信息化觀察網(wǎng)

加密貨幣的價(jià)格波動(dòng)極大。2021年5月，比特幣的價(jià)格在24小時(shí)內(nèi)暴跌了30%。網(wǎng)絡(luò)攻擊者在不斷尋求各種方式來獲利，其中加密貨幣挖礦就成為攻擊者感染目標(biāo)機(jī)器，用來進(jìn)行加密貨幣挖礦以獲利的方式。

所以，加密貨幣的波動(dòng)是否會(huì)影響全球加密貨幣礦工的數(shù)量呢？理論上講，加密貨幣的價(jià)值越高，攻擊者更可能去挖礦。

分析過程

首先，研究過程中遇到的第一個(gè)難題是如何追蹤業(yè)界上百個(gè)加密貨幣，而且每天都會(huì)有新的幣出現(xiàn)。因此，研究人員將加密貨幣挖礦的研究進(jìn)行擴(kuò)展，發(fā)現(xiàn)許多獲利數(shù)百萬美元的大規(guī)模加密貨幣挖礦攻擊活動(dòng)中最常用的數(shù)字貨幣是門羅幣。

門羅幣為攻擊者非法挖礦所鐘愛的原因有2個(gè)：一是門羅幣可以運(yùn)行在標(biāo)準(zhǔn)而非專業(yè)的硬件上，使得其可以安裝在幾乎所有的用戶系統(tǒng)中，二是門羅幣提供更好的隱私保護(hù)功能。

下圖是門羅幣自2018年以來的價(jià)格追蹤圖，這也是本研究的開始時(shí)間點(diǎn)。

從中可以看出，門羅幣的價(jià)格在過去幾年有非常明顯的震蕩，但2020年底和2021年初價(jià)格震蕩的趨勢(shì)更加明顯。

然后，需要找出一種有效的方式來追蹤加密貨幣挖礦活動(dòng)的數(shù)量。經(jīng)過認(rèn)真分析和考慮，研究人員決定以來基于網(wǎng)絡(luò)的檢測(cè)方式。加密貨幣挖礦活動(dòng)是不加密的，因此可以被檢測(cè)到。這也確保了加密貨幣礦工地正確安裝和工作，因?yàn)榈V工會(huì)生成網(wǎng)絡(luò)流量，因此網(wǎng)絡(luò)IPS/IDS可以檢測(cè)到加密貨幣挖礦活動(dòng)。

研究人員發(fā)現(xiàn)加密貨幣挖礦活動(dòng)是非常多的。即使在最低點(diǎn)，也有上百萬起與加密貨幣挖礦活動(dòng)相關(guān)的事件。

通過對(duì)比發(fā)現(xiàn)加密貨幣挖礦活動(dòng)與加密貨幣的價(jià)值之間有依賴關(guān)系。加密貨幣挖礦活動(dòng)最多的時(shí)間正是門羅幣價(jià)格到最高點(diǎn)后的幾個(gè)月。

除了2021年價(jià)格大跌外，圖中的曲線變化和加密貨幣的價(jià)格曲線基本是一致的。因?yàn)閻阂夤粽咝枰欢ǖ臅r(shí)間來準(zhǔn)備挖礦攻擊活動(dòng)，因此攻擊者不太可能隨著加密貨幣的升值而立刻部署挖礦。但根據(jù)實(shí)際數(shù)據(jù)來看，對(duì)大多數(shù)部署礦工的攻擊者來說，獲利是其最終的目的。

加密貨幣挖礦礦工希望在一段時(shí)間內(nèi)不被檢測(cè)到，并可以盡可能不被檢測(cè)的情況下在盡可能多的系統(tǒng)中安全。攻擊者并不關(guān)心系統(tǒng)被清理，因?yàn)橘Y源很容易被另外一個(gè)受害者所替代。

安全啟示

雖然加密貨幣挖礦機(jī)看似沒有那么大的威脅，但仍然是系統(tǒng)中未授權(quán)的軟件。今天安裝的是加密貨幣挖礦機(jī)，明天可能就會(huì)是勒索軟件攻擊。因此，加密貨幣挖礦機(jī)被看做是和其他安全威脅相同的緊急程度。

本文翻譯自：https://blog.talosintelligence.com/2021/07/cryptomining-analysis.html