Michael Nadeau

犯罪分子借助類似于勒索軟件的策略以及有毒的網(wǎng)站，讓企業(yè)員工的計算機去挖掘加密貨幣。本文介紹企業(yè)應(yīng)如何去阻止此類劫持。

挖礦劫持是指未經(jīng)授權(quán)地使用他人的計算機來挖掘加密貨幣。黑客要做到這一點，通常是讓受害者點擊電子郵件中的惡意鏈接，把加密貨幣挖礦代碼加載到計算機上，或者通過JavaScript代碼感染網(wǎng)站和在線廣告，這些代碼一旦加載到受害者瀏覽器上就會自動執(zhí)行。

無論哪種方式，加密貨幣挖掘代碼在后臺工作，毫不知情的受害者還是和平常一樣使用他們的計算機。他們可能注意到的唯一跡象是性能下降，或者執(zhí)行速度變慢了。

為什么挖礦劫持越來越多

沒有人確切知道通過挖礦劫持挖出了多少加密貨幣，但毫無疑問，這種做法十分猖獗?；跒g覽器的挖礦劫持發(fā)展非?？臁Ｈツ晔辉?，Adguard報告了嵌入在瀏覽器內(nèi)的挖礦劫持增長率為31%。其研究發(fā)現(xiàn)，3.3萬個網(wǎng)站運行了加密貨幣挖礦腳本。Adguard估計，這些網(wǎng)站每月有10億人次的訪問量。今年二月，Bad Packet報告發(fā)現(xiàn)了34474個運行Coinhive的網(wǎng)站，這是最流行的JavaScript挖礦程序，也用于合法的加密貨幣挖礦活動。

網(wǎng)絡(luò)安全解決方案提供商WatchGuard技術(shù)公司的威脅分析師Marc Laliberte評論說：“加密貨幣挖礦還處于起步階段。還有很大的增長和發(fā)展空間。”他指出，Coinhive很容易部署，第一個月就產(chǎn)生了30萬美元的收益?！皬哪且院?，它發(fā)展得很快。真得很容易賺錢?！?/p>

今年一月份，研究人員發(fā)現(xiàn)了Smominru加密貨幣挖礦僵尸網(wǎng)絡(luò)，它感染了50多萬臺機器，主要分布在俄羅斯、印度和中國臺灣。僵尸網(wǎng)絡(luò)針對Windows服務(wù)器來挖掘門羅幣（Monero），而網(wǎng)絡(luò)安全公司Proofpoint估計，截至一月底，它創(chuàng)造的價值高達(dá)360萬美元。

挖礦劫持甚至不需要高超的技術(shù)技能。據(jù)來自Digital Shadows公司的《欺詐的新前沿——加密貨幣淘金熱》報告，暗網(wǎng)上提供的挖礦劫持套件只需30美元。

挖礦劫持越來越受黑客歡迎的一個簡單原因就是風(fēng)險很低，而收益不錯。SecBI公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人Alex Vaystikh指出：“黑客們認(rèn)為挖礦劫持是比勒索軟件更便宜、更有利可圖的替代方案。”他解釋說，使用勒索軟件，一名黑客每感染100臺計算機，就需要給三個人付費。而采用挖礦劫持惡意軟件，所有被感染的100臺機器都為黑客工作，去挖掘加密貨幣。他說：“黑客的收益可能和這三個勒索軟件黑客的收益一樣，而加密貨幣挖礦程序會不斷地產(chǎn)生收益?！?/p>

被抓住和被發(fā)現(xiàn)的風(fēng)險也遠(yuǎn)遠(yuǎn)低于使用勒索軟件。加密貨幣挖礦代碼偷偷摸摸地運行，在很長一段時間內(nèi)都有可能不被發(fā)現(xiàn)。即使被發(fā)現(xiàn)，很難追溯到源頭，受害者也沒有什么動機去這樣做，因為什么東西也沒有丟，也沒有什么被加密。相對于非常流行的比特幣，黑客們更喜歡使用門羅幣和Zcash這些匿名的加密貨幣，因為很難追蹤到他們的非法活動。

挖礦劫持惡意軟件是怎樣工作的

黑客主要有兩種方法來讓受害者的計算機暗中挖掘加密貨幣。一種是欺騙受害者把加密貨幣挖礦代碼加載到他們的計算機上。這是通過類似于網(wǎng)絡(luò)釣魚的策略來完成的：受害者收到一封看似合法的電子郵件，誘騙他們點擊鏈接。該鏈接運行代碼后，把加密貨幣挖礦腳本置入到計算機中。當(dāng)受害者工作時，腳本會在后臺運行。

另一種方法是在網(wǎng)站或者廣告上注入一個腳本，并將其傳播到多個網(wǎng)站上。一旦受害者訪問網(wǎng)站，或者被感染的廣告在其瀏覽器上彈出來，腳本就會自動執(zhí)行。受害者的計算機上沒有存儲任何代碼。無論使用哪種方法，代碼都會在受害者的計算機上運行復(fù)雜的數(shù)學(xué)問題，并把結(jié)果發(fā)送給黑客控制的服務(wù)器。

黑客通常同時使用這兩種方法來盡可能增加收益。Vaystikh介紹說：“進行攻擊時，他們還使用老的惡意軟件欺騙技巧把更可靠和更持久的軟件傳播給受害者的計算機，把這種方法作為備用手段。”例如，在為黑客挖掘加密貨幣的100臺設(shè)備中，10%可能從受害者機器上的代碼產(chǎn)生收益，而90%則通過他們的網(wǎng)絡(luò)瀏覽器產(chǎn)生收益。

與大多數(shù)其他類型的惡意軟件不同，挖礦劫持腳本不會損害計算機或者受害者的數(shù)據(jù)。但他們確實竊取了CPU的處理資源。對于個人用戶來說，計算機性能下降只是覺得有些煩人而已。被安裝了很多挖礦劫持系統(tǒng)的企業(yè)有可能在幫助解決問題方面付出很高的成本，IT部門要花時間來跟蹤性能問題，替換組件或者系統(tǒng)以解決問題。

挖礦劫持實例

挖礦劫持黑客是很聰明的，他們設(shè)計出了很多方案來讓其他人的計算機去挖掘加密貨幣。大多數(shù)并不是什么新東西；加密貨幣挖礦傳播方法通常來源于勒索軟件和廣告軟件等其他類型的惡意軟件所使用的方法。Anomali公司安全策略總監(jiān)Travis Farral指出：“你會看到惡意軟件作者過去干的很多傳統(tǒng)的事情。他們并沒有傳播勒索軟件或者特洛伊木馬，而是重新設(shè)計，以傳播加密貨幣挖礦模塊或者組件?！?/p>

以下是一些真實的例子：

流氓員工控制了公司系統(tǒng)

在今年早些時候的EmTech數(shù)字會議上，Darktrace講述了一家歐洲銀行客戶的故事，該銀行的服務(wù)器上出現(xiàn)了一些不尋常的流量模式。進程在夜間運行得非常緩慢，而銀行的診斷工具沒有發(fā)現(xiàn)任何問題。Darktrace發(fā)現(xiàn)，有新服務(wù)器在那段時間上網(wǎng)——而銀行稱并不存在這些服務(wù)器。對數(shù)據(jù)中心進行物理檢查顯示，一名流氓員工在地板下面偷偷建立了加密貨幣挖礦系統(tǒng)。

通過GitHub服務(wù)于加密貨幣挖礦黑客

三月份，Avast軟件公司報告說，挖礦劫持黑客使用GitHub作為加密貨幣挖礦惡意軟件的主機。他們找到合法的項目，從中創(chuàng)建一個分叉的項目。然后，惡意軟件隱藏在該分叉項目的目錄結(jié)構(gòu)中。使用網(wǎng)絡(luò)釣魚方法，挖礦劫持黑客誘使人們下載惡意軟件，例如，提醒更新他們的Flash播放器，或者承諾提供有成人游戲的網(wǎng)站。

利用rTorrent漏洞

挖礦劫持黑客發(fā)現(xiàn)了一個rTorrent錯誤配置漏洞，使得不需要進行XML-RPC通信認(rèn)證就能夠訪問一些rTorrent客戶端。他們掃描互聯(lián)網(wǎng)上暴露的客戶端，然后在這些客戶端上部署門羅幣挖礦惡意軟件。F5網(wǎng)絡(luò)公司在二月份報告了這個漏洞，并建議rTorrent用戶確保他們的客戶端不接受外部連接。

Facexworm：惡意Chrome擴展程序

這一惡意軟件最初是由卡巴斯基實驗室在2017年發(fā)現(xiàn)的，是一個谷歌Chrome瀏覽器擴展程序，使用臉書Messenger來感染用戶的計算機。Facexworm一開始只是傳播廣告軟件。今年早些時候，趨勢科技發(fā)現(xiàn)了以加密貨幣交易為目標(biāo)的各種Facexworm，并能傳播加密貨幣挖礦代碼。它仍然使用受感染的臉書賬戶來傳播惡意鏈接，但也可以竊取網(wǎng)絡(luò)帳戶和證書，這使其能夠把挖礦劫持代碼注入到這些網(wǎng)頁中。

WinstarNssmMiner：焦土政策

5月份，360 Total Security發(fā)現(xiàn)了一個傳播非?？斓募用茇泿磐诘V惡意軟件，挖礦劫持黑客使用起來非常有效。這款惡意軟件被稱為WinstarNssmMiner，如果誰想刪掉它，就會遇到惱人的意外：受害者的計算機會死機。WinstarNssmMiner之所以能夠這樣，是首先啟動svchost.exe進程并向其中注入代碼，然后把衍生進程的屬性設(shè)置為CriticalProcess。由于計算機將其視為一個關(guān)鍵進程，因此，一旦進程被刪除，計算機就會死機。

怎樣防止挖礦劫持

遵循以下步驟，企業(yè)可以最大限度地減小被挖礦劫持的風(fēng)險：

要有被挖礦劫持威脅的安全意識培訓(xùn)，重點是針對網(wǎng)絡(luò)釣魚式地把腳本加載到用戶的計算機上。Laliberte說：“當(dāng)技術(shù)解決方案有可能失敗時，培訓(xùn)將有助于保護您?！彼J(rèn)為網(wǎng)絡(luò)釣魚將繼續(xù)是傳播各類惡意軟件的主要方法。

員工培訓(xùn)對于訪問合法網(wǎng)站導(dǎo)致的自動執(zhí)行挖礦劫持惡意軟件幫助不大。Vaystikh說：“由于無法告訴用戶不能訪問哪些網(wǎng)站，因此，挖礦劫持培訓(xùn)的效果不大。”

在網(wǎng)絡(luò)瀏覽器上安裝廣告攔截或者反加密貨幣挖礦擴展程序。由于挖礦劫持腳本通常通過網(wǎng)絡(luò)廣告?zhèn)鞑?，因此，安裝廣告攔截器可以有效地阻止它們。一些廣告攔截器，比如Ad Blocker Plus，具有檢測加密貨幣挖礦腳本的能力。Laliberte建議采用No Coin和MinerBlock這樣的擴展程序，這些被設(shè)計用來檢測并攔截挖礦劫持腳本。

使用能夠檢測已知加密貨幣挖礦惡意軟件的端點保護功能。很多端點保護/防病毒軟件供應(yīng)商已經(jīng)在產(chǎn)品中加入了加密貨幣挖礦惡意軟件監(jiān)測功能。Farral說：“防病毒是對端點進行保護以阻止加密貨幣挖掘的一種好方法。如果是已知的，很有可能會被檢測到。”他補充說，要清醒地知道，加密貨幣挖礦惡意軟件作者會不斷改變他們的技術(shù)，以避免在端點被檢測到。

保持企業(yè)的網(wǎng)絡(luò)過濾工具最新。如果發(fā)現(xiàn)有網(wǎng)頁正在傳播挖礦劫持腳本，讓用戶一定不要再訪問它。

維護好瀏覽器擴展程序。一些攻擊者使用惡意瀏覽器擴展程序或者有毒的合法擴展程序來執(zhí)行加密貨幣挖礦腳本。

使用移動設(shè)備管理（MDM）解決方案來更好地控制用戶設(shè)備上的內(nèi)容。但是，自帶設(shè)備（BYOD）政策對防止非法加密貨幣挖礦構(gòu)成了挑戰(zhàn)。Laliberte說：“MDM可以很好地保護BYOD的安全?！盡DM解決方案可以幫助管理用戶設(shè)備上的應(yīng)用程序和擴展程序。MDM解決方案更適用于大企業(yè)，小企業(yè)往往負(fù)擔(dān)不起。然而，Laliberte指出，移動設(shè)備不像桌面計算機和服務(wù)器面臨那么大的風(fēng)險。因為移動設(shè)備的處理能力較弱，因此，它們對黑客來說并不是很賺錢。

怎樣檢測挖礦劫持惡意軟件

像勒索軟件一樣，盡管企業(yè)盡了最大努力去阻止它，挖礦劫持惡意軟件還是會影響你的企業(yè)。可能很難檢測到它，特別是如果只有少數(shù)系統(tǒng)被感染的情況。不要指望現(xiàn)有的端點保護工具來阻止挖礦劫持惡意軟件。Laliberte說：“基于簽名的檢測工具發(fā)現(xiàn)不了加密貨幣挖礦代碼。桌面防病毒工具也看不到它們?！币韵率强尚械姆椒ǎ?/p>

訓(xùn)練企業(yè)的幫助臺以尋找加密貨幣挖礦的跡象。SecBI公司的Vaystikh說，有時第一個跡象是幫助臺不斷地抱怨計算機性能下降。這就應(yīng)該警醒起來，進一步開展調(diào)查。

Laliberte說，幫助臺應(yīng)該注意的其他信號則是系統(tǒng)過熱，這可能會導(dǎo)致CPU和散熱風(fēng)扇出現(xiàn)故障。他說：“CPU使用過度產(chǎn)生的熱量會導(dǎo)致設(shè)備損壞，縮短了設(shè)備的生命周期。”尤其是像平板電腦和智能手機這樣比較弱的移動設(shè)備。

部署網(wǎng)絡(luò)監(jiān)測解決方案。Vaystikh認(rèn)為，在企業(yè)網(wǎng)絡(luò)中，比在家里更容易發(fā)現(xiàn)挖礦劫持惡意軟件，因為大多數(shù)消費者終端解決方案都檢測不到它。通過網(wǎng)絡(luò)監(jiān)控解決方案很容易檢測到挖礦劫持惡意軟件，大多數(shù)企業(yè)組織都有網(wǎng)絡(luò)監(jiān)控工具。

然而，擁有網(wǎng)絡(luò)監(jiān)測工具和數(shù)據(jù)的企業(yè)卻很少擁有分析這類信息以準(zhǔn)確進行檢測的工具和能力。例如，SecBI開發(fā)了一種人工智能解決方案來分析網(wǎng)絡(luò)數(shù)據(jù)并檢測挖礦劫持惡意軟件和其他具體的威脅。

Laliberte也認(rèn)為網(wǎng)絡(luò)監(jiān)測是發(fā)現(xiàn)加密貨幣挖礦活動的最佳選擇。他說：“通過監(jiān)視網(wǎng)絡(luò)周界來檢查所有的網(wǎng)絡(luò)流量，這樣能夠更好地發(fā)現(xiàn)加密貨幣挖礦惡意軟件。”很多監(jiān)測解決方案能夠把這類活動追蹤到具體用戶，從而可以發(fā)現(xiàn)哪些設(shè)備受到了影響。

Farral說：“如果你在一臺服務(wù)器上很好地設(shè)置了出口過濾，監(jiān)視出站連接來自哪里，這就能夠比較好地檢測到加密貨幣挖礦惡意軟件?！比欢?，他警告說，加密貨幣挖礦惡意軟件作者能夠編寫他們的惡意軟件來避開這種探測方法。

監(jiān)測你自己的網(wǎng)站是否有加密貨幣挖礦代碼。Farral警告說，挖礦劫持黑客正在尋找方法把JavaScript代碼放到網(wǎng)絡(luò)服務(wù)器上。他說：“服務(wù)器本身不是目標(biāo)，但任何訪問該網(wǎng)站的人都有被感染的風(fēng)險?！彼ㄗh經(jīng)常性地檢查網(wǎng)絡(luò)服務(wù)器上的文件變化，或者對頁面本身的更改。

密切注意挖礦劫持的趨勢。傳播方法和加密貨幣挖礦代碼本身都在不斷地發(fā)展。Farral說，了解軟件和行為可以幫助您發(fā)現(xiàn)挖礦劫持惡意軟件。他說：“聰明的企業(yè)會時刻關(guān)注正在發(fā)生的事情。如果你了解這類傳播機制，就知道某個特定的漏洞利用工具包正在傳播加密貨幣挖礦惡意軟件。對漏洞利用工具包的保護也就保護了不受加密貨幣挖礦惡意軟件的感染?！?/p>

怎樣應(yīng)對挖礦劫持攻擊

殺死并阻止網(wǎng)站傳播的腳本。對于瀏覽器內(nèi)的JavaScript攻擊，一旦探測到加密貨幣挖礦行為，解決方案就很簡單：殺死運行腳本的瀏覽器標(biāo)簽。IT部門應(yīng)該注意腳本源代碼的網(wǎng)站URL，并更新公司的網(wǎng)絡(luò)過濾器來攔截它?？紤]部署反加密貨幣挖礦工具來幫助防止今后的攻擊。

更新并清除瀏覽器擴展程序。Laliberte說：“如果擴展程序感染了瀏覽器，即使關(guān)閉標(biāo)簽也無濟于事。更新所有的擴展程序并刪除那些不需要的或者已經(jīng)被感染的?！?/p>

學(xué)習(xí)和適應(yīng)。利用經(jīng)驗來更好地了解攻擊者是怎樣危害你的系統(tǒng)的。更新你的用戶、幫助臺和IT的培訓(xùn)，這樣，他們能夠更好地發(fā)現(xiàn)挖礦劫持企圖并作出相應(yīng)的反應(yīng)。

Michael Nadeau是CSO在線的高級編輯。他是雜志、書籍和知識庫出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢。

原文網(wǎng)址

https：//www.csoonline.com/article/3253572/internet/what-is-cryptojacking-how-to-prevent-detect-and-recover-from-it.html