加密劫持的定义
加密劫持是未经授权使用他人的计算机来挖掘加密货币。黑客可以通过使受害者点击电子邮件中的恶意链接而在计算机上加载加密挖矿代码,或者通过之前加载到受害者浏览器中的JavaScript代码自动运行来感染网站或在线广告,以达到此目的。
无论哪种方式,加密挖矿代码都会在毫无戒心的受害者正常使用计算机时在后台运行。受害者可能会注意到的唯一迹象是电脑性能降低或执行命令滞后。
为什么加密劫持如此流行
没有人能确切知道通过加密劫持挖掘了多少加密货币,但是毫无疑问,这种做法很猖獗。起初,基于浏览器的加密劫持发展得很快,但似乎正在逐渐减少,这可能是由于加密货币的波动性。
2017年11月,Adguard公司报告称浏览器内加密劫持的增长率为31%。其研究发现,有33,000个网站在运行加密挖掘脚本。Adguard公司估计,这些站点每月的总访问量为10亿。
在2018年2月,“Bad Packets Report”报告发现了34,474个网站在运行Coinhive,这是一种最流行的JavaScript挖矿软件,也用于合法的加密挖矿活动。在2018年7月,Check Point Software Technologies软件技术公司报告说,其发现的十大恶意软件中有四个是加密挖矿软件,排名前两位的是:Coinhive和Cryptoloot。
但是,Positive Technology公司的“Cybersecurity Threatscape Q1 2019”报告显示,加密挖矿目前仅占所有攻击行为的7%,低于2018年初的23%。该报告表明,网络犯罪分子已将更多的精力转移到勒索软件上,这被认为更有利可图。
“加密挖矿技术还处于起步阶段。还有很多的成长和进化空间,”网络安全解决方案提供商WatchGuard Technologies的网络威胁分析师马克•拉利伯特(Marc Laliberte)说。他指出,Coinhive易于部署,并且在第一个月就赚了30万美元。 “从那时起,它已经增长了很多。真是轻松赚钱。”
在2018年1月,研究人员发现了Smominru加密挖矿僵尸网络,该僵尸网络感染了超过50万台机器,主要是在俄罗斯、印度和台湾。该僵尸网络针对Windows服务器来挖掘Monero,据网络安全公司Proofpoint估计,截至1月底,该僵尸网络已经产生了360万美元的价值。
加密劫持甚至不需要很高的技术技能。根据Digital Shadows公司的“新的淘金热:加密货币是诈骗的新领域”报告称,在暗网中的加密劫持工具包仅售30美元。
加密劫持越来越受到黑客欢迎的一个很简单的原因是,赚钱更多,风险更小。“黑客将加密劫持视为勒索软件的一种更廉价、更赚钱的替代品,”SecBI公司的首席技术官兼联合创始人亚历克斯•韦斯蒂克(Alex Vaystikh)说。他解释说,借助勒索软件,黑客可能会从每100台受感染的计算机中得到3个人的付费。借助加密劫持,所有这100台被感染的计算机都可以帮助黑客挖掘加密货币。他说:“即使(黑客)可能获得的收益金额与被感染勒索软件中这三个人所支付的金额相同,但加密挖矿会不断产生收入。”
与勒索软件相比,被抓住和发现的风险也要低得多。加密挖矿代码会秘密运行,很长一段时间都不会被发现。一旦被发现,也很难追溯到源头,而且受害者没有动力去追根溯源,因为没有任何东西被窃取或加密。相对于更流行的比特币,黑客更倾向于选择Monero和Zcash这样的匿名加密货币,因为更难追溯到他们的非法活动。
加密劫持的工作原理
黑客有两种主要方法来让受害者的计算机秘密地挖掘加密货币。一种方法是诱骗受害者将加密挖矿代码加载到他们的计算机上。这是通过类似网络钓鱼的策略来实现的:受害者收到一封看似合法的电子邮件,诱导他们点击一个链接。该链接会运行代码,将加密挖矿脚本放置在计算机中。然后,该脚本会在受害者工作时在后台运行。
另一种方法是在网站上注入一个脚本,或在广告中注入一个脚本,然后投放到多个网站上。一旦受害者访问该网站,或受感染的广告在其浏览器中弹出,该脚本就会自动执行。受害者的计算机上没有存储任何代码。无论使用哪种方法,该代码都会在受害者的计算机上运行复杂的数学问题,并将结果发送到黑客控制的服务器上。
黑客通常会同时使用这两种方法来使其回报最大化。韦斯蒂克说:“攻击行为利用旧的恶意软件欺骗手段(向受害者的计算机中)植入更可靠、更持久的软件,以此作为退路”。例如,在100台为黑客挖掘加密货币的设备中,有10%可能是通过受害者计算机上的代码来产生收入的,而90%则是通过他们的网络浏览器来产生收入的。
与大多数其他类型的恶意软件不同,加密劫持脚本不会损坏计算机或受害者的数据。但这些脚本确实会窃取CPU处理资源。对于个人用户,较慢的计算机性能可能只是一个烦恼。但对于许多系统都被加密劫持的组织来说,这可能会导致服务台和IT工作时间方面的实际成本,这些花费的时间是用于跟踪性能问题以及更换组件或系统,以期解决问题。
流氓员工霸占公司系统
在今年早些时候的EmTech Digital会议上,Darktrace公司讲述了一家欧洲银行客户的故事,该客户的服务器上出现一些异常的流量模式。夜间进程运行缓慢,但银行的诊断工具未发现任何问题。Darktrace公司发现这段时间内有新服务器上线,而该银行称这些服务器不存在。对数据中心进行的实地检查发现,一个流氓员工在地板下安装了一个加密挖矿系统。
通过GitHub工具为加密挖矿软件提供服务
3月,Avast Software公司报告称,加密劫持者正在使用GitHub作为加密挖矿恶意软件的主机。他们找到一些合法项目,从中创建分支项目。然后,该恶意软件将隐藏在该分支项目的目录结构中。使用网络钓鱼方案,加密劫持者会通过一些手段来引诱人们下载该恶意软件,例如通过发出警告来更新其Flash播放器或承诺提供成人内容游戏网站。
利用rTorrent漏洞
加密劫持者发现了一个rTorrent错误配置漏洞,该漏洞使某些rTorrent客户端无需进行XML-RPC通信身份验证即可访问。他们在互联网上扫描这些暴露的客户端,然后在其上部署Monero加密挖矿软件。F5 Networks公司在2月报告了此漏洞,并建议rTorrent用户应确保其客户端不接受外部连接。
Facexworm:恶意Chrome扩展插件
该恶意软件由卡巴斯基实验室(Kaspersky Labs)于2017年首次发现,是一个谷歌Chrome浏览器的扩展插件,它利用Facebook Messenger来感染用户的计算机。最初,Facexworm是发送广告软件。今年早些时候,趋势科技公司(Trend Micro)发现了多种针对加密货币交易所的Facexworm,并且该恶意程序能够发送加密挖矿代码。它仍然使用受感染的Facebook帐户来发送恶意链接,但还可以窃取Web帐户和凭据,从而可以将加密劫持代码注入这些网页。
WinstarNssmMiner:焦土政策
5月,360 Total Security软件发现了一种加密挖矿软件,该软件可迅速传播,并经证明对加密劫持者有效。这款被称为WinstarNssmMiner的恶意软件,还会令那些试图删除它的人感到厌恶和吃惊:它会使受害者的计算机死机。 WinstarNssmMiner首先会启动svchost.exe进程,并向其中注入代码,然后将生成的进程的属性设置为CriticalProcess,以此导致计算机死机。由于计算机视其为一个关键进程,因此删除该进程后便会死机。
CoinMiner会寻找并消灭竞争对手
加密劫持已经变得非常普遍,以至于黑客正在设计他们的恶意软件,以便在他们感染的系统上发现并消灭已经在运行的加密挖矿软件。CoinMiner就是一个例子。
根据科摩多公司的说法,CoinMiner会检查Windows系统上是否存在AMDDriver64进程。CoinMiner恶意软件中有两个列表,即$malwares和$malwares2,其中包含其他加密挖矿软件的部分已知进程名称。然后它会终止这些进程。
被入侵的MikroTik路由器会传播加密挖矿软件
Bad Packets公司于去年9月的报告称,其已经检测到针对MikroTik路由器的80多个加密劫持活动,并提供了数十万个设备受到入侵的证据。这些劫持活动利用了一个已知漏洞(CVE-2018-14847),MikroTik公司为此漏洞已提供了补丁。但是,并非所有路由器用户都已安装补丁。由于MikroTik公司生产电信级路由器,因此加密劫持者可以大范围地访问可能被感染的系统。
如何防止加密劫持
请按照以下步骤操作,以最大程度地降低你的组织遭受加密劫持的风险:
将加密劫持威胁纳入到你的安全意识培训中,重点在于防范利用网络钓鱼类型方式将脚本加载到用户计算机上。“当技术解决方案可能失败时,培训将有助于保护你。”拉利伯特说。他认为网络钓鱼仍将是传播各类恶意软件的主要方法。
员工培训不会帮助那些因访问合法网站而自动执行的加密劫持。韦斯蒂克说:“对于加密劫持来说,培训的效果并不太好,因为你无法告诉用户不要访问哪些网站。”
在网络浏览器上安装广告拦截或反加密挖矿扩展插件。由于加密劫持脚本通常是通过网络广告发送的,因此安装广告拦截器可能是阻止它的有效方法。某些广告拦截器(如Ad Blocker Plus)具有检测加密挖矿脚本的功能。拉利伯特建议使用诸如No Coin和MinerBlock之类的扩展插件,这些插件旨在检测和阻止加密挖矿脚本。
使用端点保护功能,能够检测已知的加密挖矿软件。许多端点保护/防病毒软件供应商已在其产品中添加了加密挖矿软件的检测功能。法拉尔说:“防病毒软件是端点上用来防止加密挖矿的好方法之一。如果它是一种已知的挖矿软件,就很有可能被检测到”。他补充说,请注意,加密挖矿软件的作者在不断改变他们的技术,以避免在终端被发现。
让你的Web过滤工具保持最新版本。如果你发现某一网页在发送加密劫持脚本,请确保阻止你的用户再次访问该网页。
应维护浏览器扩展插件。一些攻击者使用恶意浏览器扩展插件或使合法扩展插件中毒来执行加密挖矿脚本。
使用移动设备管理(MDM)解决方案可更好地控制用户设备上的内容。自带设备(BYOD)政策对防止非法加密挖矿提出了挑战。拉利伯特说:“移动设备管理可以使自带设备更加安全”。 移动设备管理解决方案可以帮助管理用户设备上的应用程序和扩展插件。移动设备管理解决方案倾向于面向大型企业,而小型企业通常买不起。不过,拉利伯特指出,移动设备的风险不像台式计算机和服务器那样大。由于移动设备往往处理能力较弱,因此它们对于黑客而言并不那么有利可图。
以上最佳实践都不是万无一失的。认识到这一点,以及加密劫持正日益猖獗,网络风险解决方案提供商Coalition目前提供了服务欺诈保险。根据一份新闻稿,该保险将补偿组织因受欺诈性使用商业服务(包括加密挖矿)而造成的直接损失。
如何检测加密劫持
与勒索软件一样,尽管你尽了最大的努力,但加密劫持仍会影响你的组织。检测加密劫持可能会很困难,尤其是如果只有少数系统受到入侵时。不要指望现有的端点保护工具来阻止加密劫持。拉利伯特说:“加密挖矿代码可以躲避基于签名的检测工具。”“台式机杀毒工具看不到这些挖矿代码。”以下是一些有效方法:
培训你的服务台人员去查找一些加密挖矿的迹象。SecBI公司的韦斯蒂克说,有时候第一个迹象是服务台出现对计算机性能下降的抱怨激增。这应该引起警觉,并进行进一步调查。
拉利伯特说,服务台人员应查找的其他迹象可能是系统过热,这可能导致CPU或冷却风扇故障。他说:“(过度使用CPU)产生的热量会造成损害,并会缩短设备的使用周期”。对于平板电脑和智能手机等轻薄移动设备尤其如此。
部署网络监控解决方案。韦斯蒂克认为,在企业网络中比在家中更容易检测到加密劫持,因为大多数消费者端点解决方案都无法检测到。通过网络监控解决方案很容易检测到加密劫持,而且大多数公司组织都配有网络监控工具。
然而,配备网络监控工具和数据监控工具的组织很少有工具和能力来分析这些信息以进行准确的检测。例如,SecBI公司开发了一种人工智能解决方案,以分析网络数据,并检测加密劫持和其他特定的威胁。
拉利伯特同意,网络监控是检测加密挖矿活动的最佳方法。他说:“可审查所有Web流量的网络周边监控更有可能发现加密挖矿软件”。许多监控解决方案会将该活动追踪到单个用户,以便你可找到哪些设备受到影响。
法拉尔说:“如果你在所监控的出站连接启动的服务器上配有良好的出口过滤功能,则可以很好地检测到(加密挖矿恶意软件)”。但他警告说,加密挖矿软件的作者能够编写其恶意软件来避免这种检测方法。
监控你自己网站上的加密挖矿代码。法拉尔警告说,加密劫持者正在寻找方法将Javascript代码放置在Web服务器上。他说:“服务器本身不是目标,但任何访问该网站的人都(有被感染的风险)”。他建议定期监控Web服务器上的文件更改或页面本身的更改。
了解加密劫持的最新发展。发送方法和加密挖矿代码本身也在不断发展。法拉尔说,了解软件和行为可以帮助你检测加密劫持。“一个精明的组织会及时了解所发生的最新情况。如果你了解这些类型的恶意软件的发送机制,你就会知道这个特定的漏洞利用工具包正在发送一些加密的东西。预防这些漏洞利用工具包将会防止你受到加密挖矿恶意软件的感染,”他说。
如何应对加密劫持攻击
终止并阻止网站发送的脚本。对于浏览器内JavaScript攻击,一旦检测到加密挖矿,其解决方案就很简单:终止浏览器标签运行脚本。IT人员应记下脚本来源的网站URL,并更新公司的网络过滤器以将其阻止。考虑部署反加密挖矿工具以帮助防止将来的攻击。
更新和清除浏览器扩展插件。“如果某一扩展插件感染了浏览器,关闭标签将无济于事,”拉利伯特说。“更新所有扩展插件,并删除不需要的或已被感染的扩展插件。”
学习和适应。利用这些经验可以更好地了解攻击者如何破坏你的系统。更新你的用户、服务台和IT培训内容,以便他们能够更好地识别加密劫持行为,并做出相应的反应。
版权声明:本文为企业网D1Net编译,转载需注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
京公网安备 11010502049343号