加密貨幣挖礦:是綿羊還是惡狼?
牟利是攻擊者發(fā)起威脅的主要動機之一。從出租僵尸網(wǎng)絡(luò)協(xié)助他人實施 DDoS 攻擊,到冒充技術(shù)支持誘使人們相信自己的計算機存在問題,乃至利用零售終端上的木馬病毒盜取信用卡號,我們今天所看到的許多威脅相關(guān)活動都是以牟取利益為根本目的。
到目前為止,惡意加密貨幣挖礦是 2018 年最突出的以牟利為目的的威脅形式。在過去一段時間里,思科 Talos 威脅情報團(tuán)隊就這一主題開展了大量研究。對攻擊者來說,惡意加密貨幣挖礦是近乎完美的犯罪方式:它潛伏在后臺,幾乎不需要與目標(biāo)進(jìn)行交互,就能幫助攻擊者牟取暴利。
在深入研究這種威脅之前,我們先來探討一下加密貨幣和貨幣挖礦——
加密貨幣是什么?
按照最基本的定義來講,加密貨幣是指未與集中式銀行系統(tǒng)(例如全球各個國家/地區(qū)或經(jīng)濟(jì)區(qū)運營的銀行系統(tǒng))關(guān)聯(lián)的數(shù)字貨幣。大約在十年前,比特幣的出現(xiàn)讓加密貨幣聲名大噪。如今,加密貨幣市場已充斥著數(shù)千種不同的數(shù)字貨幣。
令加密貨幣廣受歡迎的一項功能便是區(qū)塊鏈技術(shù),即利用公共數(shù)字化賬本來驗證貨幣和交易的技術(shù)。區(qū)塊鏈技術(shù)在本質(zhì)上是一個使用加密貨幣確保交易安全的加密型分布式系統(tǒng),因此它很難被修改或篡改,這也是它的主要優(yōu)勢。
加密貨幣挖礦是什么?
無論是貨幣挖礦或加密貨幣挖礦,還是簡稱為“挖礦”,都是指生成或賺取新貨幣的過程。雖然不同貨幣之間存在細(xì)微差異,但挖礦主要是指在區(qū)塊鏈系統(tǒng)中驗證交易的過程,執(zhí)行該驗證過程的用戶將會獲得一筆費用作為報酬。具體而言,用戶可以通過幫助驗證區(qū)塊鏈和其中包含的交易賬本來賺取貨幣。
對某些加密貨幣來說(例如比特幣),當(dāng)區(qū)塊鏈中添加了新交易區(qū)塊時,也會生成新幣。比特幣的例子很好地說明了如何通過在區(qū)塊鏈中驗證交易來“挖掘”新幣。
加密貨幣挖礦有什么壞處嗎?
事實上,這沒有什么壞處。無論是加密貨幣,還是加密貨幣挖礦,本身都不具備任何惡意性質(zhì)。現(xiàn)今有不少人是出于正當(dāng)?shù)哪康膩硎褂眉用茇泿呕驈氖录用茇泿磐诘V活動的。要區(qū)分正當(dāng)?shù)娜粘<用茇泿磐诘V活動和我們所稱的惡意加密貨幣挖礦活動,一個重要的因素是看是否獲得用戶的許可。
通常,用戶自行安裝的加密貨幣挖礦軟件與惡意攻擊者安裝的加密貨幣挖礦軟件之間并無太大差異。事實上,在許多情況下,二者是完全相同的。唯一的不同點在于,惡意加密貨幣挖礦軟件是在所有者不知情的情況下進(jìn)行挖礦活動的。任何在設(shè)備所有者不知情的情況下運行的軟件都會讓人感到不安。
惡意加密貨幣挖礦如何成為主流威脅?
在惡意加密貨幣挖礦出現(xiàn)之前,惡意攻擊者慣用的手段是勒索軟件。但是,隨著用戶越來越了解惡意軟件鎖定計算機所用的技術(shù),企業(yè)也能越來越好地防止勒索軟件帶來的災(zāi)難,惡意攻擊者開始另尋他法。
與之前的牟利方法相比,惡意加密貨幣挖礦還有一些明顯的優(yōu)勢。勒索軟件并不能保證設(shè)備用戶一定會支付贖金。他們可能會定期備份,或者受感染設(shè)備上的文件對他們無關(guān)緊要。而且無論是哪種情況,只要通過重鏡像恢復(fù)設(shè)備就能解決問題。
與此同時,世界各地的執(zhí)法機構(gòu)開始打擊勒索軟件攻擊者,這增加了他們面臨的風(fēng)險。隨著與勒索軟件相關(guān)的逮捕事件日益增加,越來越多的網(wǎng)絡(luò)攻擊者傾向于采用風(fēng)險更小的攻擊方法:惡意加密貨幣挖礦軟件。
在過去幾年和 2018 年上半年,加密貨幣的價值不斷攀升。正如其他任何與軟件相關(guān)且有價值的事物一樣,加密貨幣也引起了惡意攻擊者的關(guān)注。另一方面,勒索軟件的效果卻大不如從前,這進(jìn)一步促使攻擊者轉(zhuǎn)向加密貨幣。
惡意加密貨幣挖礦的發(fā)展還得益于其他幾個獨特優(yōu)勢。其中吸引人的一個因素是,加密貨幣挖礦是一種游走于灰色地帶的威脅。由于合法加密貨幣挖礦和惡意加密貨幣挖礦之間只有細(xì)微的差異,所以許多用戶在被后者攻擊時,并不如當(dāng)他們發(fā)現(xiàn)系統(tǒng)中存在其他威脅時那么擔(dān)憂。如果它只是在后臺挖礦,而不實施任何惡意活動,那有什么要擔(dān)心的呢?這便是攻擊者十分看重的一個優(yōu)勢,他們可以悄無聲息地竊取利益,而不會引起受害者的關(guān)注。
披著羊皮的狼仍然是一匹狼
經(jīng)過更加深入的思考,我們有充分的理由認(rèn)為惡意加密貨幣挖礦值得高度關(guān)注。
與計算機上的任何其他軟件一樣,加密貨幣挖礦也會占用資源。而當(dāng)一款軟件占用太多資源時,它便會對整體系統(tǒng)性能產(chǎn)生負(fù)面影響。不僅如此,使用的資源越多,電就越多。就單個系統(tǒng)而言,電力成本的增加可能并不明顯。但如果將其乘以組織中終端的數(shù)量,電力成本將會顯著增加。
此外,加密貨幣礦工利用公司網(wǎng)絡(luò)賺取收益也會造成合規(guī)性問題。對金融業(yè)的組織而言則更是如此,因為無論相關(guān)負(fù)責(zé)人是否知曉此類活動,使用公司資源創(chuàng)造收益的行為都受到嚴(yán)格的限制。
不過,也許最令人擔(dān)憂的問題是,用戶并不知道系統(tǒng)被惡意加密貨幣挖礦軟件感染,他們在不知情的情況下運行網(wǎng)絡(luò)時,這些惡意軟件可能會導(dǎo)致網(wǎng)絡(luò)配置或整體安全策略出現(xiàn)安全漏洞。而此類漏洞很容易被攻擊者利用,謀取其他利益。那么,如果發(fā)現(xiàn)網(wǎng)絡(luò)被加密貨幣挖礦軟件感染,可以采取哪些基本措施來阻止其他惡意威脅利用相同的漏洞來進(jìn)一步實施惡意活動呢?
惡意加密貨幣挖礦軟件如何感染設(shè)備?
造成感染的方法有很多,而且大多數(shù)方法都并不新奇。植入惡意加密貨幣挖礦軟件的方法與植入其他惡意威脅的方法并無差別:
利用終端和基于服務(wù)器的應(yīng)用中存在的漏洞
利用僵尸網(wǎng)絡(luò)將加密貨幣挖礦軟件散播到新設(shè)備和以前曾受過感染的設(shè)備
發(fā)送包含惡意附件的郵件
利用 JavaScript 腳本使設(shè)備可通過網(wǎng)絡(luò)瀏覽器進(jìn)行加密貨幣挖礦活動
這些只是惡意加密貨幣挖礦軟件感染設(shè)備的幾種較為常見的方式。當(dāng)然,與其他任何威脅一樣,只要有入侵系統(tǒng)的方法,攻擊者便會進(jìn)行嘗試。
如何預(yù)防惡意加密貨幣挖礦威脅?
與對待其他與威脅相關(guān)的事物一樣,良好的安全防護(hù)部署能夠很好地將惡意加密貨幣挖礦軟件拒之門外。
利用惡意廣告軟件安裝瀏覽器插件,進(jìn)行加密貨幣挖礦活動。
要檢測并阻止惡意加密貨幣挖礦活動,您需要拓展防御策略,將高級終端保護(hù)作為其中的一項內(nèi)容。
您可以運用網(wǎng)絡(luò)安全分析來發(fā)現(xiàn)組織中可能會出現(xiàn)加密貨幣挖礦活動的位置。
要防止加密貨幣挖礦應(yīng)用找到落腳點,您應(yīng)該阻止您的網(wǎng)絡(luò)連接到已知涉及加密貨幣挖礦活動的網(wǎng)站。
部署 DNS 層安全策略也能極為有效地阻止加密貨幣挖礦活動,防止挖礦交易被發(fā)回到惡意攻擊者的設(shè)備。
總而言之,如果您實施分層安全防護(hù)措施,采用由新一代防火墻、終端、安全分析和 DNS 層構(gòu)成的有效安全防線,就能更好地檢測和阻止加密貨幣挖礦軟件感染您的網(wǎng)絡(luò)。
此類攻擊現(xiàn)狀和長期前景如何?
從其發(fā)展歷史來看,加密貨幣市場經(jīng)歷了巨大的波動。根據(jù)我們觀察到的情況,惡意加密貨幣挖礦活動的起落與加密貨幣價值的激增和暴跌是同步的。以思科在 DNS 層上觀察到的加密貨幣挖礦相關(guān)總體流量為例,雖然存在走勢陡峭的波峰和波谷,但整體看來,隨著時間的推移,加密貨幣挖礦活動呈上升趨勢。
值得注意的是,在同一時期,許多常見加密貨幣的價值都出現(xiàn)下滑。其中一個例子是 Monero,這是惡意加密貨幣挖礦活動中常用的一種虛擬貨幣。
造成這一差異的原因可能有很多。最簡單的原因可能是,由于惡意加密貨幣挖礦軟件部署簡單且被捕的風(fēng)險較小,惡意攻擊者不斷推出此類惡意軟件,并且只要用戶未發(fā)現(xiàn)此類惡意軟件或者根本不在乎設(shè)備上是否有此類惡意軟件,它們就能夠長期潛伏在設(shè)備內(nèi),不斷為攻擊者賺取收益。
或者,有可能正是由于加密貨幣價值下滑,才導(dǎo)致加密貨幣挖礦活動整體增長。因為隨著加密貨幣價值出現(xiàn)下滑,攻擊者通過感染設(shè)備賺取的收益也會下降,為了維持收入,他們需要讓惡意加密貨幣挖礦軟件感染更多的設(shè)備。
結(jié)論
從過去到未來,牟利一直是惡意攻擊者的主要動機。從許多方面來看,惡意加密貨幣挖礦都是一種能讓攻擊者以極小的代價來牟取暴利的手段,而且與其他威脅相比,受害者不會過于擔(dān)心這種威脅可能帶來的后果。盡管如此,這種威脅造成的間接損失依然是不可忽視的問題,應(yīng)當(dāng)予以重視。
