挖礦劫持是指未經授權地使用他人的計算機來挖掘加密貨币。黑客要做到這一點,通常是讓受害者點擊電子郵件中的惡意鍊接,把加密貨币挖礦代碼加載到計算機上,或者通過JavaScript代碼感染網站和在線廣告,這些代碼一旦加載到受害者浏覽器上就會自動執行。
無論哪種方式,加密貨币挖掘代碼在後台工作,毫不知情的受害者還是和平常一樣使用他們的計算機。他們可能注意到的唯一迹象是性能下降,或者執行速度變慢了。
為什麼挖礦劫持越來越多
沒有人确切知道通過挖礦劫持挖出了多少加密貨币,但毫無疑問,這種做法十分猖獗。基于浏覽器的挖礦劫持發展非常快。去年十一月,Adguard報告了嵌入在浏覽器内的挖礦劫持增長率為31%。其研究發現,3.3萬個網站運行了加密貨币挖礦腳本。Adguard估計,這些網站每月有10億人次的訪問量。今年二月,BadPacket報告發現了34474個運行Coinhive的網站,這是最流行的JavaScript挖礦程序,也用于合法的加密貨币挖礦活動。
網絡安全解決方案提供商WatchGuard技術公司的威脅分析師MarcLaliberte評論說:“加密貨币挖礦還處于起步階段。還有很大的增長和發展空間。”他指出,Coinhive很容易部署,第一個月就産生了30萬美元的收益。“從那以後,它發展得很快。真得很容易賺錢。”
今年一月份,研究人員發現了Smominru加密貨币挖礦僵屍網絡,它感染了50多萬台機器,主要分布在俄羅斯、印度和中國台灣。僵屍網絡針對Windows服務器來挖掘門羅币(Monero),而網絡安全公司Proofpoint估計,截至一月底,它創造的價值高達360萬美元。
挖礦劫持甚至不需要高超的技術技能。據來自DigitalShadows公司的《欺詐的新前沿——加密貨币淘金熱》報告,暗網上提供的挖礦劫持套件隻需30美元。
挖礦劫持越來越受黑客歡迎的一個簡單原因就是風險很低,而收益不錯。SecBI公司的首席技術官兼聯合創始人AlexVaystikh指出:“黑客們認為挖礦劫持是比勒索軟件更便宜、更有利可圖的替代方案。”他解釋說,使用勒索軟件,一名黑客每感染100台計算機,就需要給三個人付費。而采用挖礦劫持惡意軟件,所有被感染的100台機器都為黑客工作,去挖掘加密貨币。他說:“黑客的收益可能和這三個勒索軟件黑客的收益一樣,而加密貨币挖礦程序會不斷地産生收益。”
被抓住和被發現的風險也遠遠低于使用勒索軟件。加密貨币挖礦代碼偷偷摸摸地運行,在很長一段時間内都有可能不被發現。即使被發現,很難追溯到源頭,受害者也沒有什麼動機去這樣做,因為什麼東西也沒有丢,也沒有什麼被加密。相對于非常流行的比特币,黑客們更喜歡使用門羅币和Zcash這些匿名的加密貨币,因為很難追蹤到他們的非法活動。
挖礦劫持惡意軟件是怎樣工作的
黑客主要有兩種方法來讓受害者的計算機暗中挖掘加密貨币。一種是欺騙受害者把加密貨币挖礦代碼加載到他們的計算機上。這是通過類似于網絡釣魚的策略來完成的:受害者收到一封看似合法的電子郵件,誘騙他們點擊鍊接。該鍊接運行代碼後,把加密貨币挖礦腳本置入到計算機中。當受害者工作時,腳本會在後台運行。
另一種方法是在網站或者廣告上注入一個腳本,并将其傳播到多個網站上。一旦受害者訪問網站,或者被感染的廣告在其浏覽器上彈出來,腳本就會自動執行。受害者的計算機上沒有存儲任何代碼。無論使用哪種方法,代碼都會在受害者的計算機上運行複雜的數學問題,并把結果發送給黑客控制的服務器。
黑客通常同時使用這兩種方法來盡可能增加收益。Vaystikh介紹說:“進行攻擊時,他們還使用老的惡意軟件欺騙技巧把更可靠和更持久的軟件傳播給受害者的計算機,把這種方法作為備用手段。”例如,在為黑客挖掘加密貨币的100台設備中,10%可能從受害者機器上的代碼産生收益,而90%則通過他們的網絡浏覽器産生收益。
與大多數其他類型的惡意軟件不同,挖礦劫持腳本不會損害計算機或者受害者的數據。但他們确實竊取了CPU的處理資源。對于個人用戶來說,計算機性能下降隻是覺得有些煩人而已。被安裝了很多挖礦劫持系統的企業有可能在幫助解決問題方面付出很高的成本,IT部門要花時間來跟蹤性能問題,替換組件或者系統以解決問題。
挖礦劫持實例
挖礦劫持黑客是很聰明的,他們設計出了很多方案來讓其他人的計算機去挖掘加密貨币。大多數并不是什麼新東西;加密貨币挖礦傳播方法通常來源于勒索軟件和廣告軟件等其他類型的惡意軟件所使用的方法。Anomali公司安全策略總監TravisFarral指出:“你會看到惡意軟件作者過去幹的很多傳統的事情。他們并沒有傳播勒索軟件或者特洛伊木馬,而是重新設計,以傳播加密貨币挖礦模塊或者組件。”
以下是一些真實的例子:
流氓員工控制了公司系統
在今年早些時候的EmTech數字會議上,Darktrace講述了一家歐洲銀行客戶的故事,該銀行的服務器上出現了一些不尋常的流量模式。進程在夜間運行得非常緩慢,而銀行的診斷工具沒有發現任何問題。Darktrace發現,有新服務器在那段時間上網——而銀行稱并不存在這些服務器。對數據中心進行物理檢查顯示,一名流氓員工在地闆下面偷偷建立了加密貨币挖礦系統。
通過GitHub服務于加密貨币挖礦黑客
三月份,Avast軟件公司報告說,挖礦劫持黑客使用GitHub作為加密貨币挖礦惡意軟件的主機。他們找到合法的項目,從中創建一個分叉的項目。然後,惡意軟件隐藏在該分叉項目的目錄結構中。使用網絡釣魚方法,挖礦劫持黑客誘使人們下載惡意軟件,例如,提醒更新他們的Flash播放器,或者承諾提供有成人遊戲的網站。
利用rTorrent漏洞
挖礦劫持黑客發現了一個rTorrent錯誤配置漏洞,使得不需要進行XML-RPC通信認證就能夠訪問一些rTorrent客戶端。他們掃描互聯網上暴露的客戶端,然後在這些客戶端上部署門羅币挖礦惡意軟件。F5網絡公司在二月份報告了這個漏洞,并建議rTorrent用戶确保他們的客戶端不接受外部連接。
Facexworm:惡意Chrome擴展程序
這一惡意軟件最初是由卡巴斯基實驗室在2017年發現的,是一個谷歌Chrome浏覽器擴展程序,使用臉書Messenger來感染用戶的計算機。Facexworm一開始隻是傳播廣告軟件。今年早些時候,趨勢科技發現了以加密貨币交易為目标的各種Facexworm,并能傳播加密貨币挖礦代碼。它仍然使用受感染的臉書賬戶來傳播惡意鍊接,但也可以竊取網絡帳戶和證書,這使其能夠把挖礦劫持代碼注入到這些網頁中。
WinstarNssmMiner:焦土政策
5月份,360TotalSecurity發現了一個傳播非常快的加密貨币挖礦惡意軟件,挖礦劫持黑客使用起來非常有效。這款惡意軟件被稱為WinstarNssmMiner,如果誰想删掉它,就會遇到惱人的意外:受害者的計算機會死機。WinstarNssmMiner之所以能夠這樣,是首先啟動svchost.exe進程并向其中注入代碼,然後把衍生進程的屬性設置為CriticalProcess。由于計算機将其視為一個關鍵進程,因此,一旦進程被删除,計算機就會死機。
怎樣防止挖礦劫持
遵循以下步驟,企業可以最大限度地減小被挖礦劫持的風險:
要有被挖礦劫持威脅的安全意識培訓,重點是針對網絡釣魚式地把腳本加載到用戶的計算機上。Laliberte說:“當技術解決方案有可能失敗時,培訓将有助于保護您。”他認為網絡釣魚将繼續是傳播各類惡意軟件的主要方法。
員工培訓對于訪問合法網站導緻的自動執行挖礦劫持惡意軟件幫助不大。Vaystikh說:“由于無法告訴用戶不能訪問哪些網站,因此,挖礦劫持培訓的效果不大。”
在網絡浏覽器上安裝廣告攔截或者反加密貨币挖礦擴展程序。由于挖礦劫持腳本通常通過網絡廣告傳播,因此,安裝廣告攔截器可以有效地阻止它們。一些廣告攔截器,比如AdBlockerPlus,具有檢測加密貨币挖礦腳本的能力。Laliberte建議采用NoCoin和MinerBlock這樣的擴展程序,這些被設計用來檢測并攔截挖礦劫持腳本。
使用能夠檢測已知加密貨币挖礦惡意軟件的端點保護功能。很多端點保護/防病毒軟件供應商已經在産品中加入了加密貨币挖礦惡意軟件監測功能。Farral說:“防病毒是對端點進行保護以阻止加密貨币挖掘的一種好方法。如果是已知的,很有可能會被檢測到。”他補充說,要清醒地知道,加密貨币挖礦惡意軟件作者會不斷改變他們的技術,以避免在端點被檢測到。
保持企業的網絡過濾工具最新。如果發現有網頁正在傳播挖礦劫持腳本,讓用戶一定不要再訪問它。
維護好浏覽器擴展程序。一些攻擊者使用惡意浏覽器擴展程序或者有毒的合法擴展程序來執行加密貨币挖礦腳本。
使用移動設備管理(MDM)解決方案來更好地控制用戶設備上的内容。但是,自帶設備(BYOD)政策對防止非法加密貨币挖礦構成了挑戰。Laliberte說:“MDM可以很好地保護BYOD的安全。”MDM解決方案可以幫助管理用戶設備上的應用程序和擴展程序。MDM解決方案更适用于大企業,小企業往往負擔不起。然而,Laliberte指出,移動設備不像桌面計算機和服務器面臨那麼大的風險。因為移動設備的處理能力較弱,因此,它們對黑客來說并不是很賺錢。
怎樣檢測挖礦劫持惡意軟件
像勒索軟件一樣,盡管企業盡了最大努力去阻止它,挖礦劫持惡意軟件還是會影響你的企業。可能很難檢測到它,特别是如果隻有少數系統被感染的情況。不要指望現有的端點保護工具來阻止挖礦劫持惡意軟件。Laliberte說:“基于簽名的檢測工具發現不了加密貨币挖礦代碼。桌面防病毒工具也看不到它們。”以下是可行的方法:
訓練企業的幫助台以尋找加密貨币挖礦的迹象。SecBI公司的Vaystikh說,有時第一個迹象是幫助台不斷地抱怨計算機性能下降。這就應該警醒起來,進一步開展調查。
Laliberte說,幫助台應該注意的其他信号則是系統過熱,這可能會導緻CPU和散熱風扇出現故障。他說:“CPU使用過度産生的熱量會導緻設備損壞,縮短了設備的生命周期。”尤其是像平闆電腦和智能手機這樣比較弱的移動設備。
部署網絡監測解決方案。Vaystikh認為,在企業網絡中,比在家裡更容易發現挖礦劫持惡意軟件,因為大多數消費者終端解決方案都檢測不到它。通過網絡監控解決方案很容易檢測到挖礦劫持惡意軟件,大多數企業組織都有網絡監控工具。
然而,擁有網絡監測工具和數據的企業卻很少擁有分析這類信息以準确進行檢測的工具和能力。例如,SecBI開發了一種人工智能解決方案來分析網絡數據并檢測挖礦劫持惡意軟件和其他具體的威脅。
Laliberte也認為網絡監測是發現加密貨币挖礦活動的最佳選擇。他說:“通過監視網絡周界來檢查所有的網絡流量,這樣能夠更好地發現加密貨币挖礦惡意軟件。”很多監測解決方案能夠把這類活動追蹤到具體用戶,從而可以發現哪些設備受到了影響。
Farral說:“如果你在一台服務器上很好地設置了出口過濾,監視出站連接來自哪裡,這就能夠比較好地檢測到加密貨币挖礦惡意軟件。”然而,他警告說,加密貨币挖礦惡意軟件作者能夠編寫他們的惡意軟件來避開這種探測方法。
監測你自己的網站是否有加密貨币挖礦代碼。Farral警告說,挖礦劫持黑客正在尋找方法把JavaScript代碼放到網絡服務器上。他說:“服務器本身不是目标,但任何訪問該網站的人都有被感染的風險。”他建議經常性地檢查網絡服務器上的文件變化,或者對頁面本身的更改。
密切注意挖礦劫持的趨勢。傳播方法和加密貨币挖礦代碼本身都在不斷地發展。Farral說,了解軟件和行為可以幫助您發現挖礦劫持惡意軟件。他說:“聰明的企業會時刻關注正在發生的事情。如果你了解這類傳播機制,就知道某個特定的漏洞利用工具包正在傳播加密貨币挖礦惡意軟件。對漏洞利用工具包的保護也就保護了不受加密貨币挖礦惡意軟件的感染。”
怎樣應對挖礦劫持攻擊
殺死并阻止網站傳播的腳本。對于浏覽器内的JavaScript攻擊,一旦探測到加密貨币挖礦行為,解決方案就很簡單:殺死運行腳本的浏覽器标簽。IT部門應該注意腳本源代碼的網站URL,并更新公司的網絡過濾器來攔截它。考慮部署反加密貨币挖礦工具來幫助防止今後的攻擊。
更新并清除浏覽器擴展程序。Laliberte說:“如果擴展程序感染了浏覽器,即使關閉标簽也無濟于事。更新所有的擴展程序并删除那些不需要的或者已經被感染的。”
學習和适應。利用經驗來更好地了解攻擊者是怎樣危害你的系統的。更新你的用戶、幫助台和IT的培訓,這樣,他們能夠更好地發現挖礦劫持企圖并作出相應的反應。
MichaelNadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯,幫助企業充分發揮其ERP系統的優勢。
原文網址https://www.csoonline/article/3253572/internet/what-is-cryptojacking-howto-prevent-detect-andrecover-from-it.html