加密劫持的定義
加密劫持是未經(jīng)授權(quán)使用他人的計(jì)算機(jī)來(lái)挖掘加密貨幣。黑客可以通過(guò)使受害者點(diǎn)擊電子郵件中的惡意鏈接而在計(jì)算機(jī)上加載加密挖礦代碼,或者通過(guò)之前加載到受害者瀏覽器中的JavaScript代碼自動(dòng)運(yùn)行來(lái)感染網(wǎng)站或在線廣告,以達(dá)到此目的。
無(wú)論哪種方式,加密挖礦代碼都會(huì)在毫無(wú)戒心的受害者正常使用計(jì)算機(jī)時(shí)在后臺(tái)運(yùn)行。受害者可能會(huì)注意到的唯一跡象是電腦性能降低或執(zhí)行命令滯后。
為什么加密劫持如此流行
沒(méi)有人能確切知道通過(guò)加密劫持挖掘了多少加密貨幣,但是毫無(wú)疑問(wèn),這種做法很猖獗。起初,基于瀏覽器的加密劫持發(fā)展得很快,但似乎正在逐漸減少,這可能是由于加密貨幣的波動(dòng)性。
2017年11月,Adguard公司報(bào)告稱瀏覽器內(nèi)加密劫持的增長(zhǎng)率為31%。其研究發(fā)現(xiàn),有33,000個(gè)網(wǎng)站在運(yùn)行加密挖掘腳本。Adguard公司估計(jì),這些站點(diǎn)每月的總訪問(wèn)量為10億。
在2018年2月,“Bad Packets Report”報(bào)告發(fā)現(xiàn)了34,474個(gè)網(wǎng)站在運(yùn)行Coinhive,這是一種最流行的JavaScript挖礦軟件,也用于合法的加密挖礦活動(dòng)。在2018年7月,Check Point Software Technologies軟件技術(shù)公司報(bào)告說(shuō),其發(fā)現(xiàn)的十大惡意軟件中有四個(gè)是加密挖礦軟件,排名前兩位的是:Coinhive和Cryptoloot。
但是,Positive Technology公司的“Cyber??security Threatscape Q1 2019”報(bào)告顯示,加密挖礦目前僅占所有攻擊行為的7%,低于2018年初的23%。該報(bào)告表明,網(wǎng)絡(luò)犯罪分子已將更多的精力轉(zhuǎn)移到勒索軟件上,這被認(rèn)為更有利可圖。
“加密挖礦技術(shù)還處于起步階段。還有很多的成長(zhǎng)和進(jìn)化空間,”網(wǎng)絡(luò)安全解決方案提供商WatchGuard Technologies的網(wǎng)絡(luò)威脅分析師馬克•拉利伯特(Marc Laliberte)說(shuō)。他指出,Coinhive易于部署,并且在第一個(gè)月就賺了30萬(wàn)美元。 “從那時(shí)起,它已經(jīng)增長(zhǎng)了很多。真是輕松賺錢。”
在2018年1月,研究人員發(fā)現(xiàn)了Smominru加密挖礦僵尸網(wǎng)絡(luò),該僵尸網(wǎng)絡(luò)感染了超過(guò)50萬(wàn)臺(tái)機(jī)器,主要是在俄羅斯、印度和臺(tái)灣。該僵尸網(wǎng)絡(luò)針對(duì)Windows服務(wù)器來(lái)挖掘Monero,據(jù)網(wǎng)絡(luò)安全公司Proofpoint估計(jì),截至1月底,該僵尸網(wǎng)絡(luò)已經(jīng)產(chǎn)生了360萬(wàn)美元的價(jià)值。
加密劫持甚至不需要很高的技術(shù)技能。根據(jù)Digital Shadows公司的“新的淘金熱:加密貨幣是詐騙的新領(lǐng)域”報(bào)告稱,在暗網(wǎng)中的加密劫持工具包僅售30美元。
加密劫持越來(lái)越受到黑客歡迎的一個(gè)很簡(jiǎn)單的原因是,賺錢更多,風(fēng)險(xiǎn)更小。“黑客將加密劫持視為勒索軟件的一種更廉價(jià)、更賺錢的替代品,”SecBI公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人亞歷克斯•韋斯蒂克(Alex Vaystikh)說(shuō)。他解釋說(shuō),借助勒索軟件,黑客可能會(huì)從每100臺(tái)受感染的計(jì)算機(jī)中得到3個(gè)人的付費(fèi)。借助加密劫持,所有這100臺(tái)被感染的計(jì)算機(jī)都可以幫助黑客挖掘加密貨幣。他說(shuō):“即使(黑客)可能獲得的收益金額與被感染勒索軟件中這三個(gè)人所支付的金額相同,但加密挖礦會(huì)不斷產(chǎn)生收入。”
與勒索軟件相比,被抓住和發(fā)現(xiàn)的風(fēng)險(xiǎn)也要低得多。加密挖礦代碼會(huì)秘密運(yùn)行,很長(zhǎng)一段時(shí)間都不會(huì)被發(fā)現(xiàn)。一旦被發(fā)現(xiàn),也很難追溯到源頭,而且受害者沒(méi)有動(dòng)力去追根溯源,因?yàn)闆](méi)有任何東西被竊取或加密。相對(duì)于更流行的比特幣,黑客更傾向于選擇Monero和Zcash這樣的匿名加密貨幣,因?yàn)楦y追溯到他們的非法活動(dòng)。
加密劫持的工作原理
黑客有兩種主要方法來(lái)讓受害者的計(jì)算機(jī)秘密地挖掘加密貨幣。一種方法是誘騙受害者將加密挖礦代碼加載到他們的計(jì)算機(jī)上。這是通過(guò)類似網(wǎng)絡(luò)釣魚的策略來(lái)實(shí)現(xiàn)的:受害者收到一封看似合法的電子郵件,誘導(dǎo)他們點(diǎn)擊一個(gè)鏈接。該鏈接會(huì)運(yùn)行代碼,將加密挖礦腳本放置在計(jì)算機(jī)中。然后,該腳本會(huì)在受害者工作時(shí)在后臺(tái)運(yùn)行。
另一種方法是在網(wǎng)站上注入一個(gè)腳本,或在廣告中注入一個(gè)腳本,然后投放到多個(gè)網(wǎng)站上。一旦受害者訪問(wèn)該網(wǎng)站,或受感染的廣告在其瀏覽器中彈出,該腳本就會(huì)自動(dòng)執(zhí)行。受害者的計(jì)算機(jī)上沒(méi)有存儲(chǔ)任何代碼。無(wú)論使用哪種方法,該代碼都會(huì)在受害者的計(jì)算機(jī)上運(yùn)行復(fù)雜的數(shù)學(xué)問(wèn)題,并將結(jié)果發(fā)送到黑客控制的服務(wù)器上。
黑客通常會(huì)同時(shí)使用這兩種方法來(lái)使其回報(bào)最大化。韋斯蒂克說(shuō):“攻擊行為利用舊的惡意軟件欺騙手段(向受害者的計(jì)算機(jī)中)植入更可靠、更持久的軟件,以此作為退路”。例如,在100臺(tái)為黑客挖掘加密貨幣的設(shè)備中,有10%可能是通過(guò)受害者計(jì)算機(jī)上的代碼來(lái)產(chǎn)生收入的,而90%則是通過(guò)他們的網(wǎng)絡(luò)瀏覽器來(lái)產(chǎn)生收入的。
與大多數(shù)其他類型的惡意軟件不同,加密劫持腳本不會(huì)損壞計(jì)算機(jī)或受害者的數(shù)據(jù)。但這些腳本確實(shí)會(huì)竊取CPU處理資源。對(duì)于個(gè)人用戶,較慢的計(jì)算機(jī)性能可能只是一個(gè)煩惱。但對(duì)于許多系統(tǒng)都被加密劫持的組織來(lái)說(shuō),這可能會(huì)導(dǎo)致服務(wù)臺(tái)和IT工作時(shí)間方面的實(shí)際成本,這些花費(fèi)的時(shí)間是用于跟蹤性能問(wèn)題以及更換組件或系統(tǒng),以期解決問(wèn)題。
流氓員工霸占公司系統(tǒng)
在今年早些時(shí)候的EmTech Digital會(huì)議上,Darktrace公司講述了一家歐洲銀行客戶的故事,該客戶的服務(wù)器上出現(xiàn)一些異常的流量模式。夜間進(jìn)程運(yùn)行緩慢,但銀行的診斷工具未發(fā)現(xiàn)任何問(wèn)題。Darktrace公司發(fā)現(xiàn)這段時(shí)間內(nèi)有新服務(wù)器上線,而該銀行稱這些服務(wù)器不存在。對(duì)數(shù)據(jù)中心進(jìn)行的實(shí)地檢查發(fā)現(xiàn),一個(gè)流氓員工在地板下安裝了一個(gè)加密挖礦系統(tǒng)。
通過(guò)GitHub工具為加密挖礦軟件提供服務(wù)
3月,Avast Software公司報(bào)告稱,加密劫持者正在使用GitHub作為加密挖礦惡意軟件的主機(jī)。他們找到一些合法項(xiàng)目,從中創(chuàng)建分支項(xiàng)目。然后,該惡意軟件將隱藏在該分支項(xiàng)目的目錄結(jié)構(gòu)中。使用網(wǎng)絡(luò)釣魚方案,加密劫持者會(huì)通過(guò)一些手段來(lái)引誘人們下載該惡意軟件,例如通過(guò)發(fā)出警告來(lái)更新其Flash播放器或承諾提供成人內(nèi)容游戲網(wǎng)站。
利用rTorrent漏洞
加密劫持者發(fā)現(xiàn)了一個(gè)rTorrent錯(cuò)誤配置漏洞,該漏洞使某些rTorrent客戶端無(wú)需進(jìn)行XML-RPC通信身份驗(yàn)證即可訪問(wèn)。他們?cè)诨ヂ?lián)網(wǎng)上掃描這些暴露的客戶端,然后在其上部署Monero加密挖礦軟件。F5 Networks公司在2月報(bào)告了此漏洞,并建議rTorrent用戶應(yīng)確保其客戶端不接受外部連接。
Facexworm:惡意Chrome擴(kuò)展插件
該惡意軟件由卡巴斯基實(shí)驗(yàn)室(Kaspersky Labs)于2017年首次發(fā)現(xiàn),是一個(gè)谷歌Chrome瀏覽器的擴(kuò)展插件,它利用Facebook Messenger來(lái)感染用戶的計(jì)算機(jī)。最初,F(xiàn)acexworm是發(fā)送廣告軟件。今年早些時(shí)候,趨勢(shì)科技公司(Trend Micro)發(fā)現(xiàn)了多種針對(duì)加密貨幣交易所的Facexworm,并且該惡意程序能夠發(fā)送加密挖礦代碼。它仍然使用受感染的Facebook帳戶來(lái)發(fā)送惡意鏈接,但還可以竊取Web帳戶和憑據(jù),從而可以將加密劫持代碼注入這些網(wǎng)頁(yè)。
WinstarNssmMiner:焦土政策
5月,360 Total Security軟件發(fā)現(xiàn)了一種加密挖礦軟件,該軟件可迅速傳播,并經(jīng)證明對(duì)加密劫持者有效。這款被稱為WinstarNssmMiner的惡意軟件,還會(huì)令那些試圖刪除它的人感到厭惡和吃驚:它會(huì)使受害者的計(jì)算機(jī)死機(jī)。 WinstarNssmMiner首先會(huì)啟動(dòng)svchost.exe進(jìn)程,并向其中注入代碼,然后將生成的進(jìn)程的屬性設(shè)置為CriticalProcess,以此導(dǎo)致計(jì)算機(jī)死機(jī)。由于計(jì)算機(jī)視其為一個(gè)關(guān)鍵進(jìn)程,因此刪除該進(jìn)程后便會(huì)死機(jī)。
CoinMiner會(huì)尋找并消滅競(jìng)爭(zhēng)對(duì)手
加密劫持已經(jīng)變得非常普遍,以至于黑客正在設(shè)計(jì)他們的惡意軟件,以便在他們感染的系統(tǒng)上發(fā)現(xiàn)并消滅已經(jīng)在運(yùn)行的加密挖礦軟件。CoinMiner就是一個(gè)例子。
根據(jù)科摩多公司的說(shuō)法,CoinMiner會(huì)檢查Windows系統(tǒng)上是否存在AMDDriver64進(jìn)程。CoinMiner惡意軟件中有兩個(gè)列表,即$malwares和$malwares2,其中包含其他加密挖礦軟件的部分已知進(jìn)程名稱。然后它會(huì)終止這些進(jìn)程。
被入侵的MikroTik路由器會(huì)傳播加密挖礦軟件
Bad Packets公司于去年9月的報(bào)告稱,其已經(jīng)檢測(cè)到針對(duì)MikroTik路由器的80多個(gè)加密劫持活動(dòng),并提供了數(shù)十萬(wàn)個(gè)設(shè)備受到入侵的證據(jù)。這些劫持活動(dòng)利用了一個(gè)已知漏洞(CVE-2018-14847),MikroTik公司為此漏洞已提供了補(bǔ)丁。但是,并非所有路由器用戶都已安裝補(bǔ)丁。由于MikroTik公司生產(chǎn)電信級(jí)路由器,因此加密劫持者可以大范圍地訪問(wèn)可能被感染的系統(tǒng)。
如何防止加密劫持
請(qǐng)按照以下步驟操作,以最大程度地降低你的組織遭受加密劫持的風(fēng)險(xiǎn):
將加密劫持威脅納入到你的安全意識(shí)培訓(xùn)中,重點(diǎn)在于防范利用網(wǎng)絡(luò)釣魚類型方式將腳本加載到用戶計(jì)算機(jī)上。“當(dāng)技術(shù)解決方案可能失敗時(shí),培訓(xùn)將有助于保護(hù)你。”拉利伯特說(shuō)。他認(rèn)為網(wǎng)絡(luò)釣魚仍將是傳播各類惡意軟件的主要方法。
員工培訓(xùn)不會(huì)幫助那些因訪問(wèn)合法網(wǎng)站而自動(dòng)執(zhí)行的加密劫持。韋斯蒂克說(shuō):“對(duì)于加密劫持來(lái)說(shuō),培訓(xùn)的效果并不太好,因?yàn)槟銦o(wú)法告訴用戶不要訪問(wèn)哪些網(wǎng)站。”
在網(wǎng)絡(luò)瀏覽器上安裝廣告攔截或反加密挖礦擴(kuò)展插件。由于加密劫持腳本通常是通過(guò)網(wǎng)絡(luò)廣告發(fā)送的,因此安裝廣告攔截器可能是阻止它的有效方法。某些廣告攔截器(如Ad Blocker Plus)具有檢測(cè)加密挖礦腳本的功能。拉利伯特建議使用諸如No Coin和MinerBlock之類的擴(kuò)展插件,這些插件旨在檢測(cè)和阻止加密挖礦腳本。
使用端點(diǎn)保護(hù)功能,能夠檢測(cè)已知的加密挖礦軟件。許多端點(diǎn)保護(hù)/防病毒軟件供應(yīng)商已在其產(chǎn)品中添加了加密挖礦軟件的檢測(cè)功能。法拉爾說(shuō):“防病毒軟件是端點(diǎn)上用來(lái)防止加密挖礦的好方法之一。如果它是一種已知的挖礦軟件,就很有可能被檢測(cè)到”。他補(bǔ)充說(shuō),請(qǐng)注意,加密挖礦軟件的作者在不斷改變他們的技術(shù),以避免在終端被發(fā)現(xiàn)。
讓你的Web過(guò)濾工具保持最新版本。如果你發(fā)現(xiàn)某一網(wǎng)頁(yè)在發(fā)送加密劫持腳本,請(qǐng)確保阻止你的用戶再次訪問(wèn)該網(wǎng)頁(yè)。
應(yīng)維護(hù)瀏覽器擴(kuò)展插件。一些攻擊者使用惡意瀏覽器擴(kuò)展插件或使合法擴(kuò)展插件中毒來(lái)執(zhí)行加密挖礦腳本。
使用移動(dòng)設(shè)備管理(MDM)解決方案可更好地控制用戶設(shè)備上的內(nèi)容。自帶設(shè)備(BYOD)政策對(duì)防止非法加密挖礦提出了挑戰(zhàn)。拉利伯特說(shuō):“移動(dòng)設(shè)備管理可以使自帶設(shè)備更加安全”。 移動(dòng)設(shè)備管理解決方案可以幫助管理用戶設(shè)備上的應(yīng)用程序和擴(kuò)展插件。移動(dòng)設(shè)備管理解決方案傾向于面向大型企業(yè),而小型企業(yè)通常買不起。不過(guò),拉利伯特指出,移動(dòng)設(shè)備的風(fēng)險(xiǎn)不像臺(tái)式計(jì)算機(jī)和服務(wù)器那樣大。由于移動(dòng)設(shè)備往往處理能力較弱,因此它們對(duì)于黑客而言并不那么有利可圖。
以上最佳實(shí)踐都不是萬(wàn)無(wú)一失的。認(rèn)識(shí)到這一點(diǎn),以及加密劫持正日益猖獗,網(wǎng)絡(luò)風(fēng)險(xiǎn)解決方案提供商Coalition目前提供了服務(wù)欺詐保險(xiǎn)。根據(jù)一份新聞稿,該保險(xiǎn)將補(bǔ)償組織因受欺詐性使用商業(yè)服務(wù)(包括加密挖礦)而造成的直接損失。
如何檢測(cè)加密劫持
與勒索軟件一樣,盡管你盡了最大的努力,但加密劫持仍會(huì)影響你的組織。檢測(cè)加密劫持可能會(huì)很困難,尤其是如果只有少數(shù)系統(tǒng)受到入侵時(shí)。不要指望現(xiàn)有的端點(diǎn)保護(hù)工具來(lái)阻止加密劫持。拉利伯特說(shuō):“加密挖礦代碼可以躲避基于簽名的檢測(cè)工具。”“臺(tái)式機(jī)殺毒工具看不到這些挖礦代碼。”以下是一些有效方法:
培訓(xùn)你的服務(wù)臺(tái)人員去查找一些加密挖礦的跡象。SecBI公司的韋斯蒂克說(shuō),有時(shí)候第一個(gè)跡象是服務(wù)臺(tái)出現(xiàn)對(duì)計(jì)算機(jī)性能下降的抱怨激增。這應(yīng)該引起警覺(jué),并進(jìn)行進(jìn)一步調(diào)查。
拉利伯特說(shuō),服務(wù)臺(tái)人員應(yīng)查找的其他跡象可能是系統(tǒng)過(guò)熱,這可能導(dǎo)致CPU或冷卻風(fēng)扇故障。他說(shuō):“(過(guò)度使用CPU)產(chǎn)生的熱量會(huì)造成損害,并會(huì)縮短設(shè)備的使用周期”。對(duì)于平板電腦和智能手機(jī)等輕薄移動(dòng)設(shè)備尤其如此。
部署網(wǎng)絡(luò)監(jiān)控解決方案。韋斯蒂克認(rèn)為,在企業(yè)網(wǎng)絡(luò)中比在家中更容易檢測(cè)到加密劫持,因?yàn)榇蠖鄶?shù)消費(fèi)者端點(diǎn)解決方案都無(wú)法檢測(cè)到。通過(guò)網(wǎng)絡(luò)監(jiān)控解決方案很容易檢測(cè)到加密劫持,而且大多數(shù)公司組織都配有網(wǎng)絡(luò)監(jiān)控工具。
然而,配備網(wǎng)絡(luò)監(jiān)控工具和數(shù)據(jù)監(jiān)控工具的組織很少有工具和能力來(lái)分析這些信息以進(jìn)行準(zhǔn)確的檢測(cè)。例如,SecBI公司開發(fā)了一種人工智能解決方案,以分析網(wǎng)絡(luò)數(shù)據(jù),并檢測(cè)加密劫持和其他特定的威脅。
拉利伯特同意,網(wǎng)絡(luò)監(jiān)控是檢測(cè)加密挖礦活動(dòng)的最佳方法。他說(shuō):“可審查所有Web流量的網(wǎng)絡(luò)周邊監(jiān)控更有可能發(fā)現(xiàn)加密挖礦軟件”。許多監(jiān)控解決方案會(huì)將該活動(dòng)追蹤到單個(gè)用戶,以便你可找到哪些設(shè)備受到影響。
法拉爾說(shuō):“如果你在所監(jiān)控的出站連接啟動(dòng)的服務(wù)器上配有良好的出口過(guò)濾功能,則可以很好地檢測(cè)到(加密挖礦惡意軟件)”。但他警告說(shuō),加密挖礦軟件的作者能夠編寫其惡意軟件來(lái)避免這種檢測(cè)方法。
監(jiān)控你自己網(wǎng)站上的加密挖礦代碼。法拉爾警告說(shuō),加密劫持者正在尋找方法將Javascript代碼放置在Web服務(wù)器上。他說(shuō):“服務(wù)器本身不是目標(biāo),但任何訪問(wèn)該網(wǎng)站的人都(有被感染的風(fēng)險(xiǎn))”。他建議定期監(jiān)控Web服務(wù)器上的文件更改或頁(yè)面本身的更改。
了解加密劫持的最新發(fā)展。發(fā)送方法和加密挖礦代碼本身也在不斷發(fā)展。法拉爾說(shuō),了解軟件和行為可以幫助你檢測(cè)加密劫持。“一個(gè)精明的組織會(huì)及時(shí)了解所發(fā)生的最新情況。如果你了解這些類型的惡意軟件的發(fā)送機(jī)制,你就會(huì)知道這個(gè)特定的漏洞利用工具包正在發(fā)送一些加密的東西。預(yù)防這些漏洞利用工具包將會(huì)防止你受到加密挖礦惡意軟件的感染,”他說(shuō)。
如何應(yīng)對(duì)加密劫持攻擊
終止并阻止網(wǎng)站發(fā)送的腳本。對(duì)于瀏覽器內(nèi)JavaScript攻擊,一旦檢測(cè)到加密挖礦,其解決方案就很簡(jiǎn)單:終止瀏覽器標(biāo)簽運(yùn)行腳本。IT人員應(yīng)記下腳本來(lái)源的網(wǎng)站URL,并更新公司的網(wǎng)絡(luò)過(guò)濾器以將其阻止??紤]部署反加密挖礦工具以幫助防止將來(lái)的攻擊。
更新和清除瀏覽器擴(kuò)展插件。“如果某一擴(kuò)展插件感染了瀏覽器,關(guān)閉標(biāo)簽將無(wú)濟(jì)于事,”拉利伯特說(shuō)。“更新所有擴(kuò)展插件,并刪除不需要的或已被感染的擴(kuò)展插件。”
學(xué)習(xí)和適應(yīng)。利用這些經(jīng)驗(yàn)可以更好地了解攻擊者如何破壞你的系統(tǒng)。更新你的用戶、服務(wù)臺(tái)和IT培訓(xùn)內(nèi)容,以便他們能夠更好地識(shí)別加密劫持行為,并做出相應(yīng)的反應(yīng)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號(hào)