安全客直播|手机挖矿的那些事儿

直播功课：Android平台挖矿木马研究报告

直播回顾：手机挖矿的那些事儿

360烽火实验室核心成员张昊和狗子小姐姐为大家带来精彩的技术直播【手机挖矿那些事儿】，一小时让你了解区块链、比特币、手机挖矿的前世今生，深入探究挖矿木马的隐藏技术手段及防御措施，是不是到现在还意犹未尽呢？贴心的小编为大家整理了一下直播内容，快来复习复习吧。

1. 挖矿、勒索成为2017年两大全球性的安全话题

勒索病毒WannaCry：2017年WannaCry勒索病毒利用永恒之蓝漏洞进行大规模传播，100多个国家和地区超过10万台电脑遭到了勒索病毒攻击、感染。是一场全球性互联网灾难，给广大电脑用户造成了巨大损失。勒索病毒要求用户在被感染后的三天内交纳相当于300美元的比特币，三天后“赎金”将翻倍。
“坏兔子”（the Bad Rabbit）：在东欧和俄罗斯地区传播，影响了俄罗斯部分媒体组织，乌克兰的部分业务，包括基辅的公共交通系统和国家机场。初始赎金为0.05比特币（约280美元），随时间的推移会进一步增加赎金。
手机勒索DoubleLocker：修改PIN码以及加密手机文件，需要支付0.0130比特币。
以上都是以比特币为勒索的目标。

2. 比特币为什么这么火？（比特币买披萨）代币的一种，被认知的有哪些？2010年，比特币第一次在现实世界获得价格——美国的程序员拉丝勒豪涅茨(Laszlo Hanyecz)用1万枚比特币交换了两块价值25美金的披萨，至今比特币从0.003美元上涨到2万美元左右（历史最高），上涨近666万倍，相当于用了12亿人民币买了一块披萨，成为“史上最贵披萨”。
比特币只是其中一种代币，随着比特币单位产出减半，挖掘难度增加，出现了一些新型代币比如莱特币、门罗币、以太币。

3. 技术基础是区块链，区块链技术能干什么（代币只是其中一种）

谈到比特币就要说到区块链技术，实际上代币只是区块链技术的一种应用方式，区块链属于一种去中心化的记录技术。参与到系统上的节点，可能不属于同一组织、彼此无需信任；区块链数据由所有节点共同维护，每个参与维护节点都能复制获得一份完整记录的拷贝。
区块链被认为在金融、征信、物联网、经济贸易结算、资产管理等众多领域都拥有广泛的应用前景。
举例：
a) 征信，有利于征信机构信用生产成本的降低。传统的信用体系是中心化的，譬如央行、商业银行、还要有审查机关和执行机关。这些维护都需要一个较高的成本。区块链可以将散落在私有部门及公共部门的“全部”个人数据充分地聚合起来，促进数据的开放共享与社会的互联互通。
b) 公益寻人，打破了此前各大寻人公益平台的各自为政、各自独立而形成的信息壁垒，解决了各个平台之间能够互相连接，同步走失人口的实时消息的难题。

4. 代币的安全风险《跟一个搞网络安全的聊完数字货币，我喝了口茶压压惊》，引出手机恶意软件是其中威胁之一。

《跟一个搞网络安全的聊完数字货币，我喝了口茶压压惊》：这篇文章讲到了一些代币的安全风险，其中包括区块链底层代码漏洞，数字货币拥有者、数字钱包、数字货币交易平台都会成为攻击对象，甚至还会出现利用明星效应的钓鱼攻击，说到底代币的安全风险实际上是人与人之间的较量。
今天主要聊一下手机挖矿的那些事儿（主题），手机恶意软件对数字货币的威胁。

5. 手机挖矿木马基本介绍：演变；从样本看现状、伪装类型；从网页看，国家、类型分布

今年年初我们发了一份《ANDROID平台挖矿木马研究报告》，报告分为6个部分主要是从移动平台挖矿木马的历史、现状、技术原理、趋势预测和防御策略进行了全面总结。
先来介绍一下手机挖矿木马的历史演变（见直播功课）
从数字上整体了解一下手机挖矿木马的现状，
从样本数量看；
从伪装对象类型看；
从样本的感染量看；
从网页的感染量看；
从网站来源看；
从网站类型看；

6. 手机挖矿方式介绍、原理

目前曝光过的手机挖矿主要是利用矿池方式，利用僵尸网络控制、开源的挖矿库文件（cpuminer）、Javascript脚本（Coinhive），进行一些简单的账号设置嵌入到APP或者APP打开的网页中。

7. 挖矿木马隐藏的技术手段，5种+ADB.miner蠕虫传播（详情见直播功课）
今年年初发现的ADB.miner，是一种新型的安卓蠕虫，借助安卓设备上已经打开的ADB调试接口传播，验证了一些设备信息，确认一部分电视盒子被感染。
被感染设备会对外发起 TCP 5555 adb 调试端口扫描，并尝试执行 adb 命令把自身拷贝到新的感染机器。使用了库文件和Javascript脚本两种方式，进行挖矿。

8. 挖矿木马的趋势，3种（详情见直播功课）

1. 应用盈利模式由广告转向挖矿；


2. 门罗币成为挖矿币种首选；


3. 黑客攻击目标向电子货币钱包转移。

9. 挖矿木马的防御，PC和移动平台
针对PC端，公司产品卫士和浏览器具备挖矿防护功能；
与PC平台相比，移动平台受限于权限限制，并且App应用又通常自己实现内置浏览器功能，所以不能对挖矿木马进行彻底的拦截。
对已有Root权限的手机，可以设置Iptables对挖矿网址进行通信拦截实现防火墙功能；
对没有Root权限的手机，禁用手机浏览器Javascript特性可以起到一定的防护作用。
以上方案在移动端代价大并且会影响正常功能使用。

10. 讨论，手机挖矿的局限性，挖矿替代广告、监管
讨论一：手机挖矿的局限性
参考：
a) 移动设备在性能上远远落后于PC
b) 电池电量、电池发热异常会被用户发现
c) 电量快速消耗，使得挖掘时间长度受到限制

讨论二：挖矿能不能替代烦人的广告
讨论二补充：挖矿发展初期监管问题，初衷是为了在不影响体验的情况下，又能达到开发者、网站主和用户的共赢的目的。但是由于管控不严，广告滥用用户的设备资源，出现了大量的恶意广告，不仅严重影响用户体验，还经常伴随着恶意扣费、隐私窃取等恶意行为。挖矿与广告产业的发展会有很多相似之处，虽然能够替代了扰人的广告，但是如果不加以控制，在用户不知情的情况下肆意滥用用户设备进行挖矿，造成用户机器过度损耗，甚至损坏。
例如：
a) 卡巴斯基之前发现的Loapi家族，在运行2天后造成电池澎胀变形，手机物理损坏。
b) 趋势曝光的HiddenMiner家族，没有任何节制的持续挖矿，直到设备资源耗尽，并且利用了设备管理器缺陷，造成设备使用故障。

11. 团队研究

360烽火实验室致力于Android病毒分析、移动黑产研究、移动威胁预警、Android漏洞挖掘等移动安全领域以及Android安全生态的深度研究。实验室为360手机卫士、360手机急救箱、360手机助手等提供核心安全数据和顽固木马清除解决方案。同时也为上百家国内外厂商、应用商店等合作伙伴提供移动应用安全检测服务，全方位守护移动安全。在手机挖矿木马的研究上，在今年发布的17年ANDROID恶意软件专题报告中，提到18年威胁趋势预测，恶意挖矿木马愈演愈烈、像挖矿使用的JS脚本语言成为恶意软件新的技术热点。近期团队在从事一些黑产、灰产的研究，比如免流、代刷、撸羊毛产业的研究会陆续放到安全客上，欢迎围观。