一、问题:盗版软件成恶意程序传播新温床 据国际网络安全公司Trellix近期发布的研究报告,一批经过定制改造的XMRig挖矿恶意程序正借助盗版办公软件安装包在网络上扩散。攻击者将恶意程序嵌入伪装成正版微软Office及金山WPS的破解安装包,诱导用户自行下载并运行,从而实现对设备的渗透与控制。 XMRig原本是一款开源加密货币挖矿工具,此次被不法分子深度改造后,隐蔽性与持久性明显增强。受害者往往在不知情的情况下被持续占用计算资源,为攻击者挖取门罗币等加密货币;而设备性能异常下降,常常是用户发现问题的唯一信号。 二、原因:多重技术手段叠加,攻击链条环环相扣 该恶意程序危害性较强,关键在于攻击者对技术链路进行了系统化设计。 在伪装机制上,控制模块被伪装为Windows核心进程Explorer.exe,使其在任务管理器中不易被普通用户识别。一旦用户手动结束挖矿进程,控制模块会立即重新拉起对应的组件,形成自我恢复闭环,显著提高人工清除难度。 在权限获取上,程序会在受感染设备中加载带有已知漏洞的驱动文件WinRing0x64.sys(1.2.0版本)。该版本存在CVE-2020-14979漏洞,攻击者可借助特定接口向系统内核发送指令,从而获取最高系统权限,进而持续监控并调整设备运行参数,以提升挖矿效率。 在干扰机制上,当挖矿进程多次重启失败时,控制程序甚至会主动终止系统真正的Explorer.exe进程,导致桌面与任务栏突然消失。用户通常会选择重新登录或重启系统,而此操作反而给恶意程序提供了重新注入并恢复运行的时间窗口,形成“反清除”设计。 三、影响:蠕虫式扩散能力令威胁边界大幅延伸 与常见挖矿程序相比,此次变种最值得警惕的是其具备类似蠕虫的自传播能力。当受感染设备检测到USB移动存储设备接入时,恶意程序会自动将自身复制到该存储设备,并创建伪装过的快捷方式文件,诱导其他用户点击运行。 这意味着,即使设备处于断网状态,恶意程序仍可能借助物理介质向外扩散,绕开网络隔离。在企业、机关、学校等频繁共享移动存储设备的环境中,这种传播方式风险更高,一旦进入内网,影响范围可能迅速扩大。 四、对策:多层防护并举,从源头堵塞风险入口 针对上述威胁,安全专业人士建议从以下层面加强防范。 首先,从源头避免使用来源不明的盗版软件。此类软件不仅存在版权风险,也是恶意程序常见的传播载体,应尽量通过官方渠道获取正版软件与授权。 其次,及时更新操作系统及驱动程序,修补已知漏洞。此次攻击利用的CVE-2020-14979漏洞早已公开,按期更新可有效规避这类“已知风险”。 此外,企业与机构应加强对移动存储设备的管理,限制未经授权的外部设备接入,并部署具备行为检测能力的终端安全防护系统,用于识别异常进程行为与非法驱动加载。 五、前景:网络安全威胁持续演进,防护体系亟待升级 从更宏观的角度看,此次事件反映出网络威胁的若干趋势:攻击者越来越倾向于把恶意程序与用户常用软件捆绑,利用对常见工具的信任实施渗透;同时,开源工具被滥用,也降低了攻击门槛并提升了攻击效率。 随着加密货币市场持续活跃,以算力劫持为目的的挖矿类恶意程序预计仍将保持较高活跃度。要应对此类威胁,仍需在技术防护、用户教育与法律监管三个维度形成合力。
此次事件再次提醒,盗版软件往往伴随安全风险。在数字化环境下,用户应坚持使用正版软件、及时更新系统——并养成良好的使用习惯——以降低恶意程序入侵的概率。另外,主管部门与企业也应加强协作,完善终端与内网防护措施,提升整体安全水平。