TMT观察网_独特视角观察TMT行业

加密貨幣劫持（cryptojacking），也稱作挖礦劫持，是指未經(jīng)授權(quán)使用別人的計(jì)算機(jī)挖掘加密貨幣。

通常，黑客通過(guò)讓受害者點(diǎn)擊電子郵件中的惡意鏈接，將加密貨幣挖礦代碼加載到計(jì)算機(jī)上；或者使用JavaScript代碼感染網(wǎng)站或在線廣告，而JavaScript代碼將在受害者瀏覽器內(nèi)加載后自動(dòng)執(zhí)行。

無(wú)論通過(guò)哪種方式，挖礦代碼將在后臺(tái)運(yùn)行，而毫不知情的受害者可以正常使用計(jì)算機(jī)。他們可能注意到的唯一跡象是計(jì)算機(jī)性能下降或執(zhí)行滯后。

為何挖礦劫持事件層出不窮？

沒(méi)有人知道黑客通過(guò)挖礦劫持開(kāi)采了多少加密貨幣，但毫無(wú)疑問(wèn)這種做法日漸猖獗。

基于瀏覽器的挖礦劫持正在快速增長(zhǎng)。去年11月，據(jù)Adguard報(bào)告，瀏覽器內(nèi)的挖礦劫持增長(zhǎng)率為31％。Adguard研究發(fā)現(xiàn)，共有33000個(gè)網(wǎng)站運(yùn)行挖礦劫持腳本，而這些網(wǎng)站每月的訪問(wèn)數(shù)量預(yù)計(jì)達(dá)到10億。今年2月，Bad Packets Report發(fā)現(xiàn)了34474個(gè)運(yùn)行Coinhive的站點(diǎn)。Coinhive是最受歡迎的JavaScript挖礦程序，也被用于合法的加密貨幣挖礦活動(dòng)。

網(wǎng)絡(luò)安全解決方案提供商WatchGuard Technologies的威脅情報(bào)分析師Marc Laliberte表示，“加密貨幣挖礦正處于初級(jí)階段，還有很多發(fā)展和演變的空間。”他指出，Coinhive程序易于部署，并且在第一個(gè)月就創(chuàng)造了30萬(wàn)美元的價(jià)值。

“從那以后，Coinhive發(fā)展得很快。這樣賺錢真的很容易。”

1月份，研究人員發(fā)現(xiàn)了Smominru加密貨幣挖礦僵尸網(wǎng)絡(luò)，該蠕蟲感染了超過(guò)50萬(wàn)臺(tái)機(jī)器，主要集中在俄羅斯、印度和臺(tái)灣地區(qū)。僵尸網(wǎng)絡(luò)的目標(biāo)是讓W(xué)indows服務(wù)器挖掘門羅幣（Monero）。網(wǎng)絡(luò)安全公司Proofpoint估計(jì)，截至1月底，它已經(jīng)創(chuàng)造了360萬(wàn)美元的價(jià)值。

挖礦劫持甚至不需要擁有重要的技術(shù)能力。根據(jù)Digital Shadows的報(bào)告《新淘金熱：加密貨幣成為欺詐的新領(lǐng)域》，挖礦劫持工具包在暗網(wǎng)只賣30美元。

挖礦劫持越來(lái)越受黑客歡迎的一個(gè)原因是風(fēng)險(xiǎn)更低卻能獲得更多金錢。SecBI的CTO兼聯(lián)合創(chuàng)始人Alex Vaystikh表示：“對(duì)于黑客來(lái)說(shuō)，挖礦劫持是比勒索軟件更廉價(jià)、更有利可圖的替代品。”如果使用勒索軟件，黑客每次感染100臺(tái)計(jì)算機(jī)，或許只能讓3個(gè)人付費(fèi)。而使用挖礦劫持，被感染的100臺(tái)計(jì)算機(jī)都可以用來(lái)挖掘加密貨幣。他解釋說(shuō)，雖然通過(guò)挖礦劫持和使用勒索軟件獲得的金錢可能一樣多，但是挖礦可以不斷地產(chǎn)生價(jià)值。

另外，挖礦劫持被發(fā)現(xiàn)和識(shí)別的風(fēng)險(xiǎn)也遠(yuǎn)低于勒索軟件。挖礦代碼將靜默運(yùn)行，并且可能很長(zhǎng)時(shí)間不被發(fā)現(xiàn)；就算被發(fā)現(xiàn)，也很難追溯到源頭。因?yàn)闆](méi)有任何東西被盜或被加密，受害者沒(méi)有什么動(dòng)機(jī)去追溯。黑客傾向于選擇Monero和Zcash等匿名加密貨幣，而不是比特幣，因?yàn)楹茈y追蹤這些貨幣背后的非法行為。

挖礦劫持是如何發(fā)生的？

黑客主要通過(guò)兩種方式讓受害者的計(jì)算機(jī)悄悄地挖掘加密貨幣。

一種方法是誘導(dǎo)受害者將挖礦代碼加載到計(jì)算機(jī)上。通過(guò)類似網(wǎng)絡(luò)釣魚的方法完成劫持：受害者收到一封看似合法的電子郵件，誘導(dǎo)他們點(diǎn)擊鏈接。這個(gè)鏈接會(huì)運(yùn)行代碼，將挖礦腳本加載到計(jì)算機(jī)上。受害者使用計(jì)算機(jī)時(shí)，挖礦腳本代碼可以在后臺(tái)運(yùn)行。

另一種方法是在可以大量傳播的網(wǎng)站或廣告里植入腳本。一旦受害者訪問(wèn)被感染的網(wǎng)站或者點(diǎn)擊瀏覽器彈出的廣告，腳本將自動(dòng)執(zhí)行。沒(méi)有代碼存儲(chǔ)在受害者的計(jì)算機(jī)上。

無(wú)論使用哪種方法，挖礦代碼都會(huì)利用受害者的計(jì)算機(jī)挖礦，并將結(jié)果發(fā)送到黑客控制的服務(wù)器。

黑客通常會(huì)使用這兩種方法來(lái)獲取最大化的回報(bào)。Vaystikh表示：“攻擊者會(huì)使用惡意軟件技術(shù)作為備用，向受害者的計(jì)算機(jī)發(fā)送更可靠和持久的惡意軟件。”例如，在100臺(tái)為黑客挖掘加密貨幣的設(shè)備中，其中10％可能通過(guò)受害者設(shè)備上的代碼產(chǎn)生收入，90％則通過(guò)他們的網(wǎng)絡(luò)瀏覽器實(shí)現(xiàn)。

與大多數(shù)其他類型的惡意軟件不同，挖礦劫持腳本不會(huì)損害計(jì)算機(jī)或者受害者的數(shù)據(jù)。它們竊取的是CPU處理資源。對(duì)于個(gè)人用戶來(lái)說(shuō)，計(jì)算機(jī)性能變慢可能只是一個(gè)煩惱。而對(duì)于企業(yè)來(lái)說(shuō)，如果很多系統(tǒng)被劫持挖礦，可能會(huì)增加成本。為了解決問(wèn)題，服務(wù)臺(tái)和IT部門需要花費(fèi)時(shí)間追蹤性能問(wèn)題并更換組件或系統(tǒng)。 

挖礦劫持實(shí)際案例

挖礦劫持者很聰明，設(shè)計(jì)了很多方案來(lái)利用他人的電腦挖掘加密貨幣。大部分的方案并不新奇，其傳播方式通常借鑒其他惡意軟件（如勒索軟件或廣告軟件）的方法。以下是一些真實(shí)發(fā)生的案例：

流氓員工劫持公司系統(tǒng)

在今年的EmTech數(shù)字會(huì)議上，Darktrace講述了一家歐洲銀行的故事。這家銀行的服務(wù)器出現(xiàn)了異常流量，在夜間運(yùn)行緩慢，但是銀行的診斷工具沒(méi)有發(fā)現(xiàn)任何異常。Darktrac發(fā)現(xiàn)，在那段時(shí)間里有新服務(wù)器上線，而銀行表示并沒(méi)有這些服務(wù)器。最后，Darktrac對(duì)數(shù)據(jù)中心進(jìn)行實(shí)地檢查時(shí)發(fā)現(xiàn)，一名流氓員工在地板下建了一個(gè)加密貨幣挖礦系統(tǒng)。

利用GitHub傳播挖礦軟件

3月份，Avast軟件公司報(bào)告稱，挖礦劫持者正在將GitHub作為惡意挖礦軟件的宿主。他們找到合法的項(xiàng)目，從中創(chuàng)建一個(gè)分叉項(xiàng)目；然后將惡意軟件隱藏在該分叉項(xiàng)目的目錄結(jié)構(gòu)中。挖礦劫持者通過(guò)使用網(wǎng)絡(luò)釣魚方案引誘用戶下載該惡意軟件，例如提醒更新Flash播放器或者偽裝成一個(gè)成人游戲網(wǎng)站。

利用rTorrent漏洞

挖礦劫持者發(fā)現(xiàn)了一個(gè)rTorrent錯(cuò)誤配置漏洞，無(wú)需進(jìn)行XML-RPC通信驗(yàn)證即可訪問(wèn)一些rTorrent客戶端。他們掃描互聯(lián)網(wǎng)尋找未打補(bǔ)丁的客戶端，然后在客戶端上部署Monero挖礦軟件。F5 Networks在2月份報(bào)告了這個(gè)漏洞，并建議rTorrent用戶確保其客戶端不接受外部連接。

Chrome惡意插件Facexworm

這種惡意軟件最早是由卡巴斯基實(shí)驗(yàn)室于2017年發(fā)現(xiàn)的，它是一款谷歌瀏覽器插件，使用Facebook Messenger來(lái)感染用戶的計(jì)算機(jī)。最初，F(xiàn)acexworm用于傳播廣告軟件。今年早些時(shí)候，趨勢(shì)科技發(fā)現(xiàn)了多種面向加密貨幣兌換的Facexworm，并且能夠傳播加密貨幣挖礦代碼。它仍然使用被感染的Facebook帳戶來(lái)傳播惡意鏈接，但也可以竊取網(wǎng)絡(luò)帳戶和憑證，從而允許它將挖礦劫持代碼植入到這些網(wǎng)頁(yè)。

暴力挖礦病毒W(wǎng)instarNssmMiner

5月份，360安全衛(wèi)士發(fā)現(xiàn)了可以迅速傳播的挖礦劫持程序WinstarNssmMiner。這個(gè)惡意程序的特別之處在于，卸載它會(huì)讓受害者的計(jì)算機(jī)崩潰。WinstarNssmMiner首先啟動(dòng)svchost.exe進(jìn)程并向其植入代碼，然后將該進(jìn)程的屬性設(shè)置為CriticalProcess。由于計(jì)算機(jī)將其視為關(guān)鍵進(jìn)程，因此一旦強(qiáng)制結(jié)束該進(jìn)程，計(jì)算機(jī)就會(huì)藍(lán)屏。

如何預(yù)防挖礦劫持？

如果遵循這些步驟，可以最大限度地降低公司被劫持挖礦的風(fēng)險(xiǎn)：

公司安全意識(shí)培訓(xùn)應(yīng)該增加關(guān)于挖礦劫持威脅的內(nèi)容，著重介紹通過(guò)網(wǎng)絡(luò)釣魚將挖礦腳本加載到用戶計(jì)算機(jī)上的劫持方式。

Laliberte認(rèn)為培訓(xùn)會(huì)有幫助，網(wǎng)絡(luò)釣魚將繼續(xù)成為攻擊者發(fā)送各種惡意軟件的主要方式。而針對(duì)通過(guò)訪問(wèn)合法網(wǎng)站自動(dòng)執(zhí)行挖礦劫持的方式， Vaystikh表示，培訓(xùn)效果不佳，因?yàn)槟銢](méi)辦法告訴用戶不能訪問(wèn)哪些網(wǎng)站。

在Web瀏覽器上安裝廣告攔截或反挖礦插件。

由于挖礦劫持腳本通常通過(guò)網(wǎng)絡(luò)廣告進(jìn)行傳播，因此安裝廣告攔截器可能是阻止它們的有效手段。Ad Blocker Plus等廣告攔截器具備檢測(cè)挖礦腳本的功能。Laliberte推薦No Coin和MinerBlock等可以檢測(cè)和攔截挖礦腳本的瀏覽器插件。

使用能夠檢測(cè)已知挖礦程序的端點(diǎn)保護(hù)技術(shù)。

許多端點(diǎn)保護(hù)/防病毒軟件供應(yīng)商已經(jīng)添加了檢測(cè)挖礦程序的功能。Anomali安全策略總監(jiān)Travis Farral說(shuō)：“防病毒是終端預(yù)防挖礦劫持的方法之一。如果這個(gè)程序是已知的，那就很可能被檢測(cè)出來(lái)。”他補(bǔ)充道，需要注意的是挖礦程序的編寫者正在不斷改變技術(shù)，避免被端點(diǎn)檢測(cè)到。

更新網(wǎng)頁(yè)過(guò)濾工具。

如果已經(jīng)確定一個(gè)網(wǎng)站正在運(yùn)行挖礦腳本，請(qǐng)確保所有用戶不會(huì)再訪問(wèn)該網(wǎng)站。

維護(hù)瀏覽器插件。

一些攻擊者正在使用瀏覽器惡意插件或者被感染的合法插件來(lái)執(zhí)行加密貨幣挖礦腳本。

使用移動(dòng)設(shè)備管理（MDM）解決方案更好地控制用戶設(shè)備上的內(nèi)容。

自帶設(shè)備（BYOD）策略可以有效預(yù)防非法的加密貨幣挖礦行為。Laliberte認(rèn)為，MDM可以長(zhǎng)期保持自帶設(shè)備的安全。MDM解決方案可以幫助企業(yè)管理用戶設(shè)備上的應(yīng)用和插件。MDM解決方案傾向于面向大型企業(yè)，小型企業(yè)通常負(fù)擔(dān)不起。不過(guò)，Laliberte指出，移動(dòng)設(shè)備不像臺(tái)式電腦和服務(wù)器那么危險(xiǎn)。因?yàn)橐苿?dòng)設(shè)備的處理能力往往較低，所以對(duì)黑客來(lái)說(shuō)并不是很賺錢。

如何檢測(cè)挖礦劫持？

與勒索軟件一樣，盡管企業(yè)竭盡全力去阻止挖礦劫持，還是可能受到影響。企業(yè)可能很難檢測(cè)挖礦劫持，特別是在只有少數(shù)系統(tǒng)受到損害的情況下。以下是有效的方法：

訓(xùn)練服務(wù)臺(tái)，發(fā)現(xiàn)挖礦劫持的跡象。

SecBI的Vaystikh表示，有時(shí)候，挖礦劫持的第一個(gè)跡象就是服務(wù)臺(tái)收到用戶關(guān)于計(jì)算機(jī)性能下降的抱怨。企業(yè)應(yīng)該對(duì)此予以重視，并進(jìn)一步進(jìn)行調(diào)查。

服務(wù)臺(tái)應(yīng)該尋找的其他信號(hào)是可能導(dǎo)致CPU或散熱風(fēng)扇故障的系統(tǒng)過(guò)熱。Laliberte指出，因?yàn)镃PU使用率過(guò)高，系統(tǒng)過(guò)熱會(huì)造成損壞，并可能縮短設(shè)備的使用周期。對(duì)于平板電腦和智能手機(jī)等移動(dòng)設(shè)備更是如此。

部署網(wǎng)絡(luò)監(jiān)控解決方案。

Vaystikh認(rèn)為，企業(yè)網(wǎng)絡(luò)中的挖礦劫持比家庭網(wǎng)絡(luò)更容易檢測(cè)，因?yàn)榇蠖鄶?shù)消費(fèi)者端點(diǎn)解決方案都無(wú)法檢測(cè)到它。挖礦劫持很容易通過(guò)網(wǎng)絡(luò)監(jiān)控解決方案進(jìn)行檢測(cè)，而大多數(shù)企業(yè)都有網(wǎng)絡(luò)監(jiān)控工具。

不過(guò)，即便擁有網(wǎng)絡(luò)監(jiān)控工具和數(shù)據(jù)，很少有企業(yè)可以有工具和能力來(lái)分析這些信息，從而進(jìn)行準(zhǔn)確的檢測(cè)。例如，SecBI開(kāi)發(fā)了一個(gè)AI解決方案來(lái)分析網(wǎng)絡(luò)數(shù)據(jù)，并檢測(cè)挖礦劫持和其他特定威脅。

Laliberte認(rèn)為，網(wǎng)絡(luò)監(jiān)測(cè)是檢測(cè)挖礦劫持的最佳選擇。審查所有網(wǎng)絡(luò)流量的網(wǎng)絡(luò)周邊監(jiān)控方案，更有可能檢測(cè)出挖礦行為。許多監(jiān)控解決方案將深入檢測(cè)每一個(gè)用戶，以便確定哪些設(shè)備受到影響。

Farral表示，如果企業(yè)服務(wù)器配備了靠譜的過(guò)濾器來(lái)監(jiān)控出口端點(diǎn)的網(wǎng)絡(luò)連接請(qǐng)求，那么可以很好地檢測(cè)出惡意挖礦軟件。不過(guò)，他警告說(shuō)，挖礦軟件的編程者有能力改寫惡意軟件，來(lái)規(guī)避這個(gè)檢測(cè)方法。

監(jiān)控自己的網(wǎng)站是否被植入挖礦劫持代碼。

Farral警告說(shuō)，挖礦劫持者正設(shè)法在Web服務(wù)器上植入一些Javascript代碼。服務(wù)器本身并不是其攻擊目標(biāo)，但是任何訪問(wèn)該網(wǎng)站的人都有感染的風(fēng)險(xiǎn)。他建議企業(yè)定期監(jiān)視Web服務(wù)器上的文件更改情況或者自行更改頁(yè)面。

隨時(shí)了解挖礦劫持的發(fā)展趨勢(shì)。

挖礦劫持的傳播方式和挖礦代碼本身在不斷發(fā)展。Farral表示，了解挖礦劫持軟件和劫持行為可以幫助企業(yè)檢測(cè)挖礦劫持。一個(gè)精明的企業(yè)會(huì)跟進(jìn)事情的最新進(jìn)展。如果掌握了挖礦劫持的傳播機(jī)制，就知道某個(gè)特定的開(kāi)發(fā)工具包正在發(fā)送挖礦代碼。保護(hù)開(kāi)發(fā)工具包，也將成為預(yù)防挖礦劫持的措施。

如何應(yīng)對(duì)挖礦劫持攻擊？

關(guān)閉并攔截網(wǎng)站發(fā)送的惡意腳本。

對(duì)于瀏覽器內(nèi)的JavaScript劫持攻擊，一旦檢測(cè)到挖礦劫持，就應(yīng)該關(guān)閉運(yùn)行惡意腳本的瀏覽器標(biāo)簽頁(yè)。IT部門應(yīng)該注意發(fā)送腳本的網(wǎng)站URL，并更新企業(yè)的網(wǎng)頁(yè)過(guò)濾器進(jìn)行攔截。企業(yè)可以考慮部署反挖礦工具，幫助防止未來(lái)的攻擊。

更新并清理瀏覽器插件。

Laliberte表示，如果一個(gè)插件感染了瀏覽器，關(guān)閉標(biāo)簽頁(yè)將無(wú)濟(jì)于事。這時(shí)應(yīng)該更新所有插件，并刪除不需要或已經(jīng)感染的插件。

學(xué)習(xí)并適應(yīng)。

借助這些經(jīng)驗(yàn)更好地了解攻擊者是如何危害系統(tǒng)的。更新企業(yè)的用戶、服務(wù)臺(tái)和IT培訓(xùn)內(nèi)容，以便他們更好地識(shí)別挖礦劫持并采取相應(yīng)的行動(dòng)。