Michael Nadeau

犯罪分子借助類似于勒索軟件的策略以及有毒的網(wǎng)站，讓企業(yè)員工的計(jì)算機(jī)去挖掘加密貨幣。本文介紹企業(yè)應(yīng)如何去阻止此類劫持。

挖礦劫持是指未經(jīng)授權(quán)地使用他人的計(jì)算機(jī)來(lái)挖掘加密貨幣。黑客要做到這一點(diǎn)，通常是讓受害者點(diǎn)擊電子郵件中的惡意鏈接，把加密貨幣挖礦代碼加載到計(jì)算機(jī)上，或者通過(guò)JavaScript代碼感染網(wǎng)站和在線廣告，這些代碼一旦加載到受害者瀏覽器上就會(huì)自動(dòng)執(zhí)行。

無(wú)論哪種方式，加密貨幣挖掘代碼在后臺(tái)工作，毫不知情的受害者還是和平常一樣使用他們的計(jì)算機(jī)。他們可能注意到的唯一跡象是性能下降，或者執(zhí)行速度變慢了。

為什么挖礦劫持越來(lái)越多

沒(méi)有人確切知道通過(guò)挖礦劫持挖出了多少加密貨幣，但毫無(wú)疑問(wèn)，這種做法十分猖獗?；跒g覽器的挖礦劫持發(fā)展非?？?。去年十一月，Adguard報(bào)告了嵌入在瀏覽器內(nèi)的挖礦劫持增長(zhǎng)率為31%。其研究發(fā)現(xiàn)，3.3萬(wàn)個(gè)網(wǎng)站運(yùn)行了加密貨幣挖礦腳本。Adguard估計(jì)，這些網(wǎng)站每月有10億人次的訪問(wèn)量。今年二月，Bad Packet報(bào)告發(fā)現(xiàn)了34474個(gè)運(yùn)行Coinhive的網(wǎng)站，這是最流行的JavaScript挖礦程序，也用于合法的加密貨幣挖礦活動(dòng)。

網(wǎng)絡(luò)安全解決方案提供商WatchGuard技術(shù)公司的威脅分析師Marc Laliberte評(píng)論說(shuō)：“加密貨幣挖礦還處于起步階段。還有很大的增長(zhǎng)和發(fā)展空間?！彼赋?，Coinhive很容易部署，第一個(gè)月就產(chǎn)生了30萬(wàn)美元的收益?！皬哪且院螅l(fā)展得很快。真得很容易賺錢?！?/p>

今年一月份，研究人員發(fā)現(xiàn)了Smominru加密貨幣挖礦僵尸網(wǎng)絡(luò)，它感染了50多萬(wàn)臺(tái)機(jī)器，主要分布在俄羅斯、印度和中國(guó)臺(tái)灣。僵尸網(wǎng)絡(luò)針對(duì)Windows服務(wù)器來(lái)挖掘門羅幣（Monero），而網(wǎng)絡(luò)安全公司Proofpoint估計(jì)，截至一月底，它創(chuàng)造的價(jià)值高達(dá)360萬(wàn)美元。

挖礦劫持甚至不需要高超的技術(shù)技能。據(jù)來(lái)自Digital Shadows公司的《欺詐的新前沿——加密貨幣淘金熱》報(bào)告，暗網(wǎng)上提供的挖礦劫持套件只需30美元。

挖礦劫持越來(lái)越受黑客歡迎的一個(gè)簡(jiǎn)單原因就是風(fēng)險(xiǎn)很低，而收益不錯(cuò)。SecBI公司的首席技術(shù)官兼聯(lián)合創(chuàng)始人Alex Vaystikh指出：“黑客們認(rèn)為挖礦劫持是比勒索軟件更便宜、更有利可圖的替代方案。”他解釋說(shuō)，使用勒索軟件，一名黑客每感染100臺(tái)計(jì)算機(jī)，就需要給三個(gè)人付費(fèi)。而采用挖礦劫持惡意軟件，所有被感染的100臺(tái)機(jī)器都為黑客工作，去挖掘加密貨幣。他說(shuō)：“黑客的收益可能和這三個(gè)勒索軟件黑客的收益一樣，而加密貨幣挖礦程序會(huì)不斷地產(chǎn)生收益?！?/p>

被抓住和被發(fā)現(xiàn)的風(fēng)險(xiǎn)也遠(yuǎn)遠(yuǎn)低于使用勒索軟件。加密貨幣挖礦代碼偷偷摸摸地運(yùn)行，在很長(zhǎng)一段時(shí)間內(nèi)都有可能不被發(fā)現(xiàn)。即使被發(fā)現(xiàn)，很難追溯到源頭，受害者也沒(méi)有什么動(dòng)機(jī)去這樣做，因?yàn)槭裁礀|西也沒(méi)有丟，也沒(méi)有什么被加密。相對(duì)于非常流行的比特幣，黑客們更喜歡使用門羅幣和Zcash這些匿名的加密貨幣，因?yàn)楹茈y追蹤到他們的非法活動(dòng)。

挖礦劫持惡意軟件是怎樣工作的

黑客主要有兩種方法來(lái)讓受害者的計(jì)算機(jī)暗中挖掘加密貨幣。一種是欺騙受害者把加密貨幣挖礦代碼加載到他們的計(jì)算機(jī)上。這是通過(guò)類似于網(wǎng)絡(luò)釣魚(yú)的策略來(lái)完成的：受害者收到一封看似合法的電子郵件，誘騙他們點(diǎn)擊鏈接。該鏈接運(yùn)行代碼后，把加密貨幣挖礦腳本置入到計(jì)算機(jī)中。當(dāng)受害者工作時(shí)，腳本會(huì)在后臺(tái)運(yùn)行。

另一種方法是在網(wǎng)站或者廣告上注入一個(gè)腳本，并將其傳播到多個(gè)網(wǎng)站上。一旦受害者訪問(wèn)網(wǎng)站，或者被感染的廣告在其瀏覽器上彈出來(lái)，腳本就會(huì)自動(dòng)執(zhí)行。受害者的計(jì)算機(jī)上沒(méi)有存儲(chǔ)任何代碼。無(wú)論使用哪種方法，代碼都會(huì)在受害者的計(jì)算機(jī)上運(yùn)行復(fù)雜的數(shù)學(xué)問(wèn)題，并把結(jié)果發(fā)送給黑客控制的服務(wù)器。

黑客通常同時(shí)使用這兩種方法來(lái)盡可能增加收益。Vaystikh介紹說(shuō)：“進(jìn)行攻擊時(shí)，他們還使用老的惡意軟件欺騙技巧把更可靠和更持久的軟件傳播給受害者的計(jì)算機(jī)，把這種方法作為備用手段?！崩纾跒楹诳屯诰蚣用茇泿诺?00臺(tái)設(shè)備中，10%可能從受害者機(jī)器上的代碼產(chǎn)生收益，而90%則通過(guò)他們的網(wǎng)絡(luò)瀏覽器產(chǎn)生收益。

與大多數(shù)其他類型的惡意軟件不同，挖礦劫持腳本不會(huì)損害計(jì)算機(jī)或者受害者的數(shù)據(jù)。但他們確實(shí)竊取了CPU的處理資源。對(duì)于個(gè)人用戶來(lái)說(shuō)，計(jì)算機(jī)性能下降只是覺(jué)得有些煩人而已。被安裝了很多挖礦劫持系統(tǒng)的企業(yè)有可能在幫助解決問(wèn)題方面付出很高的成本，IT部門要花時(shí)間來(lái)跟蹤性能問(wèn)題，替換組件或者系統(tǒng)以解決問(wèn)題。

挖礦劫持實(shí)例

挖礦劫持黑客是很聰明的，他們?cè)O(shè)計(jì)出了很多方案來(lái)讓其他人的計(jì)算機(jī)去挖掘加密貨幣。大多數(shù)并不是什么新東西；加密貨幣挖礦傳播方法通常來(lái)源于勒索軟件和廣告軟件等其他類型的惡意軟件所使用的方法。Anomali公司安全策略總監(jiān)Travis Farral指出：“你會(huì)看到惡意軟件作者過(guò)去干的很多傳統(tǒng)的事情。他們并沒(méi)有傳播勒索軟件或者特洛伊木馬，而是重新設(shè)計(jì)，以傳播加密貨幣挖礦模塊或者組件。”

以下是一些真實(shí)的例子：

流氓員工控制了公司系統(tǒng)

在今年早些時(shí)候的EmTech數(shù)字會(huì)議上，Darktrace講述了一家歐洲銀行客戶的故事，該銀行的服務(wù)器上出現(xiàn)了一些不尋常的流量模式。進(jìn)程在夜間運(yùn)行得非常緩慢，而銀行的診斷工具沒(méi)有發(fā)現(xiàn)任何問(wèn)題。Darktrace發(fā)現(xiàn)，有新服務(wù)器在那段時(shí)間上網(wǎng)——而銀行稱并不存在這些服務(wù)器。對(duì)數(shù)據(jù)中心進(jìn)行物理檢查顯示，一名流氓員工在地板下面偷偷建立了加密貨幣挖礦系統(tǒng)。

通過(guò)GitHub服務(wù)于加密貨幣挖礦黑客

三月份，Avast軟件公司報(bào)告說(shuō)，挖礦劫持黑客使用GitHub作為加密貨幣挖礦惡意軟件的主機(jī)。他們找到合法的項(xiàng)目，從中創(chuàng)建一個(gè)分叉的項(xiàng)目。然后，惡意軟件隱藏在該分叉項(xiàng)目的目錄結(jié)構(gòu)中。使用網(wǎng)絡(luò)釣魚(yú)方法，挖礦劫持黑客誘使人們下載惡意軟件，例如，提醒更新他們的Flash播放器，或者承諾提供有成人游戲的網(wǎng)站。

利用rTorrent漏洞

挖礦劫持黑客發(fā)現(xiàn)了一個(gè)rTorrent錯(cuò)誤配置漏洞，使得不需要進(jìn)行XML-RPC通信認(rèn)證就能夠訪問(wèn)一些rTorrent客戶端。他們掃描互聯(lián)網(wǎng)上暴露的客戶端，然后在這些客戶端上部署門羅幣挖礦惡意軟件。F5網(wǎng)絡(luò)公司在二月份報(bào)告了這個(gè)漏洞，并建議rTorrent用戶確保他們的客戶端不接受外部連接。

Facexworm：惡意Chrome擴(kuò)展程序

這一惡意軟件最初是由卡巴斯基實(shí)驗(yàn)室在2017年發(fā)現(xiàn)的，是一個(gè)谷歌Chrome瀏覽器擴(kuò)展程序，使用臉書(shū)Messenger來(lái)感染用戶的計(jì)算機(jī)。Facexworm一開(kāi)始只是傳播廣告軟件。今年早些時(shí)候，趨勢(shì)科技發(fā)現(xiàn)了以加密貨幣交易為目標(biāo)的各種Facexworm，并能傳播加密貨幣挖礦代碼。它仍然使用受感染的臉書(shū)賬戶來(lái)傳播惡意鏈接，但也可以竊取網(wǎng)絡(luò)帳戶和證書(shū)，這使其能夠把挖礦劫持代碼注入到這些網(wǎng)頁(yè)中。

WinstarNssmMiner：焦土政策

5月份，360 Total Security發(fā)現(xiàn)了一個(gè)傳播非?？斓募用茇泿磐诘V惡意軟件，挖礦劫持黑客使用起來(lái)非常有效。這款惡意軟件被稱為WinstarNssmMiner，如果誰(shuí)想刪掉它，就會(huì)遇到惱人的意外：受害者的計(jì)算機(jī)會(huì)死機(jī)。WinstarNssmMiner之所以能夠這樣，是首先啟動(dòng)svchost.exe進(jìn)程并向其中注入代碼，然后把衍生進(jìn)程的屬性設(shè)置為CriticalProcess。由于計(jì)算機(jī)將其視為一個(gè)關(guān)鍵進(jìn)程，因此，一旦進(jìn)程被刪除，計(jì)算機(jī)就會(huì)死機(jī)。

怎樣防止挖礦劫持

遵循以下步驟，企業(yè)可以最大限度地減小被挖礦劫持的風(fēng)險(xiǎn)：

要有被挖礦劫持威脅的安全意識(shí)培訓(xùn)，重點(diǎn)是針對(duì)網(wǎng)絡(luò)釣魚(yú)式地把腳本加載到用戶的計(jì)算機(jī)上。Laliberte說(shuō)：“當(dāng)技術(shù)解決方案有可能失敗時(shí)，培訓(xùn)將有助于保護(hù)您?！彼J(rèn)為網(wǎng)絡(luò)釣魚(yú)將繼續(xù)是傳播各類惡意軟件的主要方法。

員工培訓(xùn)對(duì)于訪問(wèn)合法網(wǎng)站導(dǎo)致的自動(dòng)執(zhí)行挖礦劫持惡意軟件幫助不大。Vaystikh說(shuō)：“由于無(wú)法告訴用戶不能訪問(wèn)哪些網(wǎng)站，因此，挖礦劫持培訓(xùn)的效果不大?！?/p>

在網(wǎng)絡(luò)瀏覽器上安裝廣告攔截或者反加密貨幣挖礦擴(kuò)展程序。由于挖礦劫持腳本通常通過(guò)網(wǎng)絡(luò)廣告?zhèn)鞑?，因此，安裝廣告攔截器可以有效地阻止它們。一些廣告攔截器，比如Ad Blocker Plus，具有檢測(cè)加密貨幣挖礦腳本的能力。Laliberte建議采用No Coin和MinerBlock這樣的擴(kuò)展程序，這些被設(shè)計(jì)用來(lái)檢測(cè)并攔截挖礦劫持腳本。

使用能夠檢測(cè)已知加密貨幣挖礦惡意軟件的端點(diǎn)保護(hù)功能。很多端點(diǎn)保護(hù)/防病毒軟件供應(yīng)商已經(jīng)在產(chǎn)品中加入了加密貨幣挖礦惡意軟件監(jiān)測(cè)功能。Farral說(shuō)：“防病毒是對(duì)端點(diǎn)進(jìn)行保護(hù)以阻止加密貨幣挖掘的一種好方法。如果是已知的，很有可能會(huì)被檢測(cè)到?！彼a(bǔ)充說(shuō)，要清醒地知道，加密貨幣挖礦惡意軟件作者會(huì)不斷改變他們的技術(shù)，以避免在端點(diǎn)被檢測(cè)到。

保持企業(yè)的網(wǎng)絡(luò)過(guò)濾工具最新。如果發(fā)現(xiàn)有網(wǎng)頁(yè)正在傳播挖礦劫持腳本，讓用戶一定不要再訪問(wèn)它。

維護(hù)好瀏覽器擴(kuò)展程序。一些攻擊者使用惡意瀏覽器擴(kuò)展程序或者有毒的合法擴(kuò)展程序來(lái)執(zhí)行加密貨幣挖礦腳本。

使用移動(dòng)設(shè)備管理（MDM）解決方案來(lái)更好地控制用戶設(shè)備上的內(nèi)容。但是，自帶設(shè)備（BYOD）政策對(duì)防止非法加密貨幣挖礦構(gòu)成了挑戰(zhàn)。Laliberte說(shuō)：“MDM可以很好地保護(hù)BYOD的安全?！盡DM解決方案可以幫助管理用戶設(shè)備上的應(yīng)用程序和擴(kuò)展程序。MDM解決方案更適用于大企業(yè)，小企業(yè)往往負(fù)擔(dān)不起。然而，Laliberte指出，移動(dòng)設(shè)備不像桌面計(jì)算機(jī)和服務(wù)器面臨那么大的風(fēng)險(xiǎn)。因?yàn)橐苿?dòng)設(shè)備的處理能力較弱，因此，它們對(duì)黑客來(lái)說(shuō)并不是很賺錢。

怎樣檢測(cè)挖礦劫持惡意軟件

像勒索軟件一樣，盡管企業(yè)盡了最大努力去阻止它，挖礦劫持惡意軟件還是會(huì)影響你的企業(yè)?？赡芎茈y檢測(cè)到它，特別是如果只有少數(shù)系統(tǒng)被感染的情況。不要指望現(xiàn)有的端點(diǎn)保護(hù)工具來(lái)阻止挖礦劫持惡意軟件。Laliberte說(shuō)：“基于簽名的檢測(cè)工具發(fā)現(xiàn)不了加密貨幣挖礦代碼。桌面防病毒工具也看不到它們。”以下是可行的方法：

訓(xùn)練企業(yè)的幫助臺(tái)以尋找加密貨幣挖礦的跡象。SecBI公司的Vaystikh說(shuō)，有時(shí)第一個(gè)跡象是幫助臺(tái)不斷地抱怨計(jì)算機(jī)性能下降。這就應(yīng)該警醒起來(lái)，進(jìn)一步開(kāi)展調(diào)查。

Laliberte說(shuō)，幫助臺(tái)應(yīng)該注意的其他信號(hào)則是系統(tǒng)過(guò)熱，這可能會(huì)導(dǎo)致CPU和散熱風(fēng)扇出現(xiàn)故障。他說(shuō)：“CPU使用過(guò)度產(chǎn)生的熱量會(huì)導(dǎo)致設(shè)備損壞，縮短了設(shè)備的生命周期?！庇绕涫窍衿桨咫娔X和智能手機(jī)這樣比較弱的移動(dòng)設(shè)備。

部署網(wǎng)絡(luò)監(jiān)測(cè)解決方案。Vaystikh認(rèn)為，在企業(yè)網(wǎng)絡(luò)中，比在家里更容易發(fā)現(xiàn)挖礦劫持惡意軟件，因?yàn)榇蠖鄶?shù)消費(fèi)者終端解決方案都檢測(cè)不到它。通過(guò)網(wǎng)絡(luò)監(jiān)控解決方案很容易檢測(cè)到挖礦劫持惡意軟件，大多數(shù)企業(yè)組織都有網(wǎng)絡(luò)監(jiān)控工具。

然而，擁有網(wǎng)絡(luò)監(jiān)測(cè)工具和數(shù)據(jù)的企業(yè)卻很少擁有分析這類信息以準(zhǔn)確進(jìn)行檢測(cè)的工具和能力。例如，SecBI開(kāi)發(fā)了一種人工智能解決方案來(lái)分析網(wǎng)絡(luò)數(shù)據(jù)并檢測(cè)挖礦劫持惡意軟件和其他具體的威脅。

Laliberte也認(rèn)為網(wǎng)絡(luò)監(jiān)測(cè)是發(fā)現(xiàn)加密貨幣挖礦活動(dòng)的最佳選擇。他說(shuō)：“通過(guò)監(jiān)視網(wǎng)絡(luò)周界來(lái)檢查所有的網(wǎng)絡(luò)流量，這樣能夠更好地發(fā)現(xiàn)加密貨幣挖礦惡意軟件?！焙芏啾O(jiān)測(cè)解決方案能夠把這類活動(dòng)追蹤到具體用戶，從而可以發(fā)現(xiàn)哪些設(shè)備受到了影響。

Farral說(shuō)：“如果你在一臺(tái)服務(wù)器上很好地設(shè)置了出口過(guò)濾，監(jiān)視出站連接來(lái)自哪里，這就能夠比較好地檢測(cè)到加密貨幣挖礦惡意軟件?！比欢?，他警告說(shuō)，加密貨幣挖礦惡意軟件作者能夠編寫(xiě)他們的惡意軟件來(lái)避開(kāi)這種探測(cè)方法。

監(jiān)測(cè)你自己的網(wǎng)站是否有加密貨幣挖礦代碼。Farral警告說(shuō)，挖礦劫持黑客正在尋找方法把JavaScript代碼放到網(wǎng)絡(luò)服務(wù)器上。他說(shuō)：“服務(wù)器本身不是目標(biāo)，但任何訪問(wèn)該網(wǎng)站的人都有被感染的風(fēng)險(xiǎn)?！彼ㄗh經(jīng)常性地檢查網(wǎng)絡(luò)服務(wù)器上的文件變化，或者對(duì)頁(yè)面本身的更改。

密切注意挖礦劫持的趨勢(shì)。傳播方法和加密貨幣挖礦代碼本身都在不斷地發(fā)展。Farral說(shuō)，了解軟件和行為可以幫助您發(fā)現(xiàn)挖礦劫持惡意軟件。他說(shuō)：“聰明的企業(yè)會(huì)時(shí)刻關(guān)注正在發(fā)生的事情。如果你了解這類傳播機(jī)制，就知道某個(gè)特定的漏洞利用工具包正在傳播加密貨幣挖礦惡意軟件。對(duì)漏洞利用工具包的保護(hù)也就保護(hù)了不受加密貨幣挖礦惡意軟件的感染?！?/p>

怎樣應(yīng)對(duì)挖礦劫持攻擊

殺死并阻止網(wǎng)站傳播的腳本。對(duì)于瀏覽器內(nèi)的JavaScript攻擊，一旦探測(cè)到加密貨幣挖礦行為，解決方案就很簡(jiǎn)單：殺死運(yùn)行腳本的瀏覽器標(biāo)簽。IT部門應(yīng)該注意腳本源代碼的網(wǎng)站URL，并更新公司的網(wǎng)絡(luò)過(guò)濾器來(lái)攔截它。考慮部署反加密貨幣挖礦工具來(lái)幫助防止今后的攻擊。

更新并清除瀏覽器擴(kuò)展程序。Laliberte說(shuō)：“如果擴(kuò)展程序感染了瀏覽器，即使關(guān)閉標(biāo)簽也無(wú)濟(jì)于事。更新所有的擴(kuò)展程序并刪除那些不需要的或者已經(jīng)被感染的?！?/p>

學(xué)習(xí)和適應(yīng)。利用經(jīng)驗(yàn)來(lái)更好地了解攻擊者是怎樣危害你的系統(tǒng)的。更新你的用戶、幫助臺(tái)和IT的培訓(xùn)，這樣，他們能夠更好地發(fā)現(xiàn)挖礦劫持企圖并作出相應(yīng)的反應(yīng)。

Michael Nadeau是CSO在線的高級(jí)編輯。他是雜志、書(shū)籍和知識(shí)庫(kù)出版商和編輯，幫助企業(yè)充分發(fā)揮其ERP系統(tǒng)的優(yōu)勢(shì)。

原文網(wǎng)址

https：//www.csoonline.com/article/3253572/internet/what-is-cryptojacking-how-to-prevent-detect-and-recover-from-it.html