如何檢測(cè)和防止挖礦劫持攻擊

挖礦劫持是一種惡意行為，利用受感染的設(shè)備來(lái)秘密挖掘加密貨幣。為此，攻擊者會(huì)利用受害者（計(jì)算機(jī)）的處理能力和帶寬（在大多數(shù)情況下，這是在受害者沒(méi)有意識(shí)到或同意的情況下完成的）。通常，負(fù)責(zé)此類(lèi)活動(dòng)的惡意挖礦軟件旨在使用足夠的系統(tǒng)資源來(lái)盡可能長(zhǎng)時(shí)間不被注意。由于加密貨幣挖掘需要大量處理能力，因此攻擊者會(huì)嘗試闖入多個(gè)設(shè)備。這樣他們能夠收集到足夠的算力來(lái)執(zhí)行這種低風(fēng)險(xiǎn)和低成本的挖礦活動(dòng)。

早期版本的惡意挖礦軟件依賴(lài)于受害者點(diǎn)擊惡意鏈接或電子郵件附件，使系統(tǒng)無(wú)意中被隱藏的加密挖礦程序感染。然而，在過(guò)去幾年中，更加復(fù)雜的惡意軟件被開(kāi)發(fā)出來(lái)，使挖礦劫持的方法更上一層樓。目前，大多數(shù)挖掘惡意軟件都通過(guò)在網(wǎng)站中實(shí)現(xiàn)的腳本運(yùn)行， 這種方法被稱(chēng)為基于網(wǎng)絡(luò)的挖礦劫持。

基于網(wǎng)絡(luò)的挖礦劫持

基于Web的加密攻擊（又稱(chēng)drive-by cryptomining）是最常見(jiàn)的惡意挖礦軟件形式。通常，此類(lèi)惡意活動(dòng)通過(guò)在網(wǎng)站內(nèi)運(yùn)行的腳本執(zhí)行，使受害者的瀏覽器在訪(fǎng)問(wèn)期間自動(dòng)挖掘加密貨幣。不管網(wǎng)站是否流行或是是什么類(lèi)別，這些基于網(wǎng)絡(luò)的挖礦軟件都會(huì)在網(wǎng)站中秘密植入。在大多數(shù)情況下，門(mén)羅幣是加密貨幣中的首選，因?yàn)樗耐诰蜻^(guò)程不像比特幣挖掘那樣需要大量的資源和算力。此外，門(mén)羅幣提供更高級(jí)別的隱私和匿名性，使得交易更難以被追蹤。

與勒索軟件不同，惡意挖礦軟件很少會(huì)破壞計(jì)算機(jī)及其中存儲(chǔ)的數(shù)據(jù)。加密劫持最顯著的影響是CPU性能的降低（通常伴隨著風(fēng)扇噪音的增加）。但是，對(duì)于企業(yè)和大型組織而言，CPU性能降低可能會(huì)影響他們的工作，進(jìn)一步導(dǎo)致相當(dāng)大大的損失和許多錯(cuò)過(guò)的機(jī)會(huì)。

CoinHive

基于網(wǎng)絡(luò)的加密劫持方法首次出現(xiàn)于2017年9月，由一位當(dāng)時(shí)名為CoinHive的加密礦工公開(kāi)發(fā)布。CoinHive由一個(gè)JavaScript密碼挖礦程序組成，據(jù)說(shuō)它是為了一個(gè)崇高的目標(biāo)而創(chuàng)造的：使網(wǎng)站所有者可以將其免費(fèi)提供的內(nèi)容轉(zhuǎn)化為貨幣，而不需要依賴(lài)于令人不快的廣告。

CoinHive與所有主流瀏覽器兼容，并且相對(duì)容易部署。創(chuàng)造者保留通過(guò)代碼挖掘的所有加密貨幣的30％，利用加密密鑰來(lái)識(shí)別應(yīng)該接收另外70％的用戶(hù)帳戶(hù)。

盡管CoinHive最初被認(rèn)為是一個(gè)有趣的工具，但由于網(wǎng)絡(luò)犯罪分子現(xiàn)在正在惡意將挖礦軟件注入幾個(gè)被黑的網(wǎng)站（未經(jīng)所有者的知情或許可），因此受到了很多批評(píng)。

在少數(shù)正確使用CoinHive的情況下，挖礦劫持的JavaScript被設(shè)置為叫做AuthedMine的自愿參與版本，也就是CoinHive的修改版本，僅在收到訪(fǎng)問(wèn)者的許可后才可以開(kāi)始挖礦。

不出所料，AuthedMine的采用規(guī)模與CoinHive不同。PublicWWW上的搜索結(jié)果顯示，至少有14，900個(gè)網(wǎng)站正在運(yùn)行CoinHive（其中5，700個(gè)是WordPress網(wǎng)站）。另一方面，AuthedMine則大約有1，250頁(yè)。

在2018年上半年，CoinHive成為了被反病毒程序和網(wǎng)絡(luò)安全公司追蹤的頂級(jí)惡意軟件威脅。然而，最近的報(bào)告表明，加密劫持不再是最流行的威脅，因?yàn)殂y行特洛伊木馬和勒索軟件攻擊成為了現(xiàn)在首要和次要的威脅。

挖礦劫持的短時(shí)間興衰可能與網(wǎng)絡(luò)安全公司的工作有關(guān)，因?yàn)樵S多挖礦劫持的代碼現(xiàn)已被列入黑名單，并可以被大多數(shù)殺毒軟件快速檢測(cè)。此外，最近的分析表明，基于網(wǎng)絡(luò)的挖礦劫持并不像看起來(lái)那樣有利可圖。

挖擴(kuò)劫持示例

據(jù)客戶(hù)報(bào)道，在2017年12月，CoinHive的代碼被默默地植入進(jìn)布宜諾斯艾利斯多家星巴克門(mén)店的WiFi網(wǎng)絡(luò)中。該腳本通過(guò)利用相連設(shè)備的算力來(lái)挖掘門(mén)羅幣。

在2018年初，CoinHive的礦工通過(guò)谷歌的DoubleClick平臺(tái)在YouTube廣告上運(yùn)行。

在2018年7月和8月期間，一次挖礦劫持攻擊感染了巴西的200，000臺(tái)MikroTik路由器，在大量網(wǎng)絡(luò)流量中注入了CoinHive代碼。

如何檢測(cè)和防止挖礦劫持攻擊？

如果你懷疑自己的CPU使用頻率超過(guò)正常水平并且冷卻風(fēng)扇發(fā)出噪音的原因，那么很可能是你的設(shè)備正被用于挖礦。重要的是要確定你的計(jì)算機(jī)是否已被感染，或者瀏覽器是否正在執(zhí)行挖礦劫持攻擊。雖然基于Web的加密攻擊相對(duì)容易被發(fā)現(xiàn)和停止，但針對(duì)計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)的挖礦劫持軟件并不總是易于檢測(cè)，因?yàn)檫@些東西通常被隱藏或是被偽裝成合法的軟件。

一些瀏覽器插件能夠有效地防止大多數(shù)基于網(wǎng)絡(luò)的挖礦劫持攻擊。除了限制訪(fǎng)問(wèn)基于網(wǎng)絡(luò)的挖礦軟件以外，還有一部分措施基于一個(gè)固定的黑名單。但是這個(gè)黑名單很容易過(guò)時(shí)，因?yàn)闀?huì)不斷地出現(xiàn)新的挖礦劫持方法。因此，建議保持更新操作系統(tǒng)并且使用最新殺毒軟件。

對(duì)于企業(yè)和大型組織而言，向員工講授有關(guān)挖礦劫持和網(wǎng)絡(luò)釣魚(yú)的技術(shù)的信息非常重要，例如欺詐性電子郵件和偽造的網(wǎng)站。

總而言之：

注意你的設(shè)備性能和CPU活動(dòng);

安裝瀏覽器插件，例如MinerBlock，NoCoin和Adblocker;

小心電子郵件附件和鏈接;

安裝一個(gè)值得信賴(lài)的殺毒軟件，使你的軟件應(yīng)用程序和操作系統(tǒng)保持最新?tīng)顟B(tài);

對(duì)于企業(yè)而言，向員工講授挖礦劫持和網(wǎng)絡(luò)釣魚(yú)技術(shù)。