信息化觀察網(wǎng)

如果你在擔心網(wǎng)絡(luò)安全，并且你還不知道什么是非法加密挖礦（亦稱作“cryptojacking”），那么你就需要了解這一項目。Cryptojacking比惡意軟件更加普遍，成為了2017年最常見的網(wǎng)絡(luò)攻擊方式。

筆者在2018年3月寫了一篇文章，名為“Top Cyberthreat Of 2018: Illicit Cryptomining”（2018年頂級網(wǎng)絡(luò)威脅事件：非法挖礦），該文章寫道：cryptojacking的定義是攻擊者在目標系統(tǒng)中秘密地安裝加密貨幣挖礦軟件。從技術(shù)層面來說，這個軟件并算不上是惡意軟件，它只消耗CPU周期和電力來處理加密貨幣交易，攻擊者能夠以此賺取傭金，傭金一般都是匿名的加密門羅幣。

Cryptojacking并不需要攻擊者來建立命令和控制，而且受害機器也不過是損耗一些CPU周期（又稱機器周期），這就導致Cryptojacking愈加受到黑客的歡迎。Skybox Security在Vulnerability and Threat Trends 2018 Mid-Year Update（2018年中漏洞和威脅趨勢更新報告）中解釋道：“如果2017年是惡意軟件盛行的年代，那么2018年就好像是加密礦工之年。”“加密挖礦惡意軟件通常都能夠不被察覺，能夠為攻擊者一直創(chuàng)造收益。”

瀏覽器中的“貓鼠游戲”

早期的cryptojacking的攻擊目標大多數(shù)是能夠通過Coinhive的加密挖礦軟件運行瀏覽器的電腦和移動設(shè)備。Coinhive開發(fā)的這款軟件表面上是為了讓一些誠實行事的網(wǎng)頁公司更好地將網(wǎng)站貨幣化，但是后來出現(xiàn)了一些犯罪行為，使得Coinhive被用于非法用途。

隨后就出現(xiàn)了“貓鼠游戲”現(xiàn)象，殺毒軟件廠商將Coinhive列為惡意軟件，只是為了推動cryptojacking軟件的創(chuàng)新，因為這個軟件可以免疫反惡意軟件工具。

反惡意軟件廠商Malwarebytes就揭露了這種創(chuàng)新的方式。調(diào)查組組長、惡意軟件情報和Malwarebytes 實驗室負責人Jérôme Segura說道：“我們遇到過一種技術(shù)，能夠讓可疑網(wǎng)站的所有者和攻擊者擁有一個妥協(xié)的網(wǎng)站，來持續(xù)挖掘門羅幣，即使瀏覽器窗口被關(guān)閉。”“這種隱性彈出廣告窗口旨在繞過adblockers，而且因為隱藏的方式夠隱秘，所以很難識別到。”

反過來說，這種通過挖礦推動創(chuàng)新的軟件也說明了一種新的預(yù)防技術(shù)。“一些肆無忌憚的網(wǎng)站所有者和黑客無疑會在目標電腦上安裝挖礦軟件，用戶也會采取防御措施，下載更多的adblocker、擴展插件和其它工具，”Segura繼續(xù)說道：“如果以前的惡意廣告沒有現(xiàn)在這么猖獗，那么它現(xiàn)在就擁有了一個新的武器，能夠在所有的平臺和瀏覽器上運行。”

“金銀之地”

在反反復復的嘗試中，cryptojackers越來越關(guān)注更有價值的領(lǐng)域：服務(wù)器。服務(wù)器運行于企業(yè)和云數(shù)據(jù)中心，數(shù)量巨大，并且比PC和移動設(shè)備更強大，這就成為了植入cryptojacking軟件的一塊“富饒之地”。

然而，鑒于企業(yè)的網(wǎng)絡(luò)安全狀況，定位服務(wù)器需要比隱性彈窗瀏覽器更復雜的攻擊媒介。弱點：Windows遠程管理工具，如Windows Management Instrumentation（WMI）。

網(wǎng)絡(luò)安全供應(yīng)商卡巴斯基實驗室最近發(fā)現(xiàn)了基于WMI的加密劫持惡意軟件。“我們稱為PowerGhost的惡意軟件，能夠在一個系統(tǒng)中悄悄地創(chuàng)建并在大型企業(yè)網(wǎng)絡(luò)中傳播，從而感染工作站和服務(wù)器，”惡意軟件分析師Vladas Bulavas和卡巴斯基實驗室首席解決方案架構(gòu)師Anatoly Kazantsev解釋道：“隱蔽性是這種礦工的典型特征：被感染的機器越多，并且保持的時間越長，攻擊者獲得的利潤就越大。”

由于受到PowerGhost和其他針對企業(yè)服務(wù)器的網(wǎng)絡(luò)威脅，企業(yè)威脅形勢已經(jīng)將重點從勒索軟件轉(zhuǎn)移到了cryptojacking。“企業(yè)用戶受到的影響最大，”Bulavas和Kazantsev繼續(xù)說道。“PowerGhost更容易在公司的局域網(wǎng)內(nèi)傳播。”

Skybox Security的報告證實了這一趨勢。報告稱：“值得注意的是，在新惡意軟件攻擊事件中，加密礦工的數(shù)量增幅最大，從2017年下半年報告的7％的攻擊率上升到2018年上半年的32％。” “與此同時，勒索軟件是過去幾年中網(wǎng)絡(luò)犯罪分子的寵兒，但是將勒索軟件作為攻擊方式的數(shù)量也在減少，基本上與加密礦工交換了市場份額。雖然勒索軟件和其他惡意軟件系列仍然令人擔憂，但就投資回報而言，惡意加密挖礦軟件還是很有吸引力。”

Cryptojacking將無法在人們毫不知情的情況下運行。每位首席信息安全官都必須了解這種威脅的嚴重性，并要對企業(yè)面臨的重大網(wǎng)絡(luò)威脅進行排名。自滿并不是理由，特別是當cryptojacking蔓延到整個企業(yè)IT環(huán)境時，企業(yè)的IT環(huán)境也會受到連累。我們是時候采取一些行動了。

原文作者：Jason Bloomberg