信息化觀察網

冰島因其廉價的電力而成為比特幣開采的重要樞紐，人們的計算機也可能被網絡犯罪分子劫持成為加密挖礦的理想場所。

加密挖礦是創(chuàng)建加密貨幣的過程。人們可以從挖掘加密貨幣獲利，這一過程是合法的，但加密挖礦的犯罪行為通常利用劫持他人的計算機進行加密挖礦來獲利。

當惡意行為者通過Web服務器和Web瀏覽器劫持計算機時，就會發(fā)生加密劫持。惡意JavaScript代碼通常被注入或植入Web服務器，當用戶訪問網頁時，他們的瀏覽器被感染，將他們的計算機變成加密挖礦的礦工。

那么是否能夠檢測并保護自己免受這一活動的影響呢?絕對可以，人們可以從發(fā)現(xiàn)加密挖礦礦工的方法開始。

監(jiān)控網絡性能

首先，檢查網絡上系統(tǒng)的性能。企業(yè)的員工如果注意到其計算機CPU使用率過高、溫度上升或風扇速度加快，并將其報告給IT團隊。這種情況可能是業(yè)務應用程序編碼不當?shù)恼髡?，也可能表明系統(tǒng)上存在隱藏的惡意軟件。因此需要設置系統(tǒng)基準以更好地發(fā)現(xiàn)系統(tǒng)中的異常。

但不要僅僅依靠性能異常來識別受影響的系統(tǒng)。最近的事件表明，網絡攻擊者正在限制對系統(tǒng)的CPU需求以隱藏其影響。例如，微軟公司最近發(fā)布的一份數(shù)字防御報告指出了越南網絡犯罪組織BISMUTH的威脅活動，該組織主要針對的目標是法國和越南的私營部門和政府機構。微軟公司在這份報告中指出，“由于加密挖礦礦工往往被安全系統(tǒng)視為優(yōu)先級較低的威脅，因此BISMUTH能夠利用由其惡意軟件引起的較小警報配置文件潛入系統(tǒng)而不引起注意。BISMUTH通過與正常網絡活動的融合來避免檢測。”

查看未經授權連接的日志

除了檢測出現(xiàn)異常的計算機之外，如何檢測此類隱蔽的惡意行為者?查看防火墻和代理日志以了解它們正在建立的連接。應該確切知道企業(yè)資源有權連接到哪些網址和平臺。如果這個過程過于繁瑣，需要查看防火墻日志并阻止已知的加密礦工的位置。

Nextron公司最近發(fā)表的一篇博客文章指出了他們在使用中看到的典型加密礦池?？梢圆榭捶阑饓駾NS服務器以查看是否受到影響。查看包含*xmr.**pool.com*pool.org和pool.*的模式的日志，看看是否有人或任何東西在占用網絡。如果企業(yè)有一個高度敏感的網絡，需要將連接限制為網絡所需的那些IP位置和地址。在這個云計算時代，這很難確定。即使跟蹤微軟公司使用的IP地址也很難跟上。例如，當微軟公司為其Azure數(shù)據(jù)中心添加新范圍時，可能需要調整授權IP地址列表。

使用阻止加密礦工的瀏覽器擴展

一些瀏覽器擴展將監(jiān)控并阻止加密礦工。例如，NoCoin和MinerBlocker解決方案可以監(jiān)控可疑活動并阻止網絡攻擊，這兩者都有適用于Chrome、Opera和Firefox各種瀏覽器的擴展程序?；蛘呖梢宰柚笿avaScript在瀏覽器中運行，因為惡意JavaScript應用程序是通過橫幅廣告和其他網站操作技術傳播的。調查是否可以阻止JavaScript，因為它可能會對出于業(yè)務原因需要的某些網站產生不利影響。

考慮邊緣的Super-Duper安全模式

邊緣正在測試微軟所謂的Super-Duper安全模式。它通過在V8 JavaScript引擎中禁用即時(JIT)編譯來提高邊緣的安全性。微軟公司表示，現(xiàn)代瀏覽器中的JavaScript漏洞是網絡攻擊者最常見的載體。調研機構在2019年的調查表明，大約45%的V8攻擊與JIT相關。

禁用JIT編譯確實會影響性能，而Microsoft瀏覽器漏洞研究所進行的測試顯示了一些倒退。Speedometer2.0等JavaScript基準測試顯示下降幅度高達58%。盡管如此，微軟公司表示，用戶并沒有注意到性能下降，他們很少注意在日常使用中的差異。

人們需要從外部和內部威脅的角度來看加密挖礦，檢查這些選項，以主動保護自己免受潛在攻擊。