注:本文中提到的黑客均指黑帽黑客(不同于正确意义上的白帽黑客,黑帽黑客往往利用自己的技术窃取他人资源或破解互联网上的收费软件,以此牟利,但实际上是破坏市场秩序或泄露他人隐私)。
前段时间因为发表了一篇关于比特币的文章,当地一位从事教育培训的学生来问我关于虚拟货币投资的问题:靠谱吗?利润如何?如何入门?所以简单回答问题,中肯的推荐几个交易平台。是的,虚拟货币的高收益率让各行各业有闲钱的人都来这里分享这个滚雪球游戏的利润。但是不知道游戏规则的人承担的风险要高得多。
一、虚拟货币盗窃现状
黑客不断通过社工诱骗目标受害者访问“blockchaina.info”等恶意网站。
(来源:思科Talos)
网络犯罪分子仍在狂热地追捧加密货币,但他们获取的方式并不是自己购买挖矿设备,而是利用网络攻击,要求受害者以加密货币为赎金,同时偷偷将挖矿软件转移到服务器上生成虚拟货币。
黑客对加密货币贪得无厌的欲望与比特币等数字货币的升值成正比。这种现象不是巧合,而是有内在联系的。去年7月,一个比特币约等于2500美元,但到12月,它已飙升至13800美元。虽然此后比特币价格有所下降,但仍徘徊在11000美元左右。
“高回报的虚拟货币投资促使贪婪的黑客使用一切手段来瞄准加密货币,”安全公司趋势科技表示。“有些人通过社工直接攻击加密货币钱包,有些人则通过传统勒索软件手段勒索加密货币。甚至还有人通过手机恶意程序进行挖矿操作,虽然这种方式获得的金钱数额不会很可观。”
图片:趋势科技
插图:
黑客非法获取加密货币的方法
带有恶意挖矿程序的APP
挖矿僵尸网络在各种社交媒体平台上传播
直接攻击加密货币钱包
入侵“技术支持”网站
使用挖掘脚本的网站
挖掘恶意程序的攻击工具包
广告网络传播挖掘工具
网络罪犯都希望以最低的成本获得最多的财富。所以加密货币市场继续下跌。“2017年,至少有四个高层犯罪集团将犯罪重点从金融攻击转移到了加密货币。”Gartner研究副总裁、杰出分析师阿维瓦谭力这样说道。
但是很多黑客并没有发明新的攻击方法。“2018年,大多数犯罪团伙仍将采用过去十年来一直免费使用的旧技术,但加密货币交易所网站和服务器的细节以及他们使用的客户认证流程都被修改了,”谭力说。下面我们将详细介绍几种最常见的盗币方法。
图:Diskin高级技术
插图:
黑客团伙攻击加密货币交易活动的准备—2018年1月
纵轴:准备程度(自下而上)——计划阶段、组装部署阶段和实施阶段。
水平轴:组级别(从左到右)——低、中、高
帮派详情:
A1勒索团伙:赛伯组织
黑客背后的一个2 Emotet银行木马
A3 Hancitor恶意程序创建者
Ursnif银行A4的木马创建者
A5黑客组织APT33——鱼叉钓鱼
自2015年以来,A3至少进行了两次加密货币交易。
2018年1月,日本发生了最引人注目的加密货币盗窃事件。攻击者从日本货币交易商Coincheck窃取了5.3亿美元。
第二,旧的攻击方法,新的攻击目标
1.web注入攻击
恶意软件生产商也加入了这场金钱战。
去年8月,Trickbot木马背后的开发者更新了他们的恶意软件,并对包括比特币基地在内的几个加密货币交易所用户发起了网络注入攻击。当用户访问指定网站(如加密货币交易平台)时,会激活Web注入或“浏览器中的人”攻击。恶意软件可以屏蔽用户的按键,更改浏览器界面来掩盖攻击活动。
Trickbot配置文件中的攻击规则(图片来源:X-Force Research)
Trickbot可以让用户错误地认为他们购买的比特币会保存在自己的电子钱包中,但实际上它们被重定向到了攻击者的钱包中。
“在一般的交易场景下,买家需要提供自己的比特币钱包公钥地址和购买数量。初始表单提交后,页面从交易平台重定向到另一个域名下的支付平台,由支付服务商运营。在这个页面上,用户需要填写相关的个人信息、信用卡号码和账单细节,并确认购买,”IBM X-Force研究人员在今年2月的一份报告中写道。
“这个重定向的缺口就是Trickbot钻的缺口。攻击目标是比特币交易网站和支付网站。半路劫走钱后,送到攻击者控制的钱包里。”
Trickbot的原HTML页面和返回页面的区别(来源:x-force Research)
2.钓鱼攻击
擅长社会工作的黑客也把重点放在加密货币上。
思科Talos安全团队发现了一个名为“Coinwatch”的恶意广告活动。到目前为止,Coinwatch已经获得了5000万美元的净利润,尤其是2017年最后一个季度的1000万美元的巨额利润。
Coinwatch始于去年2月,思科研究人员表示,攻击者通过购买谷歌AdWords放置在线广告来“毒害”用户的搜索结果,并将其引导至攻击者控制的假冒网站。
“我们在其中发现了一种攻击模式,攻击者创建了一个‘网关’钓鱼链接,它会出现在谷歌广告的搜索结果中,”思科Talos研究员说。“当搜索‘比特币’和‘比特币钱包’等关键词时,钓鱼链接会出现在搜索结果的顶部。受害者点击链接后被重定向到登录页面,根据IP地址以受害者母语显示钓鱼内容。”
去年2月的某个时候,思科报告称,该团伙伪造的加密货币网站每小时的DNS查询次数超过了20万次。由于其中很大一部分来自尼日利亚、加纳和爱沙尼亚,高级研究人员认为,攻击者的主要目标是非洲和其他发展中国家,这些国家银行业不景气,本币比数字资产更不稳定。\”
很多钓鱼网站使用看似真实实则虚假的域名(称为“域名仿冒”),比如在URL中使用“blockclain”等词语,以假乱真。研究人员表示,这种拼写错误可能对母语不是英语的用户或使用移动设备访问的用户特别有效。
“block-clain.info”域名的DNS访问量(图片来源:思科Talos)
最近,Coinhoarder一直在不断优化他们的钓鱼网站,使其看起来更合理。在跟踪这个团伙几个月后,思科发现他们已经开始使用Cloudflare和Let's Encrypt发布的SSL证书。SSL证书滥用已经成为网络钓鱼攻击的主要形式。
3.挖矿恶意软件激增。
此外,攻击者还通过加密货币挖掘软件持续感染系统。
去年2月初,安全厂商Check Point公布了三个加密货币挖矿方案,——Coinhive、Crytoloot和Rocks。同时,它们也是目前最常见的十大恶意软件。
其他安全公司也给出了类似的结果。“自2017年9月以来,恶意挖掘加密货币是我们目前能够检测到的主要问题之一。”安全公司Malwarebytes的首席恶意软件情报分析师杰罗姆塞古拉(jrme Segura)说。
2017年12月,以色列安全公司Imperva表示,88%的黑客攻击在目标服务器上执行任意代码,向外部来源发送请求,试图下载加密货币挖掘恶意软件。\”
4.开采:矿工们盯上了“永恒的蓝色”
去年,WannaCry“勒索蠕虫”通过利用被称为“永恒之蓝”(CVE-2017-0144)的SMB_v1漏洞端口迅速传播。美国和英国的情报机构一致将矛头指向朝鲜政府。
但在2017年5月《永恒之蓝》WannaCry版本发布之前,这个漏洞就被Adylkuzz僵尸网络盯上,用来挖掘门罗币。
自去年5月以来,另一个名为Smominru的僵尸网络团伙也在做同样的事情,利用“永恒之蓝”和Estee audit(CVE-2017-0176,一种智能卡验证码漏洞,可在启用远程桌面协议的Windows系统上被利用)进行挖掘操作。
今年1月,Proofpoint的一名笔名为“Kafeine”的恶意软件研究员在其博客中称,Smominru正在系统上运行加密货币以挖掘恶意软件,“非法获利数百万美元”。目前,Smominru是否与Adylkuzz僵尸网络团伙勾结尚不得而知。
卡费内说,受斯莫明茹感染最严重的地区主要是俄罗斯、印度、台湾省和乌克兰。Proofpoint向MineXMR(有攻击者参与的门罗币矿池)报告与僵尸网络相关的门罗币地址。
以色列安全公司Imperva曾在《大众科学》上发表文章称,“矿池是矿工们一起工作、共享计算资源解决难题的平台”。“问题解决后,这些钱将根据各自对计算能力的贡献在矿池中的参与者之间进行分配。”
但在Proofpoint报道后,Kafeine表示,僵尸网络犯罪团伙注册了一个新地址,并恢复了他们的采矿活动,将货币指向了一个新地址。
第三,企业服务器面临高风险
Kafeine表示,这些僵尸网络对企业的威胁尤其严重,因为大多数被感染的终端基本上都是Windows服务器。“虽然已经无法在台式电脑上有效挖掘门罗币,但本文描述的分布式僵尸网络仍然可以为其组织带来巨额利润。”
全球Smominru感染节点集中区(来源:Proofpoint)
Kafeine警告说,主要企业面临这类攻击的风险很大。“因为这个僵尸网络中的大多数节点都是Windows服务器,所以很有可能会影响潜在的关键业务基础设施的性能,”他写道。“由于巨额利润和僵尸网络及其基础设施的强大弹性,我们预计这些活动将继续发生,并变得越来越猖獗。”
4.比特币的犯罪率在下降吗?
比特币作为犯罪交易首选加密货币的地位可能不会持续太久。威胁公司最近调查了150个地下市场。虽然所有交易都支持比特币,但越来越多的交易者开始倾向于莱特币、门罗币、大石币、比特币现金、以太坊和zcash(零币)。该公司预计,在未来12个月内,比特币将不再是网络犯罪服务买家和卖家的主要支付机制。
*参考资料来源:bankinfosecurity,由FB边肖柚子整理,转载请注明来自FreeBuf.COM。
