加密貨幣:一文看懂“挖礦劫持”，拒絕成為“免費礦工”_Siberian Husky

加密貨幣劫持，也稱作挖礦劫持，是指未經授權使用別人的計算機挖掘加密貨幣。通常，黑客通過讓受害者點擊電子郵件中的惡意鏈接，將加密貨幣挖礦代碼加載到計算機上；或者使用JavaScript代碼感染網站或在線廣告，而JavaScript代碼將在受害者瀏覽器內加載后自動執行。無論通過哪種方式，挖礦代碼將在后臺運行，而毫不知情的受害者可以正常使用計算機。他們可能注意到的唯一跡象是計算機性能下降或執行滯后。為何挖礦劫持事件層出不窮？沒有人知道黑客通過挖礦劫持開采了多少加密貨幣，但毫無疑問這種做法日漸猖獗。基于瀏覽器的挖礦劫持正在快速增長。去年11月，據Adguard報告，瀏覽器內的挖礦劫持增長率為31％。Adguard研究發現，共有33000個網站運行挖礦劫持腳本，而這些網站每月的訪問數量預計達到10億。今年2月，BadPacketsReport發現了34474個運行Coinhive的站點。Coinhive是最受歡迎的JavaScript挖礦程序，也被用于合法的加密貨幣挖礦活動。網絡安全解決方案提供商WatchGuardTechnologies的威脅情報分析師MarcLaliberte表示，“加密貨幣挖礦正處于初級階段，還有很多發展和演變的空間。”他指出，Coinhive程序易于部署，并且在第一個月就創造了30萬美元的價值。“從那以后，Coinhive發展得很快。這樣賺錢真的很容易。”1月份，研究人員發現了Smominru加密貨幣挖礦僵尸網絡，該蠕蟲感染了超過50萬臺機器，主要集中在俄羅斯、印度和臺灣地區。僵尸網絡的目標是讓Windows服務器挖掘門羅幣。網絡安全公司Proofpoint估計，截至1月底，它已經創造了360萬美元的價值。挖礦劫持甚至不需要擁有重要的技術能力。根據DigitalShadows的報告《新淘金熱：加密貨幣成為欺詐的新領域》，挖礦劫持工具包在暗網只賣30美元。挖礦劫持越來越受黑客歡迎的一個原因是風險更低卻能獲得更多金錢。SecBI的CTO兼聯合創始人AlexVaystikh表示：“對于黑客來說，挖礦劫持是比勒索軟件更廉價、更有利可圖的替代品。”如果使用勒索軟件，黑客每次感染100臺計算機，或許只能讓3個人付費。而使用挖礦劫持，被感染的100臺計算機都可以用來挖掘加密貨幣。他解釋說，雖然通過挖礦劫持和使用勒索軟件獲得的金錢可能一樣多，但是挖礦可以不斷地產生價值。另外，挖礦劫持被發現和識別的風險也遠低于勒索軟件。挖礦代碼將靜默運行，并且可能很長時間不被發現；就算被發現，也很難追溯到源頭。因為沒有任何東西被盜或被加密，受害者沒有什么動機去追溯。黑客傾向于選擇Monero和Zcash等匿名加密貨幣，而不是比特幣，因為很難追蹤這些貨幣背后的非法行為。挖礦劫持是如何發生的？黑客主要通過兩種方式讓受害者的計算機悄悄地挖掘加密貨幣。一種方法是誘導受害者將挖礦代碼加載到計算機上。通過類似網絡釣魚的方法完成劫持：受害者收到一封看似合法的電子郵件，誘導他們點擊鏈接。這個鏈接會運行代碼，將挖礦腳本加載到計算機上。受害者使用計算機時，挖礦腳本代碼可以在后臺運行。另一種方法是在可以大量傳播的網站或廣告里植入腳本。一旦受害者訪問被感染的網站或者點擊瀏覽器彈出的廣告，腳本將自動執行。沒有代碼存儲在受害者的計算機上。無論使用哪種方法，挖礦代碼都會利用受害者的計算機挖礦，并將結果發送到黑客控制的服務器。黑客通常會使用這兩種方法來獲取最大化的回報。Vaystikh表示：“攻擊者會使用惡意軟件技術作為備用，向受害者的計算機發送更可靠和持久的惡意軟件。”例如，在100臺為黑客挖掘加密貨幣的設備中，其中10％可能通過受害者設備上的代碼產生收入，90％則通過他們的網絡瀏覽器實現。與大多數其他類型的惡意軟件不同，挖礦劫持腳本不會損害計算機或者受害者的數據。它們竊取的是CPU處理資源。對于個人用戶來說，計算機性能變慢可能只是一個煩惱。而對于企業來說，如果很多系統被劫持挖礦，可能會增加成本。為了解決問題，服務臺和IT部門需要花費時間追蹤性能問題并更換組件或系統。挖礦劫持實際案例挖礦劫持者很聰明，設計了很多方案來利用他人的電腦挖掘加密貨幣。大部分的方案并不新奇，其傳播方式通常借鑒其他惡意軟件的方法。以下是一些真實發生的案例：流氓員工劫持公司系統在今年的EmTech數字會議上，Darktrace講述了一家歐洲銀行的故事。這家銀行的服務器出現了異常流量，在夜間運行緩慢，但是銀行的診斷工具沒有發現任何異常。Darktrac發現，在那段時間里有新服務器上線，而銀行表示并沒有這些服務器。最后，Darktrac對數據中心進行實地檢查時發現，一名流氓員工在地板下建了一個加密貨幣挖礦系統。利用GitHub傳播挖礦軟件3月份，Avast軟件公司報告稱，挖礦劫持者正在將GitHub作為惡意挖礦軟件的宿主。他們找到合法的項目，從中創建一個分叉項目；然后將惡意軟件隱藏在該分叉項目的目錄結構中。挖礦劫持者通過使用網絡釣魚方案引誘用戶下載該惡意軟件，例如提醒更新Flash播放器或者偽裝成一個成人游戲網站。利用rTorrent漏洞挖礦劫持者發現了一個rTorrent錯誤配置漏洞，無需進行XML-RPC通信驗證即可訪問一些rTorrent客戶端。他們掃描互聯網尋找未打補丁的客戶端，然后在客戶端上部署Monero挖礦軟件。F5Networks在2月份報告了這個漏洞，并建議rTorrent用戶確保其客戶端不接受外部連接。Chrome惡意插件Facexworm這種惡意軟件最早是由卡巴斯基實驗室于2017年發現的，它是一款谷歌瀏覽器插件，使用FacebookMessenger來感染用戶的計算機。最初，Facexworm用于傳播廣告軟件。今年早些時候，趨勢科技發現了多種面向加密貨幣兌換的Facexworm，并且能夠傳播加密貨幣挖礦代碼。它仍然使用被感染的Facebook帳戶來傳播惡意鏈接，但也可以竊取網絡帳戶和憑證，從而允許它將挖礦劫持代碼植入到這些網頁。暴力挖礦病WinstarNssmMiner5月份，360安全衛士發現了可以迅速傳播的挖礦劫持程序WinstarNssmMiner。這個惡意程序的特別之處在于，卸載它會讓受害者的計算機崩潰。WinstarNssmMiner首先啟動svchost.exe進程并向其植入代碼，然后將該進程的屬性設置為CriticalProcess。由于計算機將其視為關鍵進程，因此一旦強制結束該進程，計算機就會藍屏。如何預防挖礦劫持？如果遵循這些步驟，可以最大限度地降低公司被劫持挖礦的風險：公司安全意識培訓應該增加關于挖礦劫持威脅的內容，著重介紹通過網絡釣魚將挖礦腳本加載到用戶計算機上的劫持方式。Laliberte認為培訓會有幫助，網絡釣魚將繼續成為攻擊者發送各種惡意軟件的主要方式。而針對通過訪問合法網站自動執行挖礦劫持的方式，Vaystikh表示，培訓效果不佳，因為你沒辦法告訴用戶不能訪問哪些網站。在Web瀏覽器上安裝廣告攔截或反挖礦插件。由于挖礦劫持腳本通常通過網絡廣告進行傳播，因此安裝廣告攔截器可能是阻止它們的有效手段。AdBlockerPlus等廣告攔截器具備檢測挖礦腳本的功能。Laliberte推薦NoCoin和MinerBlock等可以檢測和攔截挖礦腳本的瀏覽器插件。使用能夠檢測已知挖礦程序的端點保護技術。許多端點保護/防病軟件供應商已經添加了檢測挖礦程序的功能。Anomali安全策略總監TravisFarral說：“防病是終端預防挖礦劫持的方法之一。如果這個程序是已知的，那就很可能被檢測出來。”他補充道，需要注意的是挖礦程序的編寫者正在不斷改變技術，避免被端點檢測到。更新網頁過濾工具。如果已經確定一個網站正在運行挖礦腳本，請確保所有用戶不會再訪問該網站。維護瀏覽器插件。一些攻擊者正在使用瀏覽器惡意插件或者被感染的合法插件來執行加密貨幣挖礦腳本。使用移動設備管理解決方案更好地控制用戶設備上的內容。自帶設備策略可以有效預防非法的加密貨幣挖礦行為。Laliberte認為，MDM可以長期保持自帶設備的安全。MDM解決方案可以幫助企業管理用戶設備上的應用和插件。MDM解決方案傾向于面向大型企業，小型企業通常負擔不起。不過，Laliberte指出，移動設備不像臺式電腦和服務器那么危險。因為移動設備的處理能力往往較低，所以對黑客來說并不是很賺錢。如何檢測挖礦劫持？與勒索軟件一樣，盡管企業竭盡全力去阻止挖礦劫持，還是可能受到影響。企業可能很難檢測挖礦劫持，特別是在只有少數系統受到損害的情況下。以下是有效的方法：訓練服務臺，發現挖礦劫持的跡象。SecBI的Vaystikh表示，有時候，挖礦劫持的第一個跡象就是服務臺收到用戶關于計算機性能下降的抱怨。企業應該對此予以重視，并進一步進行調查。服務臺應該尋找的其他信號是可能導致CPU或散熱風扇故障的系統過熱。Laliberte指出，因為CPU使用率過高，系統過熱會造成損壞，并可能縮短設備的使用周期。對于平板電腦和智能手機等移動設備更是如此。部署網絡監控解決方案。Vaystikh認為，企業網絡中的挖礦劫持比家庭網絡更容易檢測，因為大多數消費者端點解決方案都無法檢測到它。挖礦劫持很容易通過網絡監控解決方案進行檢測，而大多數企業都有網絡監控工具。不過，即便擁有網絡監控工具和數據，很少有企業可以有工具和能力來分析這些信息，從而進行準確的檢測。例如，SecBI開發了一個AI解決方案來分析網絡數據，并檢測挖礦劫持和其他特定威脅。Laliberte認為，網絡監測是檢測挖礦劫持的最佳選擇。審查所有網絡流量的網絡周邊監控方案，更有可能檢測出挖礦行為。許多監控解決方案將深入檢測每一個用戶，以便確定哪些設備受到影響。Farral表示，如果企業服務器配備了靠譜的過濾器來監控出口端點的網絡連接請求，那么可以很好地檢測出惡意挖礦軟件。不過，他警告說，挖礦軟件的編程者有能力改寫惡意軟件，來規避這個檢測方法。監控自己的網站是否被植入挖礦劫持代碼。Farral警告說，挖礦劫持者正設法在Web服務器上植入一些Javascript代碼。服務器本身并不是其攻擊目標，但是任何訪問該網站的人都有感染的風險。他建議企業定期監視Web服務器上的文件更改情況或者自行更改頁面。隨時了解挖礦劫持的發展趨勢。挖礦劫持的傳播方式和挖礦代碼本身在不斷發展。Farral表示，了解挖礦劫持軟件和劫持行為可以幫助企業檢測挖礦劫持。一個精明的企業會跟進事情的最新進展。如果掌握了挖礦劫持的傳播機制，就知道某個特定的開發工具包正在發送挖礦代碼。保護開發工具包，也將成為預防挖礦劫持的措施。如何應對挖礦劫持攻擊？關閉并攔截網站發送的惡意腳本。對于瀏覽器內的JavaScript劫持攻擊，一旦檢測到挖礦劫持，就應該關閉運行惡意腳本的瀏覽器標簽頁。IT部門應該注意發送腳本的網站URL，并更新企業的網頁過濾器進行攔截。企業可以考慮部署反挖礦工具，幫助防止未來的攻擊。更新并清理瀏覽器插件。Laliberte表示，如果一個插件感染了瀏覽器，關閉標簽頁將無濟于事。這時應該更新所有插件，并刪除不需要或已經感染的插件。學習并適應。借助這些經驗更好地了解攻擊者是如何危害系統的。更新企業的用戶、服務臺和IT培訓內容，以便他們更好地識別挖礦劫持并采取相應的行動。轉載/內容合作/尋求報道請聯系郵箱report@odaily.com，違規轉載法律必究。

德勤和Chainalysis達成合作尋求實現加密合規性:金色財經報道，德勤和區塊鏈數據平臺Chainalysis宣布成立新的戰略合作聯盟，以幫助客戶應對數字資產生態系統合規挑戰。通過該聯盟，客戶將能夠利用Chainalysis的專有區塊鏈數據集、分析軟件和培訓計劃以及德勤的服務，幫助客戶管理取證、調查和合規計劃。

公告稱，隨著監管機構明確對數字資產的期望、執法機構建立區塊鏈追蹤能力、金融機構制定數字資產戰略，德勤和Chainalysis正在滿足市場對風險管理技術解決方案和服務的需求，雙方將共同幫助其共同客戶實施最先進的取證、調查和合規計劃。[2023/7/26 15:58:39]

DCG創始人Barry Silbert：沒有從Genesis借款16.75億美元:金色財經報道，針對加密貨幣交易所Gemini聯合創始人Cameron Winklevoss發布公開信聲稱DCG欠了Genesis大約16.8億美元資金，而且“爛攤子”均是其創始人Barry Silbert一人造成，Barry Silbert在社交媒體做出回應，他表示DCG沒有從Genesis借款16.75億美元，而且下一次貸款還款到期日是2023年5月，而且DCG并沒有采用“惡意拖延戰術”不還錢，而是已經在12月29日向Genesis和Cameron Winklevoss的顧問提交了一份提案，但截止目前尚未收到Gemini任何回復。[2023/1/3 22:21:21]

中關村論壇：將重點展示區塊鏈、元宇宙等領域的前沿創新成果:金色財經報道，《人民日報》（2022年11月19日第04版）報道中關村論壇11月25日開幕，本屆論壇將設立前沿科技與未來產業展，重點展示人工智能、區塊鏈、元宇宙、腦科學等領域的前沿創新成果。[2022/11/19 22:06:53]

FTX破產后CrossTower已針對Voyager Digital資產修改競標報價:金色財經報道，由于早期競標者FTX US于11 月 11 日在美國申請破產后，已破產的加密貨幣借貸服務提供商Voyager Digital宣布重新開始競標程序，加密貨幣交易所 CrossTower 也宣布將對 Voyager Digital 的資產修改報價。CrossTower 發言人稱，該公司目前不知道其他參與者參與競標過程，也不知道是否會有其他利益相關方，但即便有其他參與者加入競標，CrossTower也將一直并將繼續非常關注社區，修改后的報價會使 Voyager 客戶和更廣泛的加密社區受益，不過截至目前新的招標條款尚未得到確認，此前FTX、Binance 和 CrossTower 一起提交了收購 Voyager 資產的投標，每家公司都提出了各自條款和條件。（cointelgraph）[2022/11/14 13:01:03]

美股三大指數小幅低開:8月24日消息，美股三大指數集體低開，道指下跌0.05%，納指跌0.05%，標普500指數跌0.07%。[2022/8/24 12:46:05]

Tags：加密貨幣BERBERTERT加密貨幣行情哪里看Siberian Huskyliberty幣1978

Fil