什麼是挖礦劫持?
挖礦劫持是一種惡意行為,利用受感染的設備來秘密挖掘加密貨幣。為此,攻擊者會利用受害者(計算機)的處理能力和帶寬(在大多數情況下,這是在受害者沒有意識到或同意的情況下完成的)。通常,負責此類活動的惡意挖礦軟件旨在使用足夠的系統資源來盡可能長時間不被注意。由於加密貨幣挖掘需要大量處理能力,因此攻擊者會嘗試闖入多個設備。這樣他們能夠收集到足夠的算力來執行這種低風險和低成本的挖礦活動。
早期版本的惡意挖礦軟件依賴於受害者點擊惡意鏈接或電子郵件附件,使系統無意中被隱藏的加密挖礦程序感染。然而,在過去幾年中,更加複雜的惡意軟件被開發出來,使挖礦劫持的方法更上一層樓。目前,大多數挖掘惡意軟件都通過在網站中實現的腳本運行,這種方法被稱為基於網絡的挖礦劫持。
基於網絡的挖礦劫持
基於Web的加密攻擊(又稱drive-by cryptomining)是最常見的惡意挖礦軟件形式。通常,此類惡意活動通過在網站內運行的腳本執行,使受害者的瀏覽器在訪問期間自動挖掘加密貨幣。不管網站是否流行或是是什麼類別,這些基於網絡的挖礦軟件都會在網站中秘密植入。在大多數情況下,門羅幣是加密貨幣中的首選,因為它的挖掘過程不像比特幣挖掘那樣需要大量的資源和算力。此外,門羅幣提供更高級別的隱私和匿名性,使得交易更難以被追踪。
與勒索軟件不同,惡意挖礦軟件很少會破壞計算機及其中存儲的數據。加密劫持最顯著的影響是CPU性能的降低(通常伴隨著風扇噪音的增加)。但是,對於企業和大型組織而言,CPU性能降低可能會影響他們的工作,進一步導致相當大大的損失和許多錯過的機會。
CoinHive
基於網絡的加密劫持方法首次出現於2017年9月,由一位當時名為CoinHive的加密礦工公開發布.CoinHive由一個JavaScript的密碼挖礦程序組成,據說它是為了一個崇高的目標而創造的:使網站所有者可以將其免費提供的內容轉化為貨幣,而不需要依賴於令人不快的廣告。
CoinHive與所有主流瀏覽器兼容,並且相對容易部署。創造者保留通過代碼挖掘的所有加密貨幣的30%時,利用加密密鑰來識別應該接收另外的70%的用戶帳戶。
儘管CoinHive最初被認為是一個有趣的工具,但由於網絡犯罪分子現在正在惡意將挖礦軟件注入幾個被黑的網站(未經所有者的知情或許可),因此受到了很多批評。
在少數正確使用CoinHive的情況下,挖礦劫持的的JavaScript被設置為叫做AuthedMine的自願參與版本,也就是CoinHive的修改版本,僅在收到訪問者的許可後才可以開始挖礦。
不出所料,AuthedMine的採用規模與CoinHive不同.PublicWWW上的搜索結果顯示,至少有14900個網站正在運行CoinHive(其中5700個是WordPress的網站)。另一方面,AuthedMine則大約有1250頁。
在2018年上半年,CoinHive成為了被反病毒程序和網絡安全公司追踪的頂級惡意軟件威脅。然而,最近的報告表明,加密劫持不再是最流行的威脅,因為銀行特洛伊木馬和勒索軟件攻擊成為了現在首要和次要的威脅。
挖礦劫持的短時間興衰可能與網絡安全公司的工作有關,因為許多挖礦劫持的代碼現已被列入黑名單,並可以被大多數殺毒軟件快速檢測。此外,最近的分析表明,基於網絡的挖礦劫持並不像看起來那樣有利可圖。
挖擴劫持示例
據客戶報導,在2017年年12月,CoinHive的代碼被默默地植入進布宜諾斯艾利斯多家星巴克門店的無線網絡中。該腳本通過利用相連設備的算力來挖掘門羅幣。
在2018年初,CoinHive的礦工通過谷歌的的DoubleClick平台在YouTube的廣告上運行。
在2018年7月和8月期間,一次挖礦劫持攻擊感染了巴西的200000台的MikroTik路由器,在大量網絡流量中注入了CoinHive代碼。
如何檢測和防止挖礦劫持攻擊?
如果你懷疑自己的CPU使用頻率超過正常水平並且冷卻風扇發出噪音的原因,那麼很可能是你的設備正被用於挖礦。重要的是要確定你的計算機是否已被感染,或者瀏覽器是否正在執行挖礦劫持攻擊。雖然基於網絡的加密攻擊相對容易被發現和停止,但針對計算機系統和網絡的挖礦劫持軟件並不總是易於檢測,因為這些東西通常被隱藏或是被偽裝成合法的軟件。
一些瀏覽器插件能夠有效地防止大多數基於網絡的挖礦劫持攻擊。除了限制訪問基於網絡的挖礦軟件以外,還有一部分措施基於一個固定的黑名單。但是這個黑名單很容易過時,因為會不斷地出現新的挖礦劫持方法。因此,建議保持更新操作系統並且使用最新殺毒軟件
對於企業和大型組織而言,向員工講授有關挖礦劫持和網絡釣魚的技術的信息非常重要,例如欺詐性電子郵件和偽造的網站。
總而言之:
注意你的設備性能和CPU活動;
安装瀏覽器插件,例如MinerBlock,NoCoin和Adblocker;
小心電子郵件附件和鏈接;
安裝一個值得信賴的殺毒軟件,使你的軟件應用程序和操作系統保持最新狀態;
對於企業而言,向員工講授挖礦劫持和網絡釣魚技術。