如果你在担心网络安全,并且你还不知道什么是非法加密挖矿(亦称作“cryptojacking”),那么你就需要了解这一项目。Cryptojacking比恶意软件更加普遍,成为了2017年最常见的网络攻击方式。
笔者在2018年3月写了一篇文章,名为“Top Cyberthreat Of 2018: Illicit Cryptomining”(2018年顶级网络威胁事件:非法挖矿),该文章写道:cryptojacking的定义是攻击者在目标系统中秘密地安装加密货币挖矿软件。从技术层面来说,这个软件并算不上是恶意软件,它只消耗CPU周期和电力来处理加密货币交易,攻击者能够以此赚取佣金,佣金一般都是匿名的加密门罗币。
Cryptojacking并不需要攻击者来建立命令和控制,而且受害机器也不过是损耗一些CPU周期(又称机器周期),这就导致Cryptojacking愈加受到黑客的欢迎。Skybox Security在Vulnerability and Threat Trends 2018 Mid-Year Update(2018年中漏洞和威胁趋势更新报告)中解释道:“如果2017年是恶意软件盛行的年代,那么2018年就好像是加密矿工之年。”“加密挖矿恶意软件通常都能够不被察觉,能够为攻击者一直创造收益。”
浏览器中的“猫鼠游戏”
早期的cryptojacking的攻击目标大多数是能够通过Coinhive的加密挖矿软件运行浏览器的电脑和移动设备。Coinhive开发的这款软件表面上是为了让一些诚实行事的网页公司更好地将网站货币化,但是后来出现了一些犯罪行为,使得Coinhive被用于非法用途。
随后就出现了“猫鼠游戏”现象,杀毒软件厂商将Coinhive列为恶意软件,只是为了推动cryptojacking软件的创新,因为这个软件可以免疫反恶意软件工具。
反恶意软件厂商Malwarebytes就揭露了这种创新的方式。调查组组长、恶意软件情报和Malwarebytes 实验室负责人Jérôme Segura说道:“我们遇到过一种技术,能够让可疑网站的所有者和攻击者拥有一个妥协的网站,来持续挖掘门罗币,即使浏览器窗口被关闭。”“这种隐性弹出广告窗口旨在绕过adblockers,而且因为隐藏的方式够隐秘,所以很难识别到。”
反过来说,这种通过挖矿推动创新的软件也说明了一种新的预防技术。“一些肆无忌惮的网站所有者和黑客无疑会在目标电脑上安装挖矿软件,用户也会采取防御措施,下载更多的adblocker、扩展插件和其它工具,”Segura继续说道:“如果以前的恶意广告没有现在这么猖獗,那么它现在就拥有了一个新的武器,能够在所有的平台和浏览器上运行。”
“金银之地”
在反反复复的尝试中,cryptojackers越来越关注更有价值的领域:服务器。服务器运行于企业和云数据中心,数量巨大,并且比PC和移动设备更强大,这就成为了植入cryptojacking软件的一块“富饶之地”。
然而,鉴于企业的网络安全状况,定位服务器需要比隐性弹窗浏览器更复杂的攻击媒介。弱点:Windows远程管理工具,如Windows Management Instrumentation(WMI)。
网络安全供应商卡巴斯基实验室最近发现了基于WMI的加密劫持恶意软件。“我们称为PowerGhost的恶意软件,能够在一个系统中悄悄地创建并在大型企业网络中传播,从而感染工作站和服务器,”恶意软件分析师Vladas Bulavas和卡巴斯基实验室首席解决方案架构师Anatoly Kazantsev解释道:“隐蔽性是这种矿工的典型特征:被感染的机器越多,并且保持的时间越长,攻击者获得的利润就越大。”
由于受到PowerGhost和其他针对企业服务器的网络威胁,企业威胁形势已经将重点从勒索软件转移到了cryptojacking。“企业用户受到的影响最大,”Bulavas和Kazantsev继续说道。“PowerGhost更容易在公司的局域网内传播。”
Skybox Security的报告证实了这一趋势。报告称:“值得注意的是,在新恶意软件攻击事件中,加密矿工的数量增幅最大,从2017年下半年报告的7%的攻击率上升到2018年上半年的32%。” “与此同时,勒索软件是过去几年中网络犯罪分子的宠儿,但是将勒索软件作为攻击方式的数量也在减少,基本上与加密矿工交换了市场份额。虽然勒索软件和其他恶意软件系列仍然令人担忧,但就投资回报而言,恶意加密挖矿软件还是很有吸引力。”
Cryptojacking将无法在人们毫不知情的情况下运行。每位首席信息安全官都必须了解这种威胁的严重性,并要对企业面临的重大网络威胁进行排名。自满并不是理由,特别是当cryptojacking蔓延到整个企业IT环境时,企业的IT环境也会受到连累。我们是时候采取一些行动了。
原文作者:Jason Bloomberg
