一文看懂“挖礦劫持”，拒絕成為“免費礦工”_加密貨幣

加密貨幣劫持，也稱作挖礦劫持，是指未經授權使用別人的計算機挖掘加密貨幣。通常，黑客通過讓受害者點擊電子郵件中的惡意鏈接，將加密貨幣挖礦代碼加載到計算機上；或者使用JavaScript代碼感染網站或在線廣告，而JavaScript代碼將在受害者瀏覽器內加載后自動執行。無論通過哪種方式，挖礦代碼將在后臺運行，而毫不知情的受害者可以正常使用計算機。他們可能注意到的唯一跡象是計算機性能下降或執行滯后。為何挖礦劫持事件層出不窮？沒有人知道黑客通過挖礦劫持開采了多少加密貨幣，但毫無疑問這種做法日漸猖獗。基于瀏覽器的挖礦劫持正在快速增長。去年11月，據Adguard報告，瀏覽器內的挖礦劫持增長率為31％。Adguard研究發現，共有33000個網站運行挖礦劫持腳本，而這些網站每月的訪問數量預計達到10億。今年2月，BadPacketsReport發現了34474個運行Coinhive的站點。Coinhive是最受歡迎的JavaScript挖礦程序，也被用于合法的加密貨幣挖礦活動。網絡安全解決方案提供商WatchGuardTechnologies的威脅情報分析師MarcLaliberte表示，“加密貨幣挖礦正處于初級階段，還有很多發展和演變的空間。”他指出，Coinhive程序易于部署，并且在第一個月就創造了30萬美元的價值。“從那以后，Coinhive發展得很快。這樣賺錢真的很容易。”1月份，研究人員發現了Smominru加密貨幣挖礦僵尸網絡，該蠕蟲感染了超過50萬臺機器，主要集中在俄羅斯、印度和臺灣地區。僵尸網絡的目標是讓Windows服務器挖掘門羅幣。網絡安全公司Proofpoint估計，截至1月底，它已經創造了360萬美元的價值。挖礦劫持甚至不需要擁有重要的技術能力。根據DigitalShadows的報告《新淘金熱：加密貨幣成為欺詐的新領域》，挖礦劫持工具包在暗網只賣30美元。挖礦劫持越來越受黑客歡迎的一個原因是風險更低卻能獲得更多金錢。SecBI的CTO兼聯合創始人AlexVaystikh表示：“對于黑客來說，挖礦劫持是比勒索軟件更廉價、更有利可圖的替代品。”如果使用勒索軟件，黑客每次感染100臺計算機，或許只能讓3個人付費。而使用挖礦劫持，被感染的100臺計算機都可以用來挖掘加密貨幣。他解釋說，雖然通過挖礦劫持和使用勒索軟件獲得的金錢可能一樣多，但是挖礦可以不斷地產生價值。另外，挖礦劫持被發現和識別的風險也遠低于勒索軟件。挖礦代碼將靜默運行，并且可能很長時間不被發現；就算被發現，也很難追溯到源頭。因為沒有任何東西被盜或被加密，受害者沒有什么動機去追溯。黑客傾向于選擇Monero和Zcash等匿名加密貨幣，而不是比特幣，因為很難追蹤這些貨幣背后的非法行為。挖礦劫持是如何發生的？黑客主要通過兩種方式讓受害者的計算機悄悄地挖掘加密貨幣。一種方法是誘導受害者將挖礦代碼加載到計算機上。通過類似網絡釣魚的方法完成劫持：受害者收到一封看似合法的電子郵件，誘導他們點擊鏈接。這個鏈接會運行代碼，將挖礦腳本加載到計算機上。受害者使用計算機時，挖礦腳本代碼可以在后臺運行。另一種方法是在可以大量傳播的網站或廣告里植入腳本。一旦受害者訪問被感染的網站或者點擊瀏覽器彈出的廣告，腳本將自動執行。沒有代碼存儲在受害者的計算機上。無論使用哪種方法，挖礦代碼都會利用受害者的計算機挖礦，并將結果發送到黑客控制的服務器。黑客通常會使用這兩種方法來獲取最大化的回報。Vaystikh表示：“攻擊者會使用惡意軟件技術作為備用，向受害者的計算機發送更可靠和持久的惡意軟件。”例如，在100臺為黑客挖掘加密貨幣的設備中，其中10％可能通過受害者設備上的代碼產生收入，90％則通過他們的網絡瀏覽器實現。與大多數其他類型的惡意軟件不同，挖礦劫持腳本不會損害計算機或者受害者的數據。它們竊取的是CPU處理資源。對于個人用戶來說，計算機性能變慢可能只是一個煩惱。而對于企業來說，如果很多系統被劫持挖礦，可能會增加成本。為了解決問題，服務臺和IT部門需要花費時間追蹤性能問題并更換組件或系統。挖礦劫持實際案例挖礦劫持者很聰明，設計了很多方案來利用他人的電腦挖掘加密貨幣。大部分的方案并不新奇，其傳播方式通常借鑒其他惡意軟件的方法。以下是一些真實發生的案例：流氓員工劫持公司系統在今年的EmTech數字會議上，Darktrace講述了一家歐洲銀行的故事。這家銀行的服務器出現了異常流量，在夜間運行緩慢，但是銀行的診斷工具沒有發現任何異常。Darktrac發現，在那段時間里有新服務器上線，而銀行表示并沒有這些服務器。最后，Darktrac對數據中心進行實地檢查時發現，一名流氓員工在地板下建了一個加密貨幣挖礦系統。利用GitHub傳播挖礦軟件3月份，Avast軟件公司報告稱，挖礦劫持者正在將GitHub作為惡意挖礦軟件的宿主。他們找到合法的項目，從中創建一個分叉項目；然后將惡意軟件隱藏在該分叉項目的目錄結構中。挖礦劫持者通過使用網絡釣魚方案引誘用戶下載該惡意軟件，例如提醒更新Flash播放器或者偽裝成一個成人游戲網站。利用rTorrent漏洞挖礦劫持者發現了一個rTorrent錯誤配置漏洞，無需進行XML-RPC通信驗證即可訪問一些rTorrent客戶端。他們掃描互聯網尋找未打補丁的客戶端，然后在客戶端上部署Monero挖礦軟件。F5Networks在2月份報告了這個漏洞，并建議rTorrent用戶確保其客戶端不接受外部連接。Chrome惡意插件Facexworm這種惡意軟件最早是由卡巴斯基實驗室于2017年發現的，它是一款谷歌瀏覽器插件，使用FacebookMessenger來感染用戶的計算機。最初，Facexworm用于傳播廣告軟件。今年早些時候，趨勢科技發現了多種面向加密貨幣兌換的Facexworm，并且能夠傳播加密貨幣挖礦代碼。它仍然使用被感染的Facebook帳戶來傳播惡意鏈接，但也可以竊取網絡帳戶和憑證，從而允許它將挖礦劫持代碼植入到這些網頁。暴力挖礦病WinstarNssmMiner5月份，360安全衛士發現了可以迅速傳播的挖礦劫持程序WinstarNssmMiner。這個惡意程序的特別之處在于，卸載它會讓受害者的計算機崩潰。WinstarNssmMiner首先啟動svchost.exe進程并向其植入代碼，然后將該進程的屬性設置為CriticalProcess。由于計算機將其視為關鍵進程，因此一旦強制結束該進程，計算機就會藍屏。如何預防挖礦劫持？如果遵循這些步驟，可以最大限度地降低公司被劫持挖礦的風險：公司安全意識培訓應該增加關于挖礦劫持威脅的內容，著重介紹通過網絡釣魚將挖礦腳本加載到用戶計算機上的劫持方式。Laliberte認為培訓會有幫助，網絡釣魚將繼續成為攻擊者發送各種惡意軟件的主要方式。而針對通過訪問合法網站自動執行挖礦劫持的方式，Vaystikh表示，培訓效果不佳，因為你沒辦法告訴用戶不能訪問哪些網站。在Web瀏覽器上安裝廣告攔截或反挖礦插件。由于挖礦劫持腳本通常通過網絡廣告進行傳播，因此安裝廣告攔截器可能是阻止它們的有效手段。AdBlockerPlus等廣告攔截器具備檢測挖礦腳本的功能。Laliberte推薦NoCoin和MinerBlock等可以檢測和攔截挖礦腳本的瀏覽器插件。使用能夠檢測已知挖礦程序的端點保護技術。許多端點保護/防病軟件供應商已經添加了檢測挖礦程序的功能。Anomali安全策略總監TravisFarral說：“防病是終端預防挖礦劫持的方法之一。如果這個程序是已知的，那就很可能被檢測出來。”他補充道，需要注意的是挖礦程序的編寫者正在不斷改變技術，避免被端點檢測到。更新網頁過濾工具。如果已經確定一個網站正在運行挖礦腳本，請確保所有用戶不會再訪問該網站。維護瀏覽器插件。一些攻擊者正在使用瀏覽器惡意插件或者被感染的合法插件來執行加密貨幣挖礦腳本。使用移動設備管理解決方案更好地控制用戶設備上的內容。自帶設備策略可以有效預防非法的加密貨幣挖礦行為。Laliberte認為，MDM可以長期保持自帶設備的安全。MDM解決方案可以幫助企業管理用戶設備上的應用和插件。MDM解決方案傾向于面向大型企業，小型企業通常負擔不起。不過，Laliberte指出，移動設備不像臺式電腦和服務器那么危險。因為移動設備的處理能力往往較低，所以對黑客來說并不是很賺錢。如何檢測挖礦劫持？與勒索軟件一樣，盡管企業竭盡全力去阻止挖礦劫持，還是可能受到影響。企業可能很難檢測挖礦劫持，特別是在只有少數系統受到損害的情況下。以下是有效的方法：訓練服務臺，發現挖礦劫持的跡象。SecBI的Vaystikh表示，有時候，挖礦劫持的第一個跡象就是服務臺收到用戶關于計算機性能下降的抱怨。企業應該對此予以重視，并進一步進行調查。服務臺應該尋找的其他信號是可能導致CPU或散熱風扇故障的系統過熱。Laliberte指出，因為CPU使用率過高，系統過熱會造成損壞，并可能縮短設備的使用周期。對于平板電腦和智能手機等移動設備更是如此。部署網絡監控解決方案。Vaystikh認為，企業網絡中的挖礦劫持比家庭網絡更容易檢測，因為大多數消費者端點解決方案都無法檢測到它。挖礦劫持很容易通過網絡監控解決方案進行檢測，而大多數企業都有網絡監控工具。不過，即便擁有網絡監控工具和數據，很少有企業可以有工具和能力來分析這些信息，從而進行準確的檢測。例如，SecBI開發了一個AI解決方案來分析網絡數據，并檢測挖礦劫持和其他特定威脅。Laliberte認為，網絡監測是檢測挖礦劫持的最佳選擇。審查所有網絡流量的網絡周邊監控方案，更有可能檢測出挖礦行為。許多監控解決方案將深入檢測每一個用戶，以便確定哪些設備受到影響。Farral表示，如果企業服務器配備了靠譜的過濾器來監控出口端點的網絡連接請求，那么可以很好地檢測出惡意挖礦軟件。不過，他警告說，挖礦軟件的編程者有能力改寫惡意軟件，來規避這個檢測方法。監控自己的網站是否被植入挖礦劫持代碼。Farral警告說，挖礦劫持者正設法在Web服務器上植入一些Javascript代碼。服務器本身并不是其攻擊目標，但是任何訪問該網站的人都有感染的風險。他建議企業定期監視Web服務器上的文件更改情況或者自行更改頁面。隨時了解挖礦劫持的發展趨勢。挖礦劫持的傳播方式和挖礦代碼本身在不斷發展。Farral表示，了解挖礦劫持軟件和劫持行為可以幫助企業檢測挖礦劫持。一個精明的企業會跟進事情的最新進展。如果掌握了挖礦劫持的傳播機制，就知道某個特定的開發工具包正在發送挖礦代碼。保護開發工具包，也將成為預防挖礦劫持的措施。如何應對挖礦劫持攻擊？關閉并攔截網站發送的惡意腳本。對于瀏覽器內的JavaScript劫持攻擊，一旦檢測到挖礦劫持，就應該關閉運行惡意腳本的瀏覽器標簽頁。IT部門應該注意發送腳本的網站URL，并更新企業的網頁過濾器進行攔截。企業可以考慮部署反挖礦工具，幫助防止未來的攻擊。更新并清理瀏覽器插件。Laliberte表示，如果一個插件感染了瀏覽器，關閉標簽頁將無濟于事。這時應該更新所有插件，并刪除不需要或已經感染的插件。學習并適應。借助這些經驗更好地了解攻擊者是如何危害系統的。更新企業的用戶、服務臺和IT培訓內容，以便他們更好地識別挖礦劫持并采取相應的行動。轉載/內容合作/尋求報道請聯系郵箱report@odaily.com，違規轉載法律必究。

Paradigm：為避免SEC將穩定幣定義為證券，已在Terra案中提交法庭之友簡報:4月25日消息，Paradigm法律負責人Rodrigo在推特上表示：“Paradigm在美SEC對Terra和Do Kwon的訴訟中提交了一份法庭之友簡報，Paradigm并不是Terra的投資者，我們提交的簡報也不支持任何一方的動議，我們唯一的興趣是反擊SEC繼續擴大其對加密貨幣管轄權的企圖。”Rodrigo提到：“通過對Terra的執法行動，SEC試圖通過推進一種無限的理論，將穩定幣納入其職權范圍，即如果任何工具都可以被交易為所謂的“加密資產證券”，那么該工具本身就會成為“加密資產證券”。我們的簡報重點是回應SEC的新理論，即算法穩定幣UST是一種證券。SEC關于UST的理論是對訴訟中核心主張的補充。盡管如此，我們認為至關重要的是，負責此案的法官Rakoff避免無意中支持這一未經支持的理論，美國證券交易委員會可以尋求將其廣泛應用于其他穩定幣。”[2023/4/25 14:25:14]

第一共和銀行停牌，開盤跌67%創紀錄最大跌幅:金色財經報道，第一共和銀行(FRC.N)停牌，開盤跌67%創紀錄最大跌幅。[2023/3/13 13:01:09]

Web3游戲Mech的Discord服務器遭攻擊:金色財經報道，據CertiK監測，Web3游戲Mech.com的Discord服務器遭受攻擊，請勿點擊其Discord發布的任何鏈接。[2023/1/8 11:00:52]

SBF發內部信向FTX員工道歉:金色財經報道，SBF在公司Slack上發布內部信，SBF表示，對所發生的事情深感抱歉以及這對公司員工意味著什么。他“在壓力面前畏縮了”。

SBF在信中沒有提到FTX將資金轉移到投資基金Alameda Research的指控，也沒有提到Alameda向包括他自己在內的FTX官員貸款的聲明，或Alameda在正常清算過程中的豁免。

此外，SBF在信中表示，由于FTX擁有銀行賬戶之前的舊法幣存款，其頭寸比在用戶管理中顯示的要更大。[2022/11/23 7:58:30]

數字貨幣板塊異動拉升，國芯科技漲超10%:行情顯示，數字貨幣板塊異動拉升，國芯科技漲超10%，楚天龍直線拉升觸及漲停，星網銳捷、四方精創、旗天科技等跟漲。[2022/6/24 1:28:36]

Tags：加密貨幣ALIERTSEC加密貨幣市場最新消息ALIF幣AmberTime CoinSECO

歐易交易所