查看原文
其他

互联网新菜式:韭菜和肉鸡 | 区块链数字货币挖矿木马案分析

鹅师傅 腾讯安全战略研究 2022-05-19


大家好,我是鹅师傅(正经脸)。今天要与大家分享干货很多,首先想要问大家几个问题:


你是否被拉进过“稳赚不赔”的荐股群,最后却落得“稳赔不赚”?


你是否经历过莫名宕机却不知缘故?


你的手机是否已经被别人偷偷监视?


这些都是互联网犯罪带来的苦恼。



随着信息技术的发展,利用新技术进行的互联网违法犯罪案件层出不穷,传统犯罪借助互联网技术再掀波澜,不得不防、不得不治。


为此,我们选取打击实践中具有前沿性、复杂性的十个疑难案件及研究报告,分享经验梳理脉络,为互联网违法犯罪预防及打击治理尽绵薄之力。


从今天开始,每周四听鹅师傅一起唠(chui)唠(niu)嗑(bi)。



今天我们要来分享一个前沿典型的新型互联网违法犯罪案例——区块链数字货币挖矿木马案


在这个案件中,被黑产控制侵害的电脑主机多达389万台。鹅师傅先来给大家还原一个典型受害者小林的故事。


小林是一个热衷游戏的年轻人,为了能够痛快地玩游戏,他斥巨资买了一部顶配游戏电脑,并安装了各类爆款电脑游戏。


有一天,小林在游戏论坛里看到一个号称可以自动打怪的免费游戏外挂,于是他便下载安装了这个外挂软件


这个外挂确实可以帮小林自动打怪,但小林却发现了新的问题。自从安装了这个软件,电脑还没运行游戏,只是看看新闻,CPU运用量就暴增,电脑很快变得烫手,风扇呼呼地转,电量也跌得很快。


小林百思不得其解,新买的电脑怎么这么快就出问题了呢?


事实上,小林的电脑硬件没有毛病,而是那个外挂软件里有猫腻。在安装外挂的同时,它还在电脑里暗搓搓安装了一个数字货币挖矿软件,把小林的电脑变成了“肉鸡”


挖矿木马最早出现于2013年,但一直并未被外界关注。


2017年,由于勒索病毒的大规模爆发,区块链和数字货币概念火爆,比特币、以太币等数字货币交易价格不断走高,许多人看好数字货币的发展,纷纷加入“挖矿”大军,不法分子将木马悄悄植入用户计算机、网页之中非法牟利。



案件全景展示


技术应用


根据腾讯统计,现已发现的挖矿僵尸网络超过20个,规模较大的有PhotoMiner、Myking等,感染的用户量级均在百万以上。


其中的PhotoMiner,具有较强的自复制性和扩散能力,通过入侵感染FTP服务器和SMB服务器暴力破解来扩大传播范围,构建挖矿僵尸网络


数据表明,PhotoMiner已非法控制海量用户计算机为其挖取XMR(门罗币)80094枚,非法获利超过8900万元。该挖矿僵尸网络已遍布全球,感染量排名前三的国家是中国(26%)、美国(25%)和德国(12%)。


(Photominer僵尸网络全球感染区域分布)


随着技术手段不断翻新,JS挖矿成为犯罪手法的新趋势。黑客通过入侵渗透服务器,在网站内植入挖矿JS脚本,当用户访问相关网站页面时,用户计算机会执行已植入的挖矿JS脚本,连接黑客指定的矿池领取任务进行挖矿获利


另有通过植入挖矿JS脚本到用户浏览器插件,在用户浏览网页时加载插件进行挖矿,这类利用JS脚本进行挖矿的新型黑产逐渐成为黑产团伙的新方向。


注:JS:全称为javascript ,是一种由Netscape的LiveScript 发展而来的脚本语言,主要目的是为了解决服务器终端语言遗留的速度问题。(搜狗百科)


(JS挖矿网站类型分布占比)


腾讯电脑管家统计,每天约有近800个网站、4000多个网页被黑客植入JS挖矿脚本,这些网站和页面以色情、小说、视频等大流量内容为主,用户访问网站页面后被动的参与到挖矿队伍中。


黑色产业链分析


由于挖矿木马的隐蔽性,即使用户电脑感染木马也不容易即时感知到。挖矿木马悄悄潜伏在用户的电脑中,定时启动挖矿程序进行计算,大量消耗用户电脑资源,导致用户电脑性能变低,运行速度变慢,加剧硬件损耗。因此,挖矿木马逐渐成为黑产团伙获取数字加密货币最重要的手段。


挖矿木马的黑产模式:


  1. 黑产团伙将挖矿木马封装到热门或特定程序,如热门的游戏外挂、海豚加速器、盗版侵权视频软件等;

  2. 通过网吧联盟、论坛、下载站和云盘等多种渠道,推广传播封装有挖矿木马的应用程序,诱导用户下载安装,植入木马。

  3. 非法控制已植入木马的计算机终端,连接指定矿池地址,为黑产团伙指定账号挖矿。



要点分析


案件危害


某犯罪团伙利用木马非法控制全国范围内389万台电脑主机,可以实施多种危害严重的网络违法犯罪。比如利用这些海量网络终端资源对特定目标发起DDOS攻击,造成目标瘫痪;通过木马程序推送主页广告、桌面图标广告等非法牟利;也可以推送钓鱼网站页面,用于实施电信网络诈骗,带来重大网络安全隐患


由于数字货币“分布式数据存储、点对点传输、共识机制、加密算法”的去中心化和匿名特性,长期成为“暗网”中通行的结算货币,为包括黑客攻击、公民信息等数据交易、“黄赌毒枪”等非法交易在内的各类违法犯罪活动提供资金结算和清洗,对国家网络安全和金融安全构成威胁。


法律适用


目前全国范围内被处置的非法控制他人计算机实施“挖矿”行为的案件一般适用《刑法》第二百八十五条非法控制计算机信息系统罪认定。


原因在于,一方面,通过蠕虫病毒、木马感染等手段形成僵尸网络,将行为人计算机置于自己的控制之下,自动执行运算任务,其行为符合非法控制计算机信息系统罪构成要件


另一方面,对于“挖矿”行为本身而言,虽然数字货币的法律地位不受承认,但挖矿行为本身,实质上是在运用资源进行一种运算行为,难以评价为违法甚至犯罪行为,故与利用僵尸网络进行网络攻击等行为存在差别,需要对行为人非法控制他人计算机行为进行单独评价。


根据《刑法》第二百八十五条:【非法侵入计算机信息系统罪;非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役


违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金


【提供侵入、非法控制计算机信息系统程序、工具罪】提供专门用于侵入、非法控制计算机信息系统的程序、工具,或者明知他人实施侵入、非法控制计算机信息系统的违法犯罪行为而为其提供程序、工具,情节严重的,依照前款的规定处罚。


单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。


治理建议


重视安全问题


对区块链技术现有应用的安全问题,政府和企业应提高重视程度,加大网络安全方面的基础建设和成本投入,采取更有效和全面的安全方案,将有利于防范和解决问题。


加强行业监管


对新技术在网络和现实社会中的应用,监管部门应及时更新完善监管手段,改进监管方式。另外,监管部门应重视对以公有链为主的数字货币市场,包括对参与者的权益保护,加强普及民众对区块链概念的认知,强化行业和民众的风险防范意识。


推动标准规制


参考和借鉴互联网发展初期遇到的问题和情况,推动区块链技术等创新领域的标准尽早建设是非常必要且迫切的。通过标准建设,从区块链项目的入口和框架上,防范和规制技术和安全问题,将起到正确的引导作用,从而产生事半功倍的效果。


政企协同治理


针对区块链及数字货币黑产的问题,政府资源与企业实践应相结合,开展研究和治理探索,形成经验指导。将区块链技术的应用,分层次对应到不同的需求场景中,这将有助于推动技术升级和行业进步。


以上就是鹅师傅这次正儿八经跟大家分享的第一个新型互联网犯罪案例。


这些年比特币等数字货币被炒得火热,不少人在盲目进场炒币的过程中变成了绿油油的韭菜。


以此同时,挖矿僵尸网络开始成为网络黑产们新的攻击方式,他们所植入的木马病毒很可能长时间地存在于受害者的系统中,让电脑变成“肉鸡”。


拒绝在网络世界里做韭菜或者肉鸡?除了在上网时保持警惕,还可以关注鹅师傅,一起开启网络诈骗100%闪避模式。


接下来的每周四,日常插科打诨的鹅师傅都会拿出法律界人士的专业精神,与你相约一起讨论分享那些网络犯罪疑难杂症。


拒绝成为韭菜和肉鸡!点这里

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存