加密劫持是未經授權使用他人的計算機來挖掘加密貨幣。黑客可以通過使受害者點擊電子郵件中的惡意鏈接而在計算機上加載加密挖礦代碼，或者通過之前加載到受害者瀏覽器中的JavaScript代碼自動運行來感染網站或在線廣告，以達到此目的。

 

無論哪種方式，加密挖礦代碼都會在毫無戒心的受害者正常使用計算機時在后臺運行。受害者可能會注意到的唯一跡象是電腦性能降低或執行命令滯后。

 

 

沒有人能確切知道通過加密劫持挖掘了多少加密貨幣，但是毫無疑問，這種做法很猖獗。起初，基于瀏覽器的加密劫持發展得很快，但似乎正在逐漸減少，這可能是由于加密貨幣的波動性。

 

2017年11月，Adguard公司報告稱瀏覽器內加密劫持的增長率為31%。其研究發現，有33,000個網站在運行加密挖掘腳本。Adguard公司估計，這些站點每月的總訪問量為10億。

 

在2018年2月，“Bad Packets Report”報告發現了34,474個網站在運行Coinhive，這是一種最流行的JavaScript挖礦軟件，也用于合法的加密挖礦活動。在2018年7月，Check Point Software Technologies軟件技術公司報告說，其發現的十大惡意軟件中有四個是加密挖礦軟件，排名前兩位的是：Coinhive和Cryptoloot。

 

但是，Positive Technology公司的“Cyber??security Threatscape Q1 2019”報告顯示，加密挖礦目前僅占所有攻擊行為的7%，低于2018年初的23%。該報告表明，網絡犯罪分子已將更多的精力轉移到勒索軟件上，這被認為更有利可圖。

 

“加密挖礦技術還處于起步階段。還有很多的成長和進化空間，”網絡安全解決方案提供商WatchGuard Technologies的網絡威脅分析師馬克•拉利伯特(Marc Laliberte)說。他指出，Coinhive易于部署，并且在第一個月就賺了30萬美元。 “從那時起，它已經增長了很多。真是輕松賺錢。”

 

在2018年1月，研究人員發現了Smominru加密挖礦僵尸網絡，該僵尸網絡感染了超過50萬臺機器，主要是在俄羅斯、印度和臺灣。該僵尸網絡針對Windows服務器來挖掘Monero，據網絡安全公司Proofpoint估計，截至1月底，該僵尸網絡已經產生了360萬美元的價值。

 

加密劫持甚至不需要很高的技術技能。根據Digital Shadows公司的“新的淘金熱：加密貨幣是詐騙的新領域”報告稱，在暗網中的加密劫持工具包僅售30美元。

 

加密劫持越來越受到黑客歡迎的一個很簡單的原因是，賺錢更多，風險更小。“黑客將加密劫持視為勒索軟件的一種更廉價、更賺錢的替代品，”SecBI公司的首席技術官兼聯合創始人亞歷克斯•韋斯蒂克(Alex Vaystikh)說。他解釋說，借助勒索軟件，黑客可能會從每100臺受感染的計算機中得到3個人的付費。借助加密劫持，所有這100臺被感染的計算機都可以幫助黑客挖掘加密貨幣。他說：“即使(黑客)可能獲得的收益金額與被感染勒索軟件中這三個人所支付的金額相同，但加密挖礦會不斷產生收入。”

 

與勒索軟件相比，被抓住和發現的風險也要低得多。加密挖礦代碼會秘密運行，很長一段時間都不會被發現。一旦被發現，也很難追溯到源頭，而且受害者沒有動力去追根溯源，因為沒有任何東西被竊取或加密。相對于更流行的比特幣，黑客更傾向于選擇Monero和Zcash這樣的匿名加密貨幣，因為更難追溯到他們的非法活動。

 

 

黑客有兩種主要方法來讓受害者的計算機秘密地挖掘加密貨幣。一種方法是誘騙受害者將加密挖礦代碼加載到他們的計算機上。這是通過類似網絡釣魚的策略來實現的：受害者收到一封看似合法的電子郵件，誘導他們點擊一個鏈接。該鏈接會運行代碼，將加密挖礦腳本放置在計算機中。然后，該腳本會在受害者工作時在后臺運行。

 

另一種方法是在網站上注入一個腳本，或在廣告中注入一個腳本，然后投放到多個網站上。一旦受害者訪問該網站，或受感染的廣告在其瀏覽器中彈出，該腳本就會自動執行。受害者的計算機上沒有存儲任何代碼。無論使用哪種方法，該代碼都會在受害者的計算機上運行復雜的數學問題，并將結果發送到黑客控制的服務器上。

 

黑客通常會同時使用這兩種方法來使其回報最大化。韋斯蒂克說：“攻擊行為利用舊的惡意軟件欺騙手段(向受害者的計算機中)植入更可靠、更持久的軟件，以此作為退路”。例如，在100臺為黑客挖掘加密貨幣的設備中，有10%可能是通過受害者計算機上的代碼來產生收入的，而90%則是通過他們的網絡瀏覽器來產生收入的。

 

與大多數其他類型的惡意軟件不同，加密劫持腳本不會損壞計算機或受害者的數據。但這些腳本確實會竊取CPU處理資源。對于個人用戶，較慢的計算機性能可能只是一個煩惱。但對于許多系統都被加密劫持的組織來說，這可能會導致服務臺和IT工作時間方面的實際成本，這些花費的時間是用于跟蹤性能問題以及更換組件或系統，以期解決問題。

 

 

在今年早些時候的EmTech Digital會議上，Darktrace公司講述了一家歐洲銀行客戶的故事，該客戶的服務器上出現一些異常的流量模式。夜間進程運行緩慢，但銀行的診斷工具未發現任何問題。Darktrace公司發現這段時間內有新服務器上線，而該銀行稱這些服務器不存在。對數據中心進行的實地檢查發現，一個流氓員工在地板下安裝了一個加密挖礦系統。

 

 

3月，Avast Software公司報告稱，加密劫持者正在使用GitHub作為加密挖礦惡意軟件的主機。他們找到一些合法項目，從中創建分支項目。然后，該惡意軟件將隱藏在該分支項目的目錄結構中。使用網絡釣魚方案，加密劫持者會通過一些手段來引誘人們下載該惡意軟件，例如通過發出警告來更新其Flash播放器或承諾提供成人內容游戲網站。

 

 

加密劫持者發現了一個rTorrent錯誤配置漏洞，該漏洞使某些rTorrent客戶端無需進行XML-RPC通信身份驗證即可訪問。他們在互聯網上掃描這些暴露的客戶端，然后在其上部署Monero加密挖礦軟件。F5 Networks公司在2月報告了此漏洞，并建議rTorrent用戶應確保其客戶端不接受外部連接。

 

 

該惡意軟件由卡巴斯基實驗室(Kaspersky Labs)于2017年首次發現，是一個谷歌Chrome瀏覽器的擴展插件，它利用Facebook Messenger來感染用戶的計算機。最初，Facexworm是發送廣告軟件。今年早些時候，趨勢科技公司(Trend Micro)發現了多種針對加密貨幣交易所的Facexworm，并且該惡意程序能夠發送加密挖礦代碼。它仍然使用受感染的Facebook帳戶來發送惡意鏈接，但還可以竊取Web帳戶和憑據，從而可以將加密劫持代碼注入這些網頁。

 

 

5月，360 Total Security軟件發現了一種加密挖礦軟件，該軟件可迅速傳播，并經證明對加密劫持者有效。這款被稱為WinstarNssmMiner的惡意軟件，還會令那些試圖刪除它的人感到厭惡和吃驚：它會使受害者的計算機死機。 WinstarNssmMiner首先會啟動svchost.exe進程，并向其中注入代碼，然后將生成的進程的屬性設置為CriticalProcess，以此導致計算機死機。由于計算機視其為一個關鍵進程，因此刪除該進程后便會死機。

 

 

加密劫持已經變得非常普遍，以至于黑客正在設計他們的惡意軟件，以便在他們感染的系統上發現并消滅已經在運行的加密挖礦軟件。CoinMiner就是一個例子。

 

根據科摩多公司的說法，CoinMiner會檢查Windows系統上是否存在AMDDriver64進程。CoinMiner惡意軟件中有兩個列表，即$malwares和$malwares2，其中包含其他加密挖礦軟件的部分已知進程名稱。然后它會終止這些進程。

 

 

Bad Packets公司于去年9月的報告稱，其已經檢測到針對MikroTik路由器的80多個加密劫持活動，并提供了數十萬個設備受到入侵的證據。這些劫持活動利用了一個已知漏洞(CVE-2018-14847)，MikroTik公司為此漏洞已提供了補丁。但是，并非所有路由器用戶都已安裝補丁。由于MikroTik公司生產電信級路由器，因此加密劫持者可以大范圍地訪問可能被感染的系統。

 

 

請按照以下步驟操作，以最大程度地降低你的組織遭受加密劫持的風險：

 

將加密劫持威脅納入到你的安全意識培訓中，重點在于防范利用網絡釣魚類型方式將腳本加載到用戶計算機上。“當技術解決方案可能失敗時，培訓將有助于保護你。”拉利伯特說。他認為網絡釣魚仍將是傳播各類惡意軟件的主要方法。

 

員工培訓不會幫助那些因訪問合法網站而自動執行的加密劫持。韋斯蒂克說：“對于加密劫持來說，培訓的效果并不太好，因為你無法告訴用戶不要訪問哪些網站。”

 

在網絡瀏覽器上安裝廣告攔截或反加密挖礦擴展插件。由于加密劫持腳本通常是通過網絡廣告發送的，因此安裝廣告攔截器可能是阻止它的有效方法。某些廣告攔截器(如Ad Blocker Plus)具有檢測加密挖礦腳本的功能。拉利伯特建議使用諸如No Coin和MinerBlock之類的擴展插件，這些插件旨在檢測和阻止加密挖礦腳本。

 

使用端點保護功能，能夠檢測已知的加密挖礦軟件。許多端點保護/防病毒軟件供應商已在其產品中添加了加密挖礦軟件的檢測功能。法拉爾說：“防病毒軟件是端點上用來防止加密挖礦的好方法之一。如果它是一種已知的挖礦軟件，就很有可能被檢測到”。他補充說，請注意，加密挖礦軟件的作者在不斷改變他們的技術，以避免在終端被發現。

 

讓你的Web過濾工具保持最新版本。如果你發現某一網頁在發送加密劫持腳本，請確保阻止你的用戶再次訪問該網頁。

 

應維護瀏覽器擴展插件。一些攻擊者使用惡意瀏覽器擴展插件或使合法擴展插件中毒來執行加密挖礦腳本。

 

使用移動設備管理(MDM)解決方案可更好地控制用戶設備上的內容。自帶設備(BYOD)政策對防止非法加密挖礦提出了挑戰。拉利伯特說：“移動設備管理可以使自帶設備更加安全”。 移動設備管理解決方案可以幫助管理用戶設備上的應用程序和擴展插件。移動設備管理解決方案傾向于面向大型企業，而小型企業通常買不起。不過，拉利伯特指出，移動設備的風險不像臺式計算機和服務器那樣大。由于移動設備往往處理能力較弱，因此它們對于黑客而言并不那么有利可圖。

 

以上最佳實踐都不是萬無一失的。認識到這一點，以及加密劫持正日益猖獗，網絡風險解決方案提供商Coalition目前提供了服務欺詐保險。根據一份新聞稿，該保險將補償組織因受欺詐性使用商業服務(包括加密挖礦)而造成的直接損失。

 

 

與勒索軟件一樣，盡管你盡了最大的努力，但加密劫持仍會影響你的組織。檢測加密劫持可能會很困難，尤其是如果只有少數系統受到入侵時。不要指望現有的端點保護工具來阻止加密劫持。拉利伯特說：“加密挖礦代碼可以躲避基于簽名的檢測工具。”“臺式機殺毒工具看不到這些挖礦代碼。”以下是一些有效方法：

 

培訓你的服務臺人員去查找一些加密挖礦的跡象。SecBI公司的韋斯蒂克說，有時候第一個跡象是服務臺出現對計算機性能下降的抱怨激增。這應該引起警覺，并進行進一步調查。

 

拉利伯特說，服務臺人員應查找的其他跡象可能是系統過熱，這可能導致CPU或冷卻風扇故障。他說：“(過度使用CPU)產生的熱量會造成損害，并會縮短設備的使用周期”。對于平板電腦和智能手機等輕薄移動設備尤其如此。

 

部署網絡監控解決方案。韋斯蒂克認為，在企業網絡中比在家中更容易檢測到加密劫持，因為大多數消費者端點解決方案都無法檢測到。通過網絡監控解決方案很容易檢測到加密劫持，而且大多數公司組織都配有網絡監控工具。

 

然而，配備網絡監控工具和數據監控工具的組織很少有工具和能力來分析這些信息以進行準確的檢測。例如，SecBI公司開發了一種人工智能解決方案，以分析網絡數據，并檢測加密劫持和其他特定的威脅。

 

拉利伯特同意，網絡監控是檢測加密挖礦活動的最佳方法。他說：“可審查所有Web流量的網絡周邊監控更有可能發現加密挖礦軟件”。許多監控解決方案會將該活動追蹤到單個用戶，以便你可找到哪些設備受到影響。

 

法拉爾說：“如果你在所監控的出站連接啟動的服務器上配有良好的出口過濾功能，則可以很好地檢測到(加密挖礦惡意軟件)”。但他警告說，加密挖礦軟件的作者能夠編寫其惡意軟件來避免這種檢測方法。

 

監控你自己網站上的加密挖礦代碼。法拉爾警告說，加密劫持者正在尋找方法將Javascript代碼放置在Web服務器上。他說：“服務器本身不是目標，但任何訪問該網站的人都(有被感染的風險)”。他建議定期監控Web服務器上的文件更改或頁面本身的更改。

 

了解加密劫持的最新發展。發送方法和加密挖礦代碼本身也在不斷發展。法拉爾說，了解軟件和行為可以幫助你檢測加密劫持。“一個精明的組織會及時了解所發生的最新情況。如果你了解這些類型的惡意軟件的發送機制，你就會知道這個特定的漏洞利用工具包正在發送一些加密的東西。預防這些漏洞利用工具包將會防止你受到加密挖礦惡意軟件的感染，”他說。

 

 

終止并阻止網站發送的腳本。對于瀏覽器內JavaScript攻擊，一旦檢測到加密挖礦，其解決方案就很簡單：終止瀏覽器標簽運行腳本。IT人員應記下腳本來源的網站URL，并更新公司的網絡過濾器以將其阻止。考慮部署反加密挖礦工具以幫助防止將來的攻擊。

 

更新和清除瀏覽器擴展插件。“如果某一擴展插件感染了瀏覽器，關閉標簽將無濟于事，”拉利伯特說。“更新所有擴展插件，并刪除不需要的或已被感染的擴展插件。”

 

學習和適應。利用這些經驗可以更好地了解攻擊者如何破壞你的系統。更新你的用戶、服務臺和IT培訓內容，以便他們能夠更好地識別加密劫持行為，并做出相應的反應。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。