比如垃圾SMS,挖矿机等。
供应链攻击
安卓挖矿机会用Minergate这样的合法挖矿池,Mac加密货币挖矿机也会使用。从官方网站下载应用的建议是不够的,尤其是当可信的应用被劫持之后。比如,OSX.CreativeUpdate就是通过劫持MacUpdate网站来传播加密货币挖矿机的。
Drive-by挖矿
2017年9月中旬,Coinhive发起一项新服务,一个可以直接在web浏览器中进行门罗币挖坑的API,给web带来的一阵混乱。Coinhive API集成的简单性是其能取得快速成功的原因。短短几周内,Coinhive API就被用于drive-by加密货币挖矿攻击。与drive-by下载类似,drive-by挖矿是自动执行和静默的,使用一些技术来强制使浏览者访问挖矿的网站。
与基于恶意软件的挖矿相比,drive-by加密货币挖矿不需要感染设备。这是它本身的优点也是缺点,因为这样就可以有更多的受众,但同时也会很难持续。
因为广告拦截等原因,网络犯罪分子已经开始检测和拦截Coinhive了,所以犯罪分子开始隐藏代码来避免被检测到。虽然检测到的driveby加密货币挖矿数量减少,但每天也有100万次拦截。
浏览器和技术滥用
除了持久的挖矿外,犯罪分子发现4种方式来进行长期不间断的挖矿。其中之一是用浏览器扩展工具在每个web会话中都注入代码。
需要注意的是JS是浏览器内加密货币挖矿的唯一方式。WebAssembly是目前被广泛使用的模块,可以以接近本地运行的速度运行,比JS更加快速和高效。
Drive-by挖矿是通过标准HTTP协议进行的,研究人员发现越来越多的通过WebSockets进行挖矿的例子。WebSocket是一种允许流数据交换的通信协议,融入安全WebSocket的加密货币挖矿代码很难被检测和拦截。
Coinhive变种
在Coinhive成功之后出现了很多模仿者和变种,研究人员统计发现,coin-have[.]com是第二最流行的服务,然后是crypto-loot[.]com,而Coinhive占所有挖矿收入的30%。
Drive-by挖矿是未经用户同意的情况下自动执行的,而且大多数情况下是静默执行。但也会有CAPTCHA来证明不是僵尸机器,而是真实的用户。用户输入验证码(w3FaSO5R) 后,手机或平板设备就会全速挖矿。这就说明,所有的设备都无法对drive-by挖矿免疫。
另外一点是第三方脚本变得很普遍,Texthelp公司就发现公司的插件被黑,被注入了Coinhive脚本,导致了上百家英国政府网站参与恶意加密货币挖矿活动。
Ethical mining道德挖矿
Ethical mining道德挖矿是一种非恶意的加密货币挖矿活动。当用户利用自己计算机的运算能力通过解决复杂的数学问题来验证和处理加密货币交易时就出现了道德挖矿现象。参与的回报就是可以将获得的加密货币存储在自己的数字钱包中。但是,随着加密货币的价值持续增长,需要解决的数学问题的难度也加大了,就许多更多的CPU/GPU运算能力来完成交易。所以,矿工就会抓住这个机会去购买更高端的图形卡,这会造成一个畸形的买卖市场。
将浏览器挖矿合法化
基于浏览器的挖矿仍是一个很难管理的问题。为了较少批评,Coinhive引入了一个新的API,该API需要用户的输入来授权挖矿活动。这个想法是通过API将网站拥有着变得更加道德,访问站点的人在参与加密货币挖矿前会有一个知情权和选择权。根据Coinhive的数据,可选的API每天的调用量为3万次,而静默API的调用量每天为300万次。在美国主流媒体Salon[.]com的例子中,用户为了抵制广告选择同意Salon进行加密货币挖矿,而用户一旦同意,其CPU的使用率会达到100%。而用户也没有什么办法可以将停止挖矿。所以说,道德挖矿还有很大的进步空间。
恶意软件
2018年的恶意软件检测量反映出威胁图谱正在改变,从传统的攻击单元转向一些实验性的恶意软件。在用户端,检测到最多是仍然是广告软件,而企业端检测到最多的是间谍软件。基于恶意软件的加密货币挖矿软件riskware的量也在增长,反映出从标准(传统)恶意软件到加密货币挖矿机的一个转变。
广告恶意软件
广告恶意软件是2017年4季度企业和用户端的主要威胁之一。虽然2017年底的检测量在减少,但仍是用户端排名第一的威胁。企业端的检测量本季度上涨了14个百分点,但是3月有所减少。广告恶意软件在2018年1季度是企业端的检测量排名第五。
间谍软件
从2017年下半年到2018年第1季度,间谍软件的检测量仍然在增长。在企业端,检测量已经上涨了56%,Emotet间谍软件传播垃圾邮件达到了一个峰值,随后检测量有明显减少。而用户端的恶意软件检测量相对较少,排名第9。
勒索软件
勒索软件检测量从去年下半年开始有下滑的趋势。今年1-2月在客户端达到相对低点,有大约35%的降低;在企业端,与上季度相比,增加了28%。其中的原因可能是两款主流的勒索软件Locky和Cerber退出了市场。
GandCrab勒索软件
GandCrab是2018年1季度利用RIG EK和GrandSoft EK的勒索软件。其中RIG很有意思,有多个类型的payload。曾一度以为消失的GrandSoft软件被用来传播GandCrab勒索软件。Necurs和ElTest恶意软件通过垃圾邮件和被入侵的网站来传播GandCrab。
除了传播方式不同以外,GandCrab另一个特点就是要求的赎金是达世币而不是流行的比特币。可能是因为达世币的交易手续费要低一些,而且匿名性更好一些。
Scarabey勒索软件
Scarab是2017年7月首次发现的,2017年12月变种Scarabey也被检测到了。攻击目标是俄罗斯用户,通过RDP或者手动释放到服务器和系统中,当系统被加密后,同样需要支付赎金,但赎金是比特币。Scarab并不是用英语写的,所以读起来有点生涩。Scarabey的勒索信息是用俄语写的,也含有同样的语法错误。看起来作者可能是说俄语的,所使用的压力模型也是一样的。Scarab警告用户支付的越晚,会有越多的文件被删除,直到全部被删除。经过分析,研究人员得出结论,勒索软件中并没有类似功能的代码。事实上,这只是一种向受害者施压,使其尽快支付赎金的方法。
Hermes勒索软件
最初使用恶意office文档,垃圾邮件活动中使用了嵌入的Flash漏洞。3月份,更加复杂的利用工具GreenFlash Sundown开始传播分发Hermes恶意软件。Hermes并不是静默执行的,在运行时会弹出多个Windows弹窗,这也是勒索软件最终会展示给用户的。Hermes的另一个特征是勒索消息通过BitMessage与受害者进行通信。研究人员分析了Hermes后发现,Hermes是一个全功能的勒索软件,但研究人员不确定传播者的真实意图是什么。总的来看,应该是政治驱动而不是经济利益驱动的。
欺骗
Coinbase-themed攻击
由于比特币和Coinbase本身缺乏金融欺骗的保护,Coinbase-themed TSS大获成功。除了利用假的Coinbase twitter账号污染搜索结果等常规方式外,攻击中比较新颖的方式是垃圾邮件的执行,当用测试机器调用时,运营者会将Coinbase账号的设置信息中的凭证信息拷到自己的机器上。
受害者在Twitter上报告说,自己的加密货币钱包账户被窃了。说明威胁单元组织发现很容易就可以清空别人的加密货币钱包,这种技术比提供假的技术支持还要简单。
新技术
攻击者滥用API来帮助冻结受害者的浏览器,这是一种新的攻击技巧。Blob结构体的window.navigator.msSaveOrOpenBlob方法可以使用户本地保存文件,也就是滥用了这个方法。
ch_jam()函数调用了另一个函数bomb_ch()。反过来,调用下载函数也用到了前面的Blob结构体。之前报告的pushState API滥用的攻击目标的Chrome浏览器,但也会影响Firefox和Brave。
漏洞利用实践
技术支持的欺骗主要依赖的是商业过程中的漏洞,而不是利用特定的工具。在Coinbase-themed的欺骗中,欺骗着利用了比特币交易内在的缺乏金融保护的机制。因为滥用了API,真实的漏洞利用是明显滞后的,并处于报告漏洞给公司和实际补丁更新之间。因此,攻击者有足够的时间来利用漏洞获利。比特币主题的欺骗和浏览器滥用都是攻击者常用的工具。
漏洞和利用
2018年1月的Meltdown和Spectre漏洞让无数的处理器跪了。Meltdown是intel处理器的漏洞,而Spectre漏洞可以用来攻击所有的处理器类型。利用这些漏洞进行攻击的潜在危险在于可以读取其他进程的安全内存信息,包括个人身份信息,银行信息,用户名和密码。Meltdown漏洞利用还需要在系统中安装一个进程,而浏览器的恶意脚本就可以发起Spectre攻击。Intel,微软,AMD等厂商都提供了补丁,但长期的解决方案还在研究开发中。而攻击者正在使用这些漏洞来进行社会工程攻击。
Meltdown
Meltdown漏洞来源于已知的Rogue Data Cache Load (CVE-2017-5754)漏洞,攻击者利用该漏洞可以让虚假进程读取未授权的内存内容,加上一个侧信道攻击。Windows已经发布了一系列的meltdown补丁,但是这些补丁与AMD等是不兼容的,而且是以牺牲系统性能为代价的。
Spectre
Spectre漏洞会影响近15年来所有执行分支预测的处理器。Spectre的利用要比Meltdown的利用难一些,但同时修复也更难,因为这是CPU和OS结构的缺陷。Spectre使用的漏洞有Bounds Check Bypass(Spectre-v1, CVE-2017-5753)和Branch Target Injection (Spectre-v2, CVE-2017-5715)。Spectre欺骗程序去访问内存中的随机位置,即使该分区没有被授权访问。微软也发布了Spectre-v1和Bounds Check Bypass的补丁,但是目前没有Spectre-v2的补丁。幸运的是目前除了POC外,没有发现在野攻击实例。
Flash漏洞利用
CVE-2018-4878是Flash player的漏洞,漏洞利用最早是韩国互联网应急中心报告的。研究人员分析发现该漏洞与APT 37(Group 123)组织有关,该漏洞的公布导致了很多对该漏洞的分析研究以及在野攻击。比如,使用Flash漏洞来传播恶意payload。该漏洞的利用大概率与朝鲜政府有关,adobe已经发布了补丁来限制该漏洞的远程代码执行能力。但攻击者仍可以利用用户升级的窗口期来发起攻击。
预测
加密货币挖矿
加密货币挖矿技术仍然会继续发展。虽然去年加密货币价值几经波折,但并没有影响攻击者传播加密货币挖矿机,而且攻击者还在不断升级已有的恶意软件家族来在受感染的系统中安装加密货币挖矿机。如果加密货币价值不断增长,攻击者可能就会对恶意软件进行修改用作挖矿用途,利用NSA永恒之蓝来感染IOT设备就是一个很好的例子。
勒索软件
勒索软件并没有死,至少不像我们想的那样。事实上,1季度研究人员发现了不少新的勒索软件,比如GandCrab和Scarabey。因为去年国外抓了很多的恶意软件开发者,所以可能一些恶意软件家族不会再出现了,但是目前在市场上的恶意软件会继续发展。
间谍和广告软件
间谍软件和广告软件会继续增长。企业端检测到最多的是间谍软件,而广告软件中用户端是最多的。检测到最多的间谍软件是TrickBot,其中还含有加密货币挖矿代码。研究人员预测,即使恶意软件的类型与加密货币挖矿没有关联,最终也会被用于加密货币挖矿。检测软件和广告软件可以将用户重定向到drive-by挖矿页面,窃取本地的加密货币钱包,劫持系统,强制用户加入挖矿池。如果加密货币挖矿不在流行,间谍软件和广告软件也有很多的用途,比如窃取用户信息,知识产权破坏,其他恶意软件安装等。
漏洞利用工具不再继续
去年很少有漏洞利用工具活动。因为缺乏新的漏洞利用,这些工具变得不再有吸引力。研究人员发现很多的恶意广告和driveby活动来支持诈骗重定向等活动,而不是去感染系统。第1季度RIG利用工具在传播恶意软件和加密货币挖矿机上有所增长。之后漏洞利用工具活动可能还会增长,但这并不代表漏洞利用工具死灰复燃了。
结论
随着威胁图谱的发展,其与真实世界的联系更加明显。恶意软件开发者喜欢数字货币的匿名性和高价值,所以把注意力都转移到加密货币挖矿上来。而恶意加密货币挖矿看起来比其他形式的恶意软件危险系数要低很多,但是它的影响可能是被低估了。事实上,没有管理的挖矿机可能会破坏企业的基础设施,而且可能会成为APT组织的攻击工具。