??? 

作者丨徐杰承

【51CTO.com原創(chuàng)稿件】彼得·帕克并沒有進行過加密貨幣罪犯，但蜘蛛俠這個名字正迅速與加密貨幣犯罪產(chǎn)生聯(lián)系。近日，某網(wǎng)絡(luò)安全軟件提供商發(fā)現(xiàn)了一種以最新蜘蛛俠系列電影《蜘蛛俠：英雄無歸》為幌子入侵客戶計算機的新形式惡意軟件。

盜版《蜘蛛俠》成為病毒宿主

2021 年 12 月 17 日，《蜘蛛俠：英雄無歸》在北美等部分地區(qū)上映。因版權(quán)等原因，本片并未第一時間在迪士尼等流媒體渠道上線。盡管如此，一些盜攝資源還是很快流出，甚至為自己打上了 720P/1080P MKV 高清的標(biāo)簽。

作為一段時間以來最受關(guān)注的電影，《蜘蛛俠：英雄無歸》無疑為網(wǎng)絡(luò)犯罪分子提供了一次與全球數(shù)百萬潛在目標(biāo)建立聯(lián)系，并入侵其計算機的絕佳作案機會。如今，黑客只需要向受害者承諾最新電影的觀看權(quán)限，并靜待對方下載安裝已被掛馬或捆綁惡意軟件的《蜘蛛俠：英雄無歸》種子資源，即可輕松獲取對受害者計算機的完全訪問權(quán)限。

在這場風(fēng)波之中傳播與影響最為廣泛的便是與加密貨幣挖掘相關(guān)的惡意軟件。黑客通過控制受害者服務(wù)器進行加密貨幣的挖礦，以此牟取利益。這種犯罪行為會給受害者帶來極大的損失：

• 主機長時間執(zhí)行高性能計算，浪費網(wǎng)絡(luò)帶寬，大量占用 CPU 和內(nèi)存，導(dǎo)致系統(tǒng)無法正常處理用戶請求或任務(wù)。
• 增加電力消耗，加快 CPU、內(nèi)存等硬件老化速度。
• 挖礦軟件被植入受害主機，表明主機很可能已被黑客控制，現(xiàn)有的安全防護體系已經(jīng)部分甚至完全失效，這還將帶來以下風(fēng)險：

a. 黑客通過挖礦程序竊取機密信息，如機密文件、關(guān)鍵資產(chǎn)的用戶名和密碼等，導(dǎo)致企業(yè)或個人遭受更進一步的資產(chǎn)損失。

b. 黑客控制主機作為“肉雞”攻擊互聯(lián)網(wǎng)上的其他單位，違反網(wǎng)絡(luò)安全法，遭致網(wǎng)信辦、網(wǎng)安等監(jiān)管單位的通報處罰。

c. 黑客利用已經(jīng)控制的機器，作為繼續(xù)對內(nèi)網(wǎng)滲透的跳板，進行更嚴(yán)重的網(wǎng)絡(luò)安全攻擊。

隨著人們將越來越多的時間花費在網(wǎng)上，網(wǎng)絡(luò)攻擊事件的發(fā)生也愈發(fā)頻繁。僅 2021 年，世界范圍內(nèi)就報告了約 7.14 億次網(wǎng)絡(luò)攻擊未遂事件，相比 2020 年增長了 134%。毫無疑問，在這次蜘蛛俠事件中，犯罪分子成功的找到了獲取受害者的最簡單方法，那就是使用正確的誘餌。

雖然大多數(shù)人都知道下載未知文件會存在風(fēng)險，但對于因種種原因而無法進入影院觀看電影的蜘蛛俠粉絲來說，這是他們唯一實現(xiàn)夢想的方式。何況犯罪分子向來擅長使這些文件看起來合法，在蜘蛛俠戰(zhàn)衣與看似無害的文件信息的雙重偽裝下，病毒文件搖身一變成為了人見人愛的免費資源。

據(jù)悉，該病毒文件可能源自一個俄語視頻交換網(wǎng)站。文件主體由.NET 撰寫，但并未獲得簽章，且在被披露之前都沒有被上傳到 Virus Total 上。研究團隊表示，該病毒文件早期未引發(fā)用戶注意的原因之一是它所創(chuàng)建的文件使用知名且合法的名稱，例如該軟件宣稱其所創(chuàng)建并植入用戶系統(tǒng)的文件名為 svchost.exe 的挖礦文件由 Google 所提供。

原因之二，是該病毒具有較為完善的躲避檢測的方法。分析顯示，該文件在執(zhí)行后，會立即創(chuàng)建調(diào)度作業(yè)名為 services 注冊機碼，以保證自身持久性，之后它將刪除用戶系統(tǒng)中的合法文件，并創(chuàng)建名為 sihost64.exe 和 svchost.exe 文件進行冒充，其中 sihost64.exe 為 watchdog 進程，用于監(jiān)控程序運行，而 svchost.exe 即為挖礦文件。同時，該程序還能夠通過兩個 powershell 命令，向 Microsoft Defender 的例外清單加入以下擴展排除項：忽略用戶配置文件下的所有文件夾、系統(tǒng)驅(qū)動器、以及擴展名為".exe"或".dll"的所有文件。以此躲過微軟的殺毒工具與系統(tǒng)管理器的偵測。

???

起初，遭到入侵的計算機并不會出現(xiàn)很大變化，但隨著挖礦程序不斷消耗被入侵計算機的 CPU，最終將導(dǎo)致計算機系統(tǒng)的運行處理能力受到不可逆的破壞。此外，由于需要額外消耗大量電力維持加密貨幣挖掘計算，因此用戶的另一項損失將會出現(xiàn)在高額的電費賬單之中。

如何防范

針對本次利用蜘蛛俠電影進行傳播的惡意軟件，研究團隊給出了以下防范措施：用戶在進行資源文件下載前，應(yīng)先嘗試收集有關(guān)該文件的信息，并在雙擊文件前檢查文件的擴展名。以此次事件為例，犯罪人員為病毒文件命名為“spiderman_no_wayhome.torrent.exe”，當(dāng)用戶直接查看該文件時，文件真正的擴展名“.exe”通常會因為文件名過長而被隱藏顯示，這使得用戶很容易將“.torrent”視作文件的擴展名并將該文件當(dāng)做合規(guī)的 BT 種子文件進行下載。除此之外，在文件的下載安裝過程中，也應(yīng)始終檢查文件擴展名是否與預(yù)期文件匹配，一旦出現(xiàn)異常應(yīng)及時停止下載安裝行為。

對已經(jīng)中招的用戶而言，要阻止病毒對計算機的進一步破壞，則需要通過異常進程確認(rèn)病毒位置，接著終止監(jiān)管進程、定時任務(wù)與病毒進程并徹底刪除病毒文件。執(zhí)行完上述操作后，重啟服務(wù)器觀察 CPU 占用情況，如仍存在可疑進程則重復(fù)上述步驟，如無其他異常則進入最后一步——利用工具軟件檢查系統(tǒng)完整性，如病毒文件已刪除或修改了系統(tǒng)中的原有文件，則需進行對系統(tǒng)文件的修復(fù)或重裝。

研究團隊表示，通過熱門電影或者媒體資源傳播惡意軟件的做法已經(jīng)司空見慣。建議用戶在從非官方來源下載任何類型的內(nèi)容時都要格外謹(jǐn)慎。無論是來自未知發(fā)件人的電子郵件中的文檔，還是來自可疑下載網(wǎng)站的破解程序，亦或是來自某些流媒體的未知資源文件，都有可能成為不法分子入侵你計算機的“快速通道”。

在人們將越來越多的娛樂與消費場景遷移到互聯(lián)網(wǎng)時，不法分子也在更加積極地尋找和改進他們的犯罪手段。無論是幾周前的 Log4j 漏洞，還是如今的蜘蛛俠挖礦病毒，無疑都在為廣大互聯(lián)網(wǎng)企業(yè)與個人用戶敲響警鐘。

隨著社會信息化、數(shù)字化發(fā)展的不斷深入，網(wǎng)絡(luò)安全與數(shù)據(jù)安全的重要性愈發(fā)凸顯。2021 年相繼頒布的《數(shù)據(jù)安全法》與《個人信息保護法》，對數(shù)據(jù)安全與個人數(shù)據(jù)保護實施了更加嚴(yán)格的規(guī)定。落實企業(yè)數(shù)據(jù)安全合規(guī)，做到安全發(fā)展并重，是如今的互聯(lián)網(wǎng)企業(yè)所面臨的共同挑戰(zhàn)。

【51CTO原創(chuàng)稿件，合作站點轉(zhuǎn)載請注明原文作者和出處為51CTO.com】

???

為幫助各企業(yè)進一步了解與落實《數(shù)據(jù)安全法》與《個人信息保護法》，我們在 WOT 全球技術(shù)創(chuàng)新大會中特別設(shè)置了“數(shù)據(jù)安全的治與理”專題。屆時，數(shù)位數(shù)據(jù)安全與個人信息保護領(lǐng)域權(quán)威專家將圍繞兩部關(guān)鍵立法，從政策和技術(shù)兩方面展開，深入探討企業(yè)數(shù)據(jù)安全合規(guī)所面臨的困境以及相應(yīng)的解決措施。

???

感興趣的同學(xué)可點擊閱讀原文或掃下圖二維碼了解更多參會信息。

目前大會 6 折購票中，現(xiàn)在購票立減 2320 元，團購還有更多優(yōu)惠！有任何問題歡迎聯(lián)系票務(wù)小姐姐秋秋：15600226809（電話同微信）

???