品书网

杂志

保存到桌面 | 繁体 | 手机版
传记回忆文学理论侦探推理惊悚悬疑诗歌戏曲杂文随笔小故事书评杂志
品书网 > 杂志 > 什么是挖矿劫持?怎样预防、检测和恢复

什么是挖矿劫持?怎样预防、检测和恢复

时间:2024-10-31 09:17:51

犯罪分子借助类似于勒索软件的策略以及有毒的网站,让企业员工的计算机去挖掘加密货币。本文介绍企业应如何去阻止此类劫持。

挖矿劫持是指未经授权地使用他人的计算机来挖掘加密货币。黑客要做到这一点,通常是让受害者点击电子邮件中的恶意链接,把加密货币挖矿代码加载到计算机上,或者通过JavaScript代码感染网站和在线广告,这些代码一旦加载到受害者浏览器上就会自动执行。

无论哪种方式,加密货币挖掘代码在后台工作,毫不知情的受害者还是和平常一样使用他们的计算机。他们可能注意到的唯一迹象是性能下降,或者执行速度变慢了。

为什么挖矿劫持越来越多

没有人确切知道通过挖矿劫持挖出了多少加密货币,但毫无疑问,这种做法十分猖獗。基于浏览器的挖矿劫持发展非常快。去年十一月,Adguard报告了嵌入在浏览器内的挖矿劫持增长率为31%。其研究发现,3.3万个网站运行了加密货币挖矿脚本。Adguard估计,这些网站每月有10亿人次的访问量。今年二月,BadPacket报告发现了34474个运行Coinhive的网站,这是最流行的JavaScript挖矿程序,也用于合法的加密货币挖矿活动。

网络安全解决方案提供商WatchGuard技术公司的威胁分析师MarcLaliberte评论说:“加密货币挖矿还处于起步阶段。还有很大的增长和发展空间。”他指出,Coinhive很容易部署,第一个月就产生了30万美元的收益。“从那以后,它发展得很快。真得很容易赚钱。”

今年一月份,研究人员发现了Smominru加密货币挖矿僵尸网络,它感染了50多万台机器,主要分布在俄罗斯、印度和中国台湾。僵尸网络针对Windows服务器来挖掘门罗币(Monero),而网络安全公司Proofpoint估计,截至一月底,它创造的价值高达360万美元。

挖矿劫持甚至不需要高超的技术技能。据来自DigitalShadows公司的《欺诈的新前沿——加密货币淘金热》报告,暗网上提供的挖矿劫持套件只需30美元。

挖矿劫持越来越受黑客欢迎的一个简单原因就是风险很低,而收益不错。SecBI公司的首席技术官兼联合创始人AlexVaystikh指出:“黑客们认为挖矿劫持是比勒索软件更便宜、更有利可图的替代方案。”他解释说,使用勒索软件,一名黑客每感染100台计算机,就需要给三个人付费。而采用挖矿劫持恶意软件,所有被感染的100台机器都为黑客工作,去挖掘加密货币。他说:“黑客的收益可能和这三个勒索软件黑客的收益一样,而加密货币挖矿程序会不断地产生收益。”

被抓住和被发现的风险也远远低于使用勒索软件。加密货币挖矿代码偷偷摸摸地运行,在很长一段时间内都有可能不被发现。即使被发现,很难追溯到源头,受害者也没有什么动机去这样做,因为什么东西也没有丢,也没有什么被加密。相对于非常流行的比特币,黑客们更喜欢使用门罗币和Zcash这些匿名的加密货币,因为很难追踪到他们的非法活动。

挖矿劫持恶意软件是怎样工作的

黑客主要有两种方法来让受害者的计算机暗中挖掘加密货币。一种是欺骗受害者把加密货币挖矿代码加载到他们的计算机上。这是通过类似于网络钓鱼的策略来完成的:受害者收到一封看似合法的电子邮件,诱骗他们点击链接。该链接运行代码后,把加密货币挖矿脚本置入到计算机中。当受害者工作时,脚本会在后台运行。

另一种方法是在网站或者广告上注入一个脚本,并将其传播到多个网站上。一旦受害者访问网站,或者被感染的广告在其浏览器上弹出来,脚本就会自动执行。受害者的计算机上没有存储任何代码。无论使用哪种方法,代码都会在受害者的计算机上运行复杂的数学问题,并把结果发送给黑客控制的服务器。

黑客通常同时使用这两种方法来尽可能增加收益。Vaystikh介绍说:“进行攻击时,他们还使用老的恶意软件欺骗技巧把更可靠和更持久的软件传播给受害者的计算机,把这种方法作为备用手段。”例如,在为黑客挖掘加密货币的100台设备中,10%可能从受害者机器上的代码产生收益,而90%则通过他们的网络浏览器产生收益。

与大多数其他类型的恶意软件不同,挖矿劫持脚本不会损害计算机或者受害者的数据。但他们确实窃取了CPU的处理资源。对于个人用户来说,计算机性能下降只是觉得有些烦人而已。被安装了很多挖矿劫持系统的企业有可能在帮助解决问题方面付出很高的成本,IT部门要花时间来跟踪性能问题,替换组件或者系统以解决问题。

挖矿劫持实例

挖矿劫持黑客是很聪明的,他们设计出了很多方案来让其他人的计算机去挖掘加密货币。大多数并不是什么新东西;加密货币挖矿传播方法通常来源于勒索软件和广告软件等其他类型的恶意软件所使用的方法。Anomali公司安全策略总监TravisFarral指出:“你会看到恶意软件作者过去干的很多传统的事情。他们并没有传播勒索软件或者特洛伊木马,而是重新设计,以传播加密货币挖矿模块或者组件。”

以下是一些真实的例子:

流氓员工控制了公司系统

在今年早些时候的EmTech数字会议上,Darktrace讲述了一家欧洲银行客户的故事,该银行的服务器上出现了一些不寻常的流量模式。进程在夜间运行得非常缓慢,而银行的诊断工具没有发现任何问题。Darktrace发现,有新服务器在那段时间上网——而银行称并不存在这些服务器。对数据中心进行物理检查显示,一名流氓员工在地板下面偷偷建立了加密货币挖矿系统。

通过GitHub服务于加密货币挖矿黑客

三月份,Avast软件公司报告说,挖矿劫持黑客使用GitHub作为加密货币挖矿恶意软件的主机。他们找到合法的项目,从中创建一个分叉的项目。然后,恶意软件隐藏在该分叉项目的目录结构中。使用网络钓鱼方法,挖矿劫持黑客诱使人们下载恶意软件,例如,提醒更新他们的Flash播放器,或者承诺提供有成人游戏的网站。

利用rTorrent漏洞

挖矿劫持黑客发现了一个rTorrent错误配置漏洞,使得不需要进行XML-RPC通信认证就能够访问一些rTorrent客户端。他们扫描互联网上暴露的客户端,然后在这些客户端上部署门罗币挖矿恶意软件。F5网络公司在二月份报告了这个漏洞,并建议rTorrent用户确保他们的客户端不接受外部连接。

Facexworm:恶意Chrome扩展程序

这一恶意软件最初是由卡巴斯基实验室在2017年发现的,是一个谷歌Chrome浏览器扩展程序,使用脸书Messenger来感染用户的计算机。Facexworm一开始只是传播广告软件。今年早些时候,趋势科技发现了以加密货币交易为目标的各种Facexworm,并能传播加密货币挖矿代码。它仍然使用受感染的脸书账户来传播恶意链接,但也可以窃取网络帐户和证书,这使其能够把挖矿劫持代码注入到这些网页中。

WinstarNssmMiner:焦土政策

5月份,360TotalSecurity发现了一个传播非常快的加密货币挖矿恶意软件,挖矿劫持黑客使用起来非常有效。这款恶意软件被称为WinstarNssmMiner,如果谁想删掉它,就会遇到恼人的意外:受害者的计算机会死机。WinstarNssmMiner之所以能够这样,是首先启动svchost.exe进程并向其中注入代码,然后把衍生进程的属性设置为CriticalProcess。由于计算机将其视为一个关键进程,因此,一旦进程被删除,计算机就会死机。

怎样防止挖矿劫持

遵循以下步骤,企业可以最大限度地减小被挖矿劫持的风险:

要有被挖矿劫持威胁的安全意识培训,重点是针对网络钓鱼式地把脚本加载到用户的计算机上。Laliberte说:“当技术解决方案有可能失败时,培训将有助于保护您。”他认为网络钓鱼将继续是传播各类恶意软件的主要方法。

员工培训对于访问合法网站导致的自动执行挖矿劫持恶意软件帮助不大。Vaystikh说:“由于无法告诉用户不能访问哪些网站,因此,挖矿劫持培训的效果不大。”

在网络浏览器上安装广告拦截或者反加密货币挖矿扩展程序。由于挖矿劫持脚本通常通过网络广告传播,因此,安装广告拦截器可以有效地阻止它们。一些广告拦截器,比如AdBlockerPlus,具有检测加密货币挖矿脚本的能力。Laliberte建议采用NoCoin和MinerBlock这样的扩展程序,这些被设计用来检测并拦截挖矿劫持脚本。

使用能够检测已知加密货币挖矿恶意软件的端点保护功能。很多端点保护/防病毒软件供应商已经在产品中加入了加密货币挖矿恶意软件监测功能。Farral说:“防病毒是对端点进行保护以阻止加密货币挖掘的一种好方法。如果是已知的,很有可能会被检测到。”他补充说,要清醒地知道,加密货币挖矿恶意软件作者会不断改变他们的技术,以避免在端点被检测到。

保持企业的网络过滤工具最新。如果发现有网页正在传播挖矿劫持脚本,让用户一定不要再访问它。

维护好浏览器扩展程序。一些攻击者使用恶意浏览器扩展程序或者有毒的合法扩展程序来执行加密货币挖矿脚本。

使用移动设备管理(MDM)解决方案来更好地控制用户设备上的内容。但是,自带设备(BYOD)政策对防止非法加密货币挖矿构成了挑战。Laliberte说:“MDM可以很好地保护BYOD的安全。”MDM解决方案可以帮助管理用户设备上的应用程序和扩展程序。MDM解决方案更适用于大企业,小企业往往负担不起。然而,Laliberte指出,移动设备不像桌面计算机和服务器面临那么大的风险。因为移动设备的处理能力较弱,因此,它们对黑客来说并不是很赚钱。

怎样检测挖矿劫持恶意软件

像勒索软件一样,尽管企业尽了最大努力去阻止它,挖矿劫持恶意软件还是会影响你的企业。可能很难检测到它,特别是如果只有少数系统被感染的情况。不要指望现有的端点保护工具来阻止挖矿劫持恶意软件。Laliberte说:“基于签名的检测工具发现不了加密货币挖矿代码。桌面防病毒工具也看不到它们。”以下是可行的方法:

训练企业的帮助台以寻找加密货币挖矿的迹象。SecBI公司的Vaystikh说,有时第一个迹象是帮助台不断地抱怨计算机性能下降。这就应该警醒起来,进一步开展调查。

Laliberte说,帮助台应该注意的其他信号则是系统过热,这可能会导致CPU和散热风扇出现故障。他说:“CPU使用过度产生的热量会导致设备损坏,缩短了设备的生命周期。”尤其是像平板电脑和智能手机这样比较弱的移动设备。

部署网络监测解决方案。Vaystikh认为,在企业网络中,比在家里更容易发现挖矿劫持恶意软件,因为大多数消费者终端解决方案都检测不到它。通过网络监控解决方案很容易检测到挖矿劫持恶意软件,大多数企业组织都有网络监控工具。

然而,拥有网络监测工具和数据的企业却很少拥有分析这类信息以准确进行检测的工具和能力。例如,SecBI开发了一种人工智能解决方案来分析网络数据并检测挖矿劫持恶意软件和其他具体的威胁。

Laliberte也认为网络监测是发现加密货币挖矿活动的最佳选择。他说:“通过监视网络周界来检查所有的网络流量,这样能够更好地发现加密货币挖矿恶意软件。”很多监测解决方案能够把这类活动追踪到具体用户,从而可以发现哪些设备受到了影响。

Farral说:“如果你在一台服务器上很好地设置了出口过滤,监视出站连接来自哪里,这就能够比较好地检测到加密货币挖矿恶意软件。”然而,他警告说,加密货币挖矿恶意软件作者能够编写他们的恶意软件来避开这种探测方法。

监测你自己的网站是否有加密货币挖矿代码。Farral警告说,挖矿劫持黑客正在寻找方法把JavaScript代码放到网络服务器上。他说:“服务器本身不是目标,但任何访问该网站的人都有被感染的风险。”他建议经常性地检查网络服务器上的文件变化,或者对页面本身的更改。

密切注意挖矿劫持的趋势。传播方法和加密货币挖矿代码本身都在不断地发展。Farral说,了解软件和行为可以帮助您发现挖矿劫持恶意软件。他说:“聪明的企业会时刻关注正在发生的事情。如果你了解这类传播机制,就知道某个特定的漏洞利用工具包正在传播加密货币挖矿恶意软件。对漏洞利用工具包的保护也就保护了不受加密货币挖矿恶意软件的感染。”

怎样应对挖矿劫持攻击

杀死并阻止网站传播的脚本。对于浏览器内的JavaScript攻击,一旦探测到加密货币挖矿行为,解决方案就很简单:杀死运行脚本的浏览器标签。IT部门应该注意脚本源代码的网站URL,并更新公司的网络过滤器来拦截它。考虑部署反加密货币挖矿工具来帮助防止今后的攻击。

更新并清除浏览器扩展程序。Laliberte说:“如果扩展程序感染了浏览器,即使关闭标签也无济于事。更新所有的扩展程序并删除那些不需要的或者已经被感染的。”

学习和适应。利用经验来更好地了解攻击者是怎样危害你的系统的。更新你的用户、帮助台和IT的培训,这样,他们能够更好地发现挖矿劫持企图并作出相应的反应。

MichaelNadeau是CSO在线的高级编辑。他是杂志、书籍和知识库出版商和编辑,帮助企业充分发挥其ERP系统的优势。

原文网址https://www.csoonline/article/3253572/internet/what-is-cryptojacking-howto-prevent-detect-andrecover-from-it.html
   

热门书籍

热门文章