加密貨幣挖礦是下一個(gè)勒索軟件

網(wǎng)絡(luò)黑客是典型的機(jī)會(huì)主義者。隨著設(shè)備制造商繼續(xù)向智能手機(jī)、平板電腦和企業(yè)級(jí)云服務(wù)器添加更多CPU內(nèi)核與RAM容量，這些設(shè)備將繼續(xù)成為僵尸網(wǎng)絡(luò)更有用的目標(biāo)。而且，在網(wǎng)絡(luò)不安全的情況下，黑客將努力尋找設(shè)備漏洞或者利用移動(dòng)應(yīng)用及設(shè)備。

通過(guò)輕而易舉地利用漏洞實(shí)現(xiàn)贏利，勒索軟件攻占了暗網(wǎng)。而作為其副作用，加密貨幣市場(chǎng)因受到熱烈的追捧而變得異?；鸨＜用茇泿磐诘V，即一種確認(rèn)比特幣交易并生成新數(shù)字貨幣單位的過(guò)程，目前看是合法行為。開(kāi)發(fā)者尋求通過(guò)各種途徑在競(jìng)爭(zhēng)激烈的移動(dòng)應(yīng)用市場(chǎng)內(nèi)大賺一筆，而通過(guò)這些應(yīng)用挖掘比特幣已成為一項(xiàng)非常誘人的冒險(xiǎn)。但是，如果用戶并不知道自己的設(shè)備正用于挖掘數(shù)字貨幣時(shí)，這種貨幣化方法已陷入法律與道德的兩難境地。

近期，針對(duì)蘋(píng)果公司有意降低老版iPhone手機(jī)運(yùn)行速度的訴訟將為加密貨幣挖礦案件樹(shù)立一個(gè)法律先例。如果用戶能夠成功起訴蘋(píng)果公司私下降低手機(jī)速度，則在用戶不知情的情況下安裝挖礦功能——由此影響應(yīng)用性能與電池壽命的開(kāi)發(fā)者們也將承擔(dān)法律責(zé)任。

這已不僅僅是一種實(shí)際存在的威脅，它還會(huì)變得像勒索軟件那樣肆意橫行。例如，據(jù)可靠指標(biāo)顯示，黑客在發(fā)起最初感染攻擊后會(huì)利用較老的漏洞挖掘加密貨幣，從受害者處生成比特幣，但并不進(jìn)行勒索。當(dāng)這個(gè)池子變得越來(lái)越小之時(shí)，礦工將轉(zhuǎn)以用其他方式獲取價(jià)值，例如將惡意軟件用作DDoS攻擊武器。

雖然此類(lèi)受感染的移動(dòng)應(yīng)用與網(wǎng)頁(yè)瀏覽器的惡意性有待討論，但我們可以肯定地說(shuō)，我們正在目睹一種新型惡意軟件的誕生，且或許會(huì)像勒索軟件或廣告軟件那樣影響廣泛。若不制定穩(wěn)健的安全與監(jiān)測(cè)策略，以及為了保護(hù)應(yīng)用與電腦的網(wǎng)絡(luò)可視性，您將很有可能成為下一個(gè)加密貨幣挖礦的受害者。

移動(dòng)時(shí)代的挖礦惡意軟件

移動(dòng)時(shí)代催生了一種充分利用加密貨幣挖礦惡意軟件的攻擊機(jī)會(huì)。當(dāng)信息在挖礦過(guò)程中被傳遞時(shí)，加密貨幣挖礦占用了同樣的CPU資源，以挖掘數(shù)字貨幣，而這將消耗電力、計(jì)算處理能力與數(shù)據(jù)，而這些都會(huì)產(chǎn)生花費(fèi)。

相關(guān)研究發(fā)現(xiàn)互聯(lián)網(wǎng)內(nèi)現(xiàn)在充斥著大量惡意的安卓應(yīng)用，某些加密貨幣礦工總是設(shè)法繞過(guò)過(guò)濾器進(jìn)入谷歌Play Store。實(shí)際上，近期的移動(dòng)惡意軟件統(tǒng)計(jì)分析將研究人員引向了某位俄羅斯開(kāi)發(fā)者所擁有的大量加密貨幣錢(qián)包及礦池帳戶，但該開(kāi)發(fā)者聲稱這種賺錢(qián)方式完全合法。

作為業(yè)內(nèi)人士，我們并不認(rèn)同加密貨幣礦工非法侵占了用戶的設(shè)備。雖然如果加密貨幣挖礦事先已被公開(kāi)，那么這種做法在技術(shù)上來(lái)說(shuō)是合法的 ，但此類(lèi)活動(dòng)均存在有意誤導(dǎo)且往往缺乏透明性的問(wèn)題。

我們注意到，加密貨幣礦工被納入了安卓商店內(nèi)的合法應(yīng)用之中，在人們未使用其設(shè)備期間，這些礦工被用來(lái)從人們的手機(jī)中攫取價(jià)值。在近幾個(gè)月內(nèi)，出現(xiàn)了幾起黑客們?cè)诳梢?jiàn)的網(wǎng)頁(yè)瀏覽器窗口關(guān)閉之后即開(kāi)始挖掘加密貨幣的事件。

黑客們用來(lái)部署加密貨幣礦工的其他方法包括使用Telnet/SSH暴力破解工具以試圖安裝礦工，以及SQL注入和直接安裝礦工。瀏覽器與移動(dòng)應(yīng)用內(nèi)的加密貨幣挖礦仍將持續(xù)下去，因此相關(guān)企業(yè)應(yīng)改進(jìn)安全性能，為其監(jiān)測(cè)工具帶來(lái)應(yīng)用級(jí)可視性與場(chǎng)景信息。

設(shè)備越多，挖礦越多

由于每周都有新的安全威脅浮出水面，近期很有可能更多的設(shè)備將感染加密貨幣挖礦惡意軟件。日益出現(xiàn)的物聯(lián)網(wǎng)設(shè)備將成為加密貨幣礦工的新目標(biāo)。隨著這些礦工試圖在同一臺(tái)電腦上獲利兩次，我們還將看到混合攻擊，勒索軟件將率先發(fā)難，加密貨幣礦工則緊隨其后。

大部分此類(lèi)加密貨幣挖礦攻擊均發(fā)生在網(wǎng)絡(luò)邊緣。其中一個(gè)試圖安裝加密貨幣礦工的更常見(jiàn)攻擊是去年夏季出現(xiàn)的EternalBlue漏洞，它處于WannaCry與Not-Petya等勒索軟件爆發(fā)的風(fēng)口浪尖。而最糟糕的是，盡管黑客們并未使用新工具或新方法部署這些加密貨幣礦工，但他們依然屢屢得逞。因此，各企業(yè)必須制定快速響應(yīng)的補(bǔ)丁管理策略，確保其IPS規(guī)則處于最新狀態(tài)，實(shí)施相關(guān)測(cè)試以確保其可以探測(cè)到無(wú)法立即修補(bǔ)的漏洞，最后應(yīng)針對(duì)點(diǎn)對(duì)點(diǎn)挖礦流量而監(jiān)測(cè)網(wǎng)絡(luò)流量。

如果各企業(yè)機(jī)構(gòu)無(wú)法實(shí)時(shí)洞察自身網(wǎng)絡(luò)現(xiàn)狀，就會(huì)無(wú)從得知其網(wǎng)絡(luò)端點(diǎn)是否正在未經(jīng)許可的情況下遭遇挖礦、因入侵而導(dǎo)致數(shù)據(jù)泄漏、或者惡意軟件正在其內(nèi)部網(wǎng)絡(luò)中擴(kuò)散。也許并沒(méi)有發(fā)生任何惡意活動(dòng)，各企業(yè)也希望及時(shí)探知。網(wǎng)絡(luò)監(jiān)測(cè)解決方案能夠通過(guò)顯示網(wǎng)絡(luò)流量模式變動(dòng)情況，盡早發(fā)出攻擊警報(bào)。

文：Ixia應(yīng)用與威脅情報(bào)研究高級(jí)總監(jiān)Steve McGregory