导语:加密货币挖矿是2017年连接到家用路由器的设备上检测最多的网络事件。那么加密货币挖矿恶意软件会是2018年的新威胁吗?
加密货币勒索软件会成为新的勒索软件吗?加密货币的流行以及在现实生活中的重要意义已经引起了网络犯罪分子的注意,他们已经开始跟随勒索软件的恶行了。事实上,加密货币挖矿是2017年连接到家用路由器的设备上检测最多的网络事件。
Figure 1. 加密货币挖矿是2017年检测到连接到家用路由器的最多的网络事件
我们从2011年中开始发现蠕虫和后门这样的payload竟然发展成一种比间谍活动和勒索软件更加高效的盈利方式。以致于有组织的黑客组织加入这一行列中。
以比特币为例,2017年1月比特币价值大约是1000美元,时至今日已经超过11000美元;峰值的时候比特币与美元的比率大约是1比特币比20000美元。门罗币也是一样的,2017年1月价值13美元,到2018年2月达到了325美元。哪里有钱(利益),哪里就有威胁单元。
使用加密货币挖矿恶意软件是威胁场景中的一点,加密货币挖矿恶意软件的流行得到了刺激,在2017年10月达到了峰值116361个。研究人员检测到大多数的加密货币挖矿软件在日本、台湾、印度、美国和澳大利亚。
Figure 2. 2017年检测到的加密货币挖矿恶意软件
图3. 2017年检测到的加密货币挖矿恶意软件按国家分布图
其他图标中的变化可以看做是网络犯罪分子使用加密货币挖矿的标志,有滥用合法和恶意软件工具、无文件加密货币挖矿机、挖门罗币的工具等。
从比特币到门罗币
Coinhive提供给用户和企业一种能够利用访问网站的用户CPU进行门罗币挖矿的嵌入式JS代码的平台。这种方法的便利性和定制并没有躲过网络犯罪分子。恶意版本的Coinhive挖矿机是2017年6大最常见的恶意软件,美国和英国的政府官网、著名企业的云服务器等都被攻恶意挖矿软件攻击。恶意挖矿软件还通过恶意广告传播。
这就是为什么门罗币会变成Coinhive和犯罪分子加密货币的选择。用来挖门罗币的算法CryptoNight的设计可以抵御ASIC挖矿,这更适合计算用户硬件CPU的哈希值。
用CPU、GPU或者两者集合进行挖矿在技术上是可行的,但是特定应用的集成电路芯片和云挖矿机提供商是不行的。挖矿机可以全年无休地工作,但仍然产不出一个比特币。与比特币相比,门罗币是伪匿名的。门罗币使用环签名,所以在门罗币的区块链上更难追踪交易,比如地址、数额、源、目的地、发送者和接受者等。
无文件加密货币挖矿恶意软件
跟勒索软件变成熟的过程一样,我们看到了一些利用无文件恶意软件来安装挖矿机的方法和活动。以Coinhive为例,10-20个活动的矿机可以每个月盈利0.3XMR(97美元)。僵尸系统或网络可以赚得更多。
去年我们发现一款加密货币挖矿恶意软件使用了永恒之蓝漏洞进行自繁殖,并滥用WMI达到持久保存的目的。事实上,门罗币挖矿软件Adylkuzz是WannaCry之前第一个利用永恒之蓝漏洞的。系统和网络没有打补丁的时间越长,被重复感染的风险就越大。
无文件加密货币挖矿机恶意软件的典型感染链如下,包括加载恶意代码到系统内存。表示被感染的唯一物理足迹就是恶意batch文件的存在——安装的WMI服务和PowerShell可执行文件。一些恶意软件使用了永恒之蓝漏洞进行繁殖,一些使用Mimikatz来收集用户凭证来把机器变成门罗币挖矿的节点。
事实上,漏洞是加密货币挖矿机恶意软件进行感染和传播的主要途径。这是在最近的一次Apache CouchDB数据库管理系统的入侵测试中被证明的。JekinsMiner是一款远程访问木马,也携带门罗币挖矿机并攻击Jenkins服务器。据报道称,JekinsMine的运营者一共挖到价值300万的门罗币。
Figure 4. 无文件加密货币挖矿恶意软件感染流
预防加密货币挖矿恶意软件
在许多国家,加密货币是允许使用的。因为其分布式的本质,有管理框架来监控交易的合法性。但是通过恶意软件进行违法挖矿是另一个问题。
但是加密货币挖矿恶意软件造成的影响并没有勒索软件那么多,因此很少被看做是一种威胁。2017年12月的Loapi Monero安卓挖矿恶意软件证明了可以对移动设备造成损害。但是网络犯罪分子的加密货币挖矿不只是对设备的wear and tear,还会对消耗计算能力。这也是以前发展的技术所带来的威胁和风险。就像勒索软件,我们认为加密货币挖矿恶意软件与常见的恶意软件是不同的,因为它用很多的方式来感染系统并把受害者变成问题的一部分。因此,需要深度防御的安全措施,不论是对企业用户还是个人用户,设备的设计和制造厂商都应该采用最佳实践的方法来进行防护。
Figure 5. 无文件加密货币恶意软件解决方案