譯文聲明
本文是翻譯文章,文章原作者csoonline,文章來源:csoonline.com
原文地址:https://www.csoonline.com/article/3253572/internet/what-is-cryptojacking-how-to-prevent-detect-and-recover-from-it.html
譯文僅供參考,具體內容表達以及含義原文爲準
×
犯罪分子正在使用類似勒索軟件的策略和中毒的網站,讓你員工的計算機運行挖礦程序。本文將介紹關於cryptojacking攻擊及其檢測防禦手法
一、什麼是cryptojacking
Cryptojacking是未經授權使用其他人的計算機來挖掘加密貨幣[譯者注:數字貨幣的一種]。黑客通過讓受害者點擊電子郵件中的惡意鏈接來加載計算機上的挖掘加密貨幣的代碼,或者使用在受害者瀏覽器中加載後自動執行的JavaScript代碼感染網站或在線廣告來實現此目的。
無論是哪種方式,這些挖礦程序都會在後臺運行。一點防範意識都沒有的受害者除了可能可以發現電腦性能降低之外,什麼都發現不了。
二、cryptojacking活動越發頻繁
沒有人清楚通過cryptojacking所產生的加密貨幣數量是多少,但毫無疑問cryptojacking十分瘋狂。基於瀏覽器的cryptojacking行爲次數增長迅速。去年11月,Adguard報告了瀏覽器內cryptojacking的增長率爲31%。它的研究發現有33,000個網站運行挖礦腳本。據Adguard估計這些網站每月有10億的訪問量。xise
今年2月,Bad Packets報告發現了34,474個運行Coinhive的站點,Coinhive是最受歡迎的JavaScript挖掘器,也用於合法的加密挖掘活動。7月份,Check Point軟件技術公司報告稱,它發現的十大惡意軟件中有四個是cryptojacking軟件,包括排名前二的兩個軟件:Coinhive和Cryptoloot。http://caidaome.com
“加密貨幣挖掘行業(挖礦)正處於起步階段。”網絡安全解決方案提供商WatchGuard Technologies的威脅分析師Marc Laliberte表示,這裏有很大的增長和發展空間。他指出,Coinhive易於部署,並在第一個月產生了30萬美元。有利益的地方就有江湖,“從那時起,它發展十分迅速。這是一條賺錢的捷徑。“
今年1月,研究人員發現了Smominru挖礦殭屍網絡,該網絡感染了超過50萬臺機器,這些機器主要分佈在俄羅斯,印度和臺灣。這次發現的僵屍網絡主要針對Windows服務器進行Monero[譯者注:門羅幣]的開採,而據網絡安全公司Proofpoint估計,截至1月底,它已經獲利高達360萬美元。http://caidaome.com
Cryptojacking實際上不需要用戶瞭解很多重要的技術技能。據The New Gold Rush Cryptocurrencies Are the New Frontier of Fraud報道[譯者注:https://info.digitalshadows.com/TheNewGoldRush-CryptocurrencyResearch-Website.html,關於數字貨幣的一份報告],一款在暗網上售賣的挖礦工具只需30美元就可以買到手。
因爲Cryptojacking能夠通過承擔更少的風險來賺更多的錢,它正變得越來越受黑客歡迎。SecBI的首席技術官兼聯合創始人Alex Vaystikh說:“黑客認爲,與勒索軟件相比,Cryptojacking成本更低並且可獲利潤更大”。因爲,如果黑客使用勒索軟件感染了100臺計算機,他也許只能讓其中的3個人爲計算機付款。但相比之下,通過Cryptojacking,這100臺受感染的計算機都可以源源不斷的產生加密貨幣。
除此之外,Cryptojacking被發現的風險也遠低於勒索軟件。挖礦程序偷偷摸摸地在後臺運行,並且很有可能長時間不被檢測到。即使被發現,也很難追溯到源頭,受害者沒有驅動力去這樣做,因爲沒有任何東西被盜或加密。黑客傾向於選擇匿名加密貨幣,如Monero[譯者注:門羅幣]和Zcash[譯者注:巴比特,首個使用零知識證明機制的區塊鏈系統],而不是更受歡迎的比特幣,因爲匿名加密貨幣很難被溯源。
三、cryptojacking的工作原理
黑客有兩種主要方式讓受害者的計算機偷偷挖掘加密貨幣。一種是欺騙受害者將加密代碼加載到他們的計算機上。這是通過類似網絡釣魚的策略完成的:受害者收到一封看似合法的電子郵件,引誘他們去點擊鏈接。然後鏈接運行代碼在受害者的計算機上生成挖礦腳本。然後,當受害者使用它的計算機工作時,腳本會在後臺運行。
另一種方法是在網站上注入腳本或將廣告投放到多個網站。一旦受害者訪問該網站或在其瀏覽器中彈出受感染的廣告,該腳本將自動執行。在這種方法當中,挖礦腳本將不會存儲到受害者的計算機上。無論使用哪種方法,挖礦腳本都會在受害者的計算機上計算複雜的數學問題,並將結果發送到黑客控制的服務器。騰訊分分彩
黑客通常會使用這兩種方法來最大化他們的回報。Vaystikh說:“攻擊者通過一些被植入挖礦代碼的老版本的軟件爲受害者提供服務,從而獲得回報” 舉個栗子,在爲黑客挖掘加密貨幣的100個設備中,10%可能通過受害者機器上的代碼產生收入,而90%通過其Web瀏覽器獲利。
與大多數其他類型的惡意軟件不同,cryptojacking不會損壞計算機或受害者的數據。他們只是竊取了CPU處理資源。對於個人用戶來說,運行速度較慢的計算機可能只是一個煩惱。對於擁有許多已被挖礦程序感染的系統的組織來說,挖礦程序會導致運維部門以及花在跟蹤性能問題上的時間所需要的開銷增大,只能期望通過更換系統和組件來解決問題。http://kj169.cc/
四、真實的cryptojacking案例
Cryptojackers是聰明的人,他們已經設計了一些方案來讓其他人的計算機挖礦。而這些方案大多數都不是新的:加密挖掘傳遞方法通常源自用於其他類型的惡意軟件(如勒索軟件或廣告軟件)的方法。Anomali安全策略主管Travis Farral說:“你可以看出來很多老方法,都是過去木馬和勒索軟件使用過的。現在他們不再使用勒索軟件或特洛伊木馬,而是保留軟件的傳播特性,重新修改軟件的核心功能部分使其可以實現cryptojacking的功能。”
下面是一些現實中的例子
1.PowerGhost:通過Spear-fishing竊取Windows憑據的挖礦程序
[譯者注:Spear-fishing,魚叉式網絡釣魚,是一種源於亞洲與東歐只針對特定目標進行攻擊的網絡釣魚攻擊]
網絡威脅聯盟(CTA)的非法加密貨幣威脅報告描述了首先由Fortinet分析進行的PowerGhost。PowerGhost是一種可以通過多種方式避免檢測的隱形惡意軟件。它首先使用Spear-fishing在系統上獲得立足點,然後它竊取Windows憑據並利用Windows Management Instrumentation(WMI)[譯者注:可以通過WMI遠程管理計算機,https://docs.microsoft.com/zh-cn/windows/desktop/WmiSdk/about-wmi]和EternalBlue漏洞進行傳播。然後它嘗試禁用防病毒軟件和其他挖礦程序
2.變種MinerGate:會在受害者計算機被使用時停止挖礦
根據CTA報告,Palo Alto Networks分析了MinerGate惡意軟件系列的一個變種,並發現了一個有趣的功能。它可以檢測鼠標移動並暫停採礦活動。這可以避免讓受害者傾倒,避免他們注意到性能的下降。
3.BadShell:使用Windows進程來完成其挖礦工作
幾個月前,Comodo Cybersecurity在客戶端系統上發現惡意軟件,該系統使用合法的Windows進程來挖掘加密貨幣。它使用的是BadShell,具有以下特點
- 1.使用PowerShell執行命令,將惡意軟件代碼注入現有的運行進程。
- 2.使用計劃任務來保證腳本的持久性
- 3.註冊表保存惡意軟件的二進制代碼
4.內部員工在公司系統上運行挖礦程序
在今年早些時候的EmTech數字會議上,Darktrace講述了一個客戶,一家歐洲銀行的故事,它在服務器上遇到了一些不尋常的流量模式。夜間流程運行緩慢,銀行的診斷工具沒有發現任何東西。Darktrace發現一個新的服務器在那段時間內上線,但該銀行稱該服務器不存在。對數據中心的實物檢查表明,一名公司職員背地裏使用該服務器運行挖礦程序
5.通過GitHub提供挖礦程序
今年3月,Avast Software報告稱,加密攻擊者正在使用GitHub作爲託管惡意軟件的主機。他們找到了合法的項目,他們從中創建了一個分叉項目。然後,惡意軟件隱藏在該分叉項目的目錄結構中。攻擊者利用網絡釣魚攻擊的方法,cryptojackers會引誘受害者下載該惡意軟件。舉個栗子,通過警告誘使他們進行點擊某項內容從而下載惡意軟件,比如:更新Flash播放器或者確定成人內容遊戲網站的責任聲明。
6.利用rTorrent漏洞
Cryptojackers發現了一個rTorrent錯誤配置漏洞,該漏洞使得某些rTorrent客戶端無需進行XML-RPC通信身份驗證即可訪問。他們在Internet上掃描暴露的客戶端,然後在其上部署Monero cryptominer。安全服務提供商 F5 Networks在2月份報告了此漏洞,並建議rTorrent用戶確保其客戶不接受外部連接。
7.Facexworm:惡意Chrome擴展程序
這種惡意軟件是卡巴斯基實驗室於2017年首次發現的,是一款谷歌Chrome擴展程序,它使用Facebook Messenger感染用戶的計算機。最初,Facexworm提供了廣告軟件。今年早些時候,趨勢科技發現了各種針對加密貨幣交換的Facexworm,並且能夠提供挖礦代碼。它仍然使用受感染的Facebook帳戶來傳遞惡意鏈接,但也可以竊取網絡帳戶和憑據,這允許它將挖礦代碼注入到這些網頁當中。
8.WinstarNssmMiner:會造成計算機崩潰的挖礦程序
今年5月,360 Total Security發現了一個挖礦程序,它迅速傳播並被證實來源於cryptojackers。這個惡意軟件被稱爲WinstarNssmMiner,如果受害者嘗試去刪除它,那麼它將導致受害者的計算機崩潰。WinstarNssmMiner通過首先啓動svchost.exe進程並將代碼注入其中並將生成的進程的屬性設置爲CriticalProcess來實現此目的。由於計算機被視爲其中的一個關鍵過程,因此一旦刪除該過程,計算機就會崩潰。
9.CoinMiner:攻擊其他挖礦程序的礦王
Cryptojacking已經變得非常普遍,因此黑客設計他們的惡意軟件,以便在他們感染的系統上查找並殺死已經運行的其他Cryptojacking。CoinMiner就是一個例子。
根據Comodo的說法,CoinMiner會檢查Windows系統上是否存在AMDDriver64進程。在CoinMiner惡意軟件中有兩個列表,$ malwares和$ malwares2,它們包含已知屬於其他密碼系統的進程的名稱。然後它會殺死這些進程。
五、如何防止Cryptojacking
1.將Cryptojacking攻擊威脅納入安全培訓當中
人是最關鍵的一環,重點關注通過網絡釣魚嘗試將腳本加載到用戶的計算機上的攻擊手法。“當嘗試通過技術去解決方案失敗時,對人員的培訓有利於保護自己。”Laliberte說。他認爲網絡釣魚將繼續成爲傳播所有類型惡意軟件的主要方法。
2.在Web瀏覽器上安裝廣告攔截或反加密擴展
由於加密劫持腳本通常通過網絡廣告提供,因此安裝廣告攔截器可能是阻止它們的有效方法。Ad Blocker Plus等一些廣告攔截器具有檢測加密挖掘腳本的功能。Laliberte建議使用No Coin和MinerBlock等擴展,這些擴展旨在檢測和阻止加密腳本。
3.使用能夠檢測已知加密礦工的端點保護
許多端點保護/防病毒軟件供應商已在其產品中添加了挖礦程序檢測功能。“防病毒軟件是在終端上試圖防止挖礦程序的好東西之一。挖礦程序特徵已知,那麼它很有可能被檢測到,”Farral說。他補充說,請注意,挖礦程序的作者不斷改變他們的技術以避免程序被防病毒軟件檢測到。所以該方法存在一定滯後性
4.安全服務商的Web過濾工具應該保持最新
如果安全服務商確定了一個提供挖礦程序的網頁,它需要馬上將其加入過濾名單中/過濾規則中
5.維護瀏覽器擴展
一些攻擊者正在使用惡意瀏覽器擴展或中毒合法擴展來執行加密挖掘腳本。
6.使用移動設備管理(MDM)解決方案
自帶設備(BYOD)策略應對挖礦程序十分有效。“MDM可以在很大程度上保持BYOD的安全,”Laliberte說。MDM解決方案可以幫助管理用戶設備上的應用和擴展。MDM解決方案傾向於面向大型企業,小型企業通常無力承擔。但是,Laliberte指出,移動設備存在的風險比較小。因爲它們往往具有較低的處理能力,所以黑客往往不會將移動設備作爲首選攻擊目標
因爲以上的方法都不是萬無一失的,並且Cryptojacking越來越猖獗,所以網絡風險解決方案提供商Coalition嗅到了商機,對各大公司提供被詐騙保險。根據報道,它將償還組織因欺詐性使用商業服務(包括加密採礦)而造成的直接財務損失。
六、如何檢測Cryptojacking
就像勒索軟件一樣,儘管你盡最大努力阻止它,但加密劫持可能會影響你的組織。檢測它可能很困難,特別是如果只有少數系統受到損害。不要依賴現有的端點保護工具來停止加密。“加密挖掘代碼可以隱藏基於簽名的檢測工具,”Laliberte說。“桌面防病毒工具將無法看到它們。”以下是可行的:
1.對你的運維部門進行培訓,讓他們學會如何尋找加密採礦的跡象。
SecBI的Vaystikh表示,有時挖礦程序的入侵第一個跡象應該是運維部門接到對計算機性能下降的投訴急劇增加。這應該引起極大的重視。
Laliberte說,運維部門應該去尋找一些過熱系統,這會導致CPU或冷卻風扇故障。“由於CPU使用率過高導致損壞,可能會縮短設備的生命週期,”他說。平板電腦和智能手機等薄型移動設備尤其如此。
2.部署網絡監控解決方案。
Vaystikh認爲,企業網絡中的密碼攻擊比在家中更容易檢測,因爲大多數普通用戶的終端解決方案都沒有檢測到它。但是對於企業來說,通過網絡監控解決方案可以輕鬆檢測到Cryptojacking,因爲大多數企業組織都有網絡監控工具。
但是,只有少數擁有網絡監控工具和數據的組織擁有分析該信息以進行準確檢測的工具和能力。例如,SecBI開發了一種人工智能解決方案,用於分析網絡數據並檢測加密劫持和其他特定威脅。
Laliberte同意網絡監控是檢測挖礦行爲的最佳選擇。“檢查所有網絡流量的網絡邊界監控有更好的機會檢測挖礦程序,”他說。許多監控解決方案會將該活動向下鑽取到各個用戶,以便您可以識別受影響的設備。
“如果你在服務器上有一個良好的出口過濾,觀察出站的流量,可以很好的檢測出一些挖礦程序的運行,”Farral說。但他警告說,挖礦程序的作者可以通過修改他們的惡意軟件來避免這種檢測方法。
3.監控您自己的網站以獲取加密挖掘代碼。
Farral警告說,Cryptojackers正在尋找在Web服務器上放置一些Javascript代碼的方法。“服務器本身不是目標,但訪問網站的任何人都具有被感染的風險,”他說。他建議定期監視Web服務器上的文件更改和頁面更改情況
4.及時瞭解Cryptojacking趨勢。
攻擊方法和挖掘程序代碼本身也在不斷髮展。Farral說,瞭解軟件和行爲可以幫助您檢測加密。“一個聰明的組織應該時刻關注安全熱點。”
七、如何處理已經遭受的Cryptojacking攻擊
1.刪除並阻止相關網站提供的腳本
對於瀏覽器內JavaScript攻擊,一旦檢測到Cryptojacking,解決方案就很簡單:關閉運行腳本的瀏覽器選項卡。安全服務公司應該關注腳本來源url,並更新公司的Web過濾器特徵庫。同時,也可以考慮部署反加密挖掘工具以幫助防止未來的攻擊。
2.更新和清除瀏覽器擴展。
更新所有擴展並刪除那些不需要或被感染的擴展
3.學習和適應。
利用這些遭受攻擊的經驗可以更好地瞭解攻擊者如何破壞您的系統。更新安全意識培訓內容,以便用戶,運維部門能夠更好地識別Cryptojacking攻擊並做出相應的響應。