Cryptojacking(挖矿)攻击及其检测防御手法
犯罪分子正在使用类似勒索软件的策略和中毒的网站,让你员工的计算机运行挖矿程序。本文将介绍关于cryptojacking攻击及其检测防御手法
一、什么是cryptojacking
Cryptojacking是未经授权使用其他人的计算机来挖掘加密货币[译者注:数字货币的一种]。黑客通过让受害者点击电子邮件中的恶意链接来加载计算机上的挖掘加密货币的代码,或者使用在受害者浏览器中加载后自动执行的JavaScript代码感染网站或在线广告来实现此目的。
无论是哪种方式,这些挖矿程序都会在后台运行。一点防范意识都没有的受害者除了可能可以发现电脑性能降低之外,什么都发现不了。
二、cryptojacking活动越发频繁
没有人清楚通过cryptojacking所产生的加密货币数量是多少,但毫无疑问cryptojacking十分疯狂。基于浏览器的cryptojacking行为次数增长迅速。去年11月,Adguard报告了浏览器内cryptojacking的增长率为31%。它的研究发现有33,000个网站运行挖矿脚本。据Adguard估计这些网站每月有10亿的访问量。
今年2月,Bad Packets报告发现了34,474个运行Coinhive的站点,Coinhive是最受欢迎的JavaScript挖掘器,也用于合法的加密挖掘活动。7月份,Check Point软件技术公司报告称,它发现的十大恶意软件中有四个是cryptojacking软件,包括排名前二的两个软件:Coinhive和Cryptoloot。
“加密货币挖掘行业(挖矿)正处于起步阶段。”网络安全解决方案提供商WatchGuard Technologies的威胁分析师Marc Laliberte表示,这里有很大的增长和发展空间。他指出,Coinhive易于部署,并在第一个月产生了30万美元。有利益的地方就有江湖,“从那时起,它发展十分迅速。这是一条赚钱的捷径。“
今年1月,研究人员发现了Smominru挖矿僵尸网络,该网络感染了超过50万台机器,这些机器主要分布在俄罗斯,印度和台湾。这次发现的僵尸网络主要针对Windows服务器进行Monero[译者注:门罗币]的开采,而据网络安全公司Proofpoint估计,截至1月底,它已经获利高达360万美元。
Cryptojacking实际上不需要用户了解很多重要的技术技能。据The New Gold Rush Cryptocurrencies Are the New Frontier of Fraud报道[译者注:https://info.digitalshadows.com/TheNewGoldRush-CryptocurrencyResearch-Website.html,关于数字货币的一份报告],一款在暗网上售卖的挖矿工具只需30美元就可以买到手。
因为Cryptojacking能够通过承担更少的风险来赚更多的钱,它正变得越来越受黑客欢迎。SecBI的首席技术官兼联合创始人Alex Vaystikh说:“黑客认为,与勒索软件相比,Cryptojacking成本更低并且可获利润更大”。因为,如果黑客使用勒索软件感染了100台计算机,他也许只能让其中的3个人为计算机付款。但相比之下,通过Cryptojacking,这100台受感染的计算机都可以源源不断的产生加密货币。
除此之外,Cryptojacking被发现的风险也远低于勒索软件。挖矿程序偷偷摸摸地在后台运行,并且很有可能长时间不被检测到。即使被发现,也很难追溯到源头,受害者没有驱动力去这样做,因为没有任何东西被盗或加密。黑客倾向于选择匿名加密货币,如Monero[译者注:门罗币]和Zcash[译者注:巴比特,首个使用零知识证明机制的区块链系统],而不是更受欢迎的比特币,因为匿名加密货币很难被溯源。
三、cryptojacking的工作原理
黑客有两种主要方式让受害者的计算机偷偷挖掘加密货币。一种是欺骗受害者将加密代码加载到他们的计算机上。这是通过类似网络钓鱼的策略完成的:受害者收到一封看似合法的电子邮件,引诱他们去点击链接。然后链接运行代码在受害者的计算机上生成挖矿脚本。然后,当受害者使用它的计算机工作时,脚本会在后台运行。
另一种方法是在网站上注入脚本或将广告投放到多个网站。一旦受害者访问该网站或在其浏览器中弹出受感染的广告,该脚本将自动执行。在这种方法当中,挖矿脚本将不会存储到受害者的计算机上。无论使用哪种方法,挖矿脚本都会在受害者的计算机上计算复杂的数学问题,并将结果发送到黑客控制的服务器。
黑客通常会使用这两种方法来最大化他们的回报。Vaystikh说:“攻击者通过一些被植入挖矿代码的老版本的软件为受害者提供服务,从而获得回报” 举个栗子,在为黑客挖掘加密货币的100个设备中,10%可能通过受害者机器上的代码产生收入,而90%通过其Web浏览器获利。
与大多数其他类型的恶意软件不同,cryptojacking不会损坏计算机或受害者的数据。他们只是窃取了CPU处理资源。对于个人用户来说,运行速度较慢的计算机可能只是一个烦恼。对于拥有许多已被挖矿程序感染的系统的组织来说,挖矿程序会导致运维部门以及花在跟踪性能问题上的时间所需要的开销增大,只能期望通过更换系统和组件来解决问题。
四、真实的cryptojacking案例
Cryptojackers是聪明的人,他们已经设计了一些方案来让其他人的计算机挖矿。而这些方案大多数都不是新的:加密挖掘传递方法通常源自用于其他类型的恶意软件(如勒索软件或广告软件)的方法。Anomali安全策略主管Travis Farral说:“你可以看出来很多老方法,都是过去木马和勒索软件使用过的。现在他们不再使用勒索软件或特洛伊木马,而是保留软件的传播特性,重新修改软件的核心功能部分使其可以实现cryptojacking的功能。”
下面是一些现实中的例子
1.PowerGhost:通过Spear-fishing窃取Windows凭据的挖矿程序
[译者注:Spear-fishing,鱼叉式网络钓鱼,是一种源于亚洲与东欧只针对特定目标进行攻击的网络钓鱼攻击]网络威胁联盟(CTA)的非法加密货币威胁报告描述了首先由Fortinet分析进行的PowerGhost。PowerGhost是一种可以通过多种方式避免检测的隐形恶意软件。它首先使用Spear-fishing在系统上获得立足点,然后它窃取Windows凭据并利用Windows Management Instrumentation(WMI)[译者注:可以通过WMI远程管理计算机,https://docs.microsoft.com/zh-cn/windows/desktop/WmiSdk/about-wmi]和EternalBlue漏洞进行传播。然后它尝试禁用防病毒软件和其他挖矿程序
2.变种MinerGate:会在受害者计算机被使用时停止挖矿
犯罪分子正在使用类似勒索软件的策略和中毒的网站,让你员工的计算机运行挖矿程序。本文将介绍关于cryptojacking攻击及其检测防御手法
一、什么是cryptojacking
Cryptojacking是未经授权使用其他人的计算机来挖掘加密货币[译者注:数字货币的一种]。黑客通过让受害者点击电子邮件中的恶意链接来加载计算机上的挖掘加密货币的代码,或者使用在受害者浏览器中加载后自动执行的JavaScript代码感染网站或在线广告来实现此目的。
无论是哪种方式,这些挖矿程序都会在后台运行。一点防范意识都没有的受害者除了可能可以发现电脑性能降低之外,什么都发现不了。
二、cryptojacking活动越发频繁
没有人清楚通过cryptojacking所产生的加密货币数量是多少,但毫无疑问cryptojacking十分疯狂。基于浏览器的cryptojacking行为次数增长迅速。去年11月,Adguard报告了浏览器内cryptojacking的增长率为31%。它的研究发现有33,000个网站运行挖矿脚本。据Adguard估计这些网站每月有10亿的访问量。
今年2月,Bad Packets报告发现了34,474个运行Coinhive的站点,Coinhive是最受欢迎的JavaScript挖掘器,也用于合法的加密挖掘活动。7月份,Check Point软件技术公司报告称,它发现的十大恶意软件中有四个是cryptojacking软件,包括排名前二的两个软件:Coinhive和Cryptoloot。 copyright 无奈人生
“加密货币挖掘行业(挖矿)正处于起步阶段。”网络安全解决方案提供商WatchGuard Technologies的威胁分析师Marc Laliberte表示,这里有很大的增长和发展空间。他指出,Coinhive易于部署,并在第一个月产生了30万美元。有利益的地方就有江湖,“从那时起,它发展十分迅速。这是一条赚钱的捷径。“
今年1月,研究人员发现了Smominru挖矿僵尸网络,该网络感染了超过50万台机器,这些机器主要分布在俄罗斯,印度和台湾。这次发现的僵尸网络主要针对Windows服务器进行Monero[译者注:门罗币]的开采,而据网络安全公司Proofpoint估计,截至1月底,它已经获利高达360万美元。
Cryptojacking实际上不需要用户了解很多重要的技术技能。据The New Gold Rush Cryptocurrencies Are the New Frontier of Fraud报道[译者注:https://info.digitalshadows.com/TheNewGoldRush-CryptocurrencyResearch-Website.html,关于数字货币的一份报告],一款在暗网上售卖的挖矿工具只需30美元就可以买到手。
因为Cryptojacking能够通过承担更少的风险来赚更多的钱,它正变得越来越受黑客欢迎。SecBI的首席技术官兼联合创始人Alex Vaystikh说:“黑客认为,与勒索软件相比,Cryptojacking成本更低并且可获利润更大”。因为,如果黑客使用勒索软件感染了100台计算机,他也许只能让其中的3个人为计算机付款。但相比之下,通过Cryptojacking,这100台受感染的计算机都可以源源不断的产生加密货币。
内容来自无奈安全网
除此之外,Cryptojacking被发现的风险也远低于勒索软件。挖矿程序偷偷摸摸地在后台运行,并且很有可能长时间不被检测到。即使被发现,也很难追溯到源头,受害者没有驱动力去这样做,因为没有任何东西被盗或加密。黑客倾向于选择匿名加密货币,如Monero[译者注:门罗币]和Zcash[译者注:巴比特,首个使用零知识证明机制的区块链系统],而不是更受欢迎的比特币,因为匿名加密货币很难被溯源。
三、cryptojacking的工作原理
黑客有两种主要方式让受害者的计算机偷偷挖掘加密货币。一种是欺骗受害者将加密代码加载到他们的计算机上。这是通过类似网络钓鱼的策略完成的:受害者收到一封看似合法的电子邮件,引诱他们去点击链接。然后链接运行代码在受害者的计算机上生成挖矿脚本。然后,当受害者使用它的计算机工作时,脚本会在后台运行。
另一种方法是在网站上注入脚本或将广告投放到多个网站。一旦受害者访问该网站或在其浏览器中弹出受感染的广告,该脚本将自动执行。在这种方法当中,挖矿脚本将不会存储到受害者的计算机上。无论使用哪种方法,挖矿脚本都会在受害者的计算机上计算复杂的数学问题,并将结果发送到黑客控制的服务器。
黑客通常会使用这两种方法来最大化他们的回报。Vaystikh说:“攻击者通过一些被植入挖矿代码的老版本的软件为受害者提供服务,从而获得回报” 举个栗子,在为黑客挖掘加密货币的100个设备中,10%可能通过受害者机器上的代码产生收入,而90%通过其Web浏览器获利。
与大多数其他类型的恶意软件不同,cryptojacking不会损坏计算机或受害者的数据。他们只是窃取了CPU处理资源。对于个人用户来说,运行速度较慢的计算机可能只是一个烦恼。对于拥有许多已被挖矿程序感染的系统的组织来说,挖矿程序会导致运维部门以及花在跟踪性能问题上的时间所需要的开销增大,只能期望通过更换系统和组件来解决问题。
四、真实的cryptojacking案例
Cryptojackers是聪明的人,他们已经设计了一些方案来让其他人的计算机挖矿。而这些方案大多数都不是新的:加密挖掘传递方法通常源自用于其他类型的恶意软件(如勒索软件或广告软件)的方法。Anomali安全策略主管Travis Farral说:“你可以看出来很多老方法,都是过去木马和勒索软件使用过的。现在他们不再使用勒索软件或特洛伊木马,而是保留软件的传播特性,重新修改软件的核心功能部分使其可以实现cryptojacking的功能。”
下面是一些现实中的例子
1.PowerGhost:通过Spear-fishing窃取Windows凭据的挖矿程序
[译者注:Spear-fishing,鱼叉式网络钓鱼,是一种源于亚洲与东欧只针对特定目标进行攻击的网络钓鱼攻击]网络威胁联盟(CTA)的非法加密货币威胁报告描述了首先由Fortinet分析进行的PowerGhost。PowerGhost是一种可以通过多种方式避免检测的隐形恶意软件。它首先使用Spear-fishing在系统上获得立足点,然后它窃取Windows凭据并利用Windows Management Instrumentation(WMI)[译者注:可以通过WMI远程管理计算机,https://docs.microsoft.com/zh-cn/windows/desktop/WmiSdk/about-wmi]和EternalBlue漏洞进行传播。然后它尝试禁用防病毒软件和其他挖矿程序 www.wnhack.com
2.变种MinerGate:会在受害者计算机被使用时停止挖矿
copyright 无奈人生
www.wnhack.com