許多正在追逐加密貨幣挖掘熱潮的網(wǎng)絡(luò)犯罪分子，已經(jīng)開(kāi)始劫持計(jì)算機(jī)設(shè)備并秘密地利用這些受害者的資源來(lái)開(kāi)采加密貨幣。

[[221050]]

網(wǎng)絡(luò)犯罪分子熱衷的其中一種策略就是在主機(jī)系統(tǒng)上為流行的加密貨幣(尤其是門(mén)羅幣Monero)安裝“礦工“(miners)，并將其添加到大量的僵尸網(wǎng)絡(luò)中。另一種常見(jiàn)的策略是在網(wǎng)站中嵌入挖礦工具，并秘密使用這些網(wǎng)站訪問(wèn)者的計(jì)算資源來(lái)挖掘門(mén)羅幣和其他數(shù)字貨幣。根據(jù)Imperva發(fā)布的研究報(bào)告顯示，2017年12月，所有遠(yuǎn)程代碼執(zhí)行攻擊中有88%將目標(biāo)指向加密貨幣挖掘惡意軟件下載網(wǎng)站。

這一趨勢(shì)已經(jīng)嚴(yán)重影響了個(gè)人和企業(yè)的安全。根據(jù)供應(yīng)商提供的報(bào)告指出，由于越來(lái)越多的挖礦工具被安裝在服務(wù)器和其他業(yè)務(wù)系統(tǒng)上，已經(jīng)導(dǎo)致眾多企業(yè)遭受了運(yùn)營(yíng)中斷的嚴(yán)重后果。Check Point在本周發(fā)布的一份報(bào)告中預(yù)計(jì)，僅受Coinhive采礦工具影響的企業(yè)就已經(jīng)占據(jù)全球企業(yè)的23%。此外，該公司在2018年1月發(fā)布的“十大惡意軟件威脅“名單中就包含3個(gè)加密貨幣挖掘工具(CoinHive、Cryptoloot和Rocks)。

接下來(lái)將為大家詳細(xì)介紹7個(gè)最多產(chǎn)且正在困擾全球用戶的加密貨幣挖掘工具和僵尸網(wǎng)絡(luò)：

1. Coinhive

[[221051]]

Coinhive是部署在全球數(shù)千個(gè)網(wǎng)站上的加密貨幣挖礦機(jī)，其中一些具備網(wǎng)站所有者的許可和授權(quán)，但大多數(shù)時(shí)候是在未經(jīng)網(wǎng)站持有者許可的情況下，將JavaScript加密貨幣挖掘腳本嵌入在其網(wǎng)站中。當(dāng)訪客訪問(wèn)該網(wǎng)站時(shí)，會(huì)利用訪客的計(jì)算機(jī)CPU資源來(lái)挖掘加密貨幣(如門(mén)羅幣Monero)，最終導(dǎo)致網(wǎng)站訪客的計(jì)算機(jī)性能下降。

Coinhive本身并不是惡意的。事實(shí)上，不得不承認(rèn)其想法是相當(dāng)有創(chuàng)意的。Coinhive.com推出時(shí)，其創(chuàng)建者曾向網(wǎng)站所有者們推廣Coinhive并聲稱(chēng)：僅需耗費(fèi)訪問(wèn)用戶的少部分CPU，就可以為網(wǎng)站所有者賺取利潤(rùn)(提供門(mén)羅幣作為回報(bào))，用于支持他們的業(yè)務(wù)，再也不用添加各種煩人的廣告，為用戶提供無(wú)廣告體驗(yàn)。但是目前，多家安全供應(yīng)商已經(jīng)開(kāi)始阻止Coinhive，因?yàn)楦鶕?jù)用戶反饋許多網(wǎng)站所有者開(kāi)始在不告知用戶的情況下運(yùn)行挖礦工具。

此外，網(wǎng)絡(luò)犯罪分子也開(kāi)始在未經(jīng)網(wǎng)站所有者許可的情況下將挖礦工具嵌入成千上萬(wàn)的網(wǎng)站之中。Check Point預(yù)計(jì)，2018年1月，全球多達(dá)23%的組織都受到了Coinhive的影響。

然而，事情并沒(méi)有如此簡(jiǎn)單。2018年2月初，英國(guó)網(wǎng)絡(luò)安全公司Sophos公布了一份長(zhǎng)達(dá)13頁(yè)的報(bào)告指出，安全專(zhuān)家發(fā)現(xiàn)19款A(yù)ndroid應(yīng)用程序被秘密加載到了Google Play商店中。Synopsys公司高級(jí)安全策略師Taylor Armerding表示，其中一款應(yīng)用程序的安裝量已經(jīng)達(dá)到10萬(wàn)到50萬(wàn)次。

RiskIQ公司產(chǎn)品經(jīng)理Vamsi Gullapalli援引最近的數(shù)據(jù)稱(chēng)，“通過(guò)RiskIQ抓取到的數(shù)據(jù)發(fā)現(xiàn)，在過(guò)去一年中，有超過(guò)50,000 個(gè)網(wǎng)站通過(guò)直接嵌入或間接經(jīng)由受損的第三方組件(如Texthelp)注入的方式加載了Coinhive 挖礦工具。“他進(jìn)一步表示，大多數(shù)的嵌入操作都是在未經(jīng)原始所有者許可的情況下實(shí)現(xiàn)的。

2. Smominru

[[221052]]

Smominru是一款門(mén)羅幣挖掘僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)由超過(guò)520,000臺(tái)Windows主機(jī)(其中大多數(shù)是服務(wù)器)組成。根據(jù)率先發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)的安全廠商Proofpoint介紹稱(chēng)，該僵尸網(wǎng)絡(luò)運(yùn)營(yíng)者一直在利用NSA泄露的“永恒之藍(lán)“(EternalBlue)漏洞來(lái)感染全球各地的系統(tǒng)，并使其成為僵尸網(wǎng)絡(luò)的一部分。此外，值得一提的是，此前臭名昭著的勒索軟件“WannaCry”也是利用了美國(guó)國(guó)家安全局泄露的危險(xiǎn)漏洞“永恒之藍(lán)“。

截至2018年1月底，該僵尸網(wǎng)絡(luò)已經(jīng)挖到了約8900枚門(mén)羅幣，折合當(dāng)時(shí)的匯率約合280萬(wàn)美元。Proofpoint當(dāng)時(shí)曾預(yù)測(cè)稱(chēng)，該僵尸網(wǎng)絡(luò)每天大約挖掘24個(gè)門(mén)羅幣，價(jià)值約合8500美元。Proofpoint指出，由于許多受感染的系統(tǒng)都是服務(wù)器，所以對(duì)于受影響的企業(yè)而言潛在的效益影響是巨大的。

3. WannaMine

[[221053]]

去年10月份，由熊貓安全(Panda Security)率先發(fā)現(xiàn)的“WannaMine“是一款新型門(mén)羅幣(Monero)加密挖掘蠕蟲(chóng)。鑒于該蠕蟲(chóng)試圖最大限度地使用被感染系統(tǒng)的處理器和RAM的表現(xiàn)形式，Panda安全公司將該蠕蟲(chóng)形容成”尤為麻煩“的存在。

根據(jù)今年Crowdstrike公司發(fā)布的報(bào)告指出，該蠕蟲(chóng)同樣利用與 NSA 相關(guān)的 “永恒之藍(lán)“(EternalBlue)漏洞進(jìn)行傳播。此外，WannaMine 還可以使用憑證收割機(jī)”Mimikatz“來(lái)收集用戶憑據(jù)，從而達(dá)到在公司網(wǎng)絡(luò)中橫向移動(dòng)的目的，但如果不能夠橫向移動(dòng)的話，WannaMine 將會(huì)嘗試使用NSA泄露的EternalBlue漏洞擴(kuò)展到其他系統(tǒng)之中。

4. Adylkuzz

2017年5月，Adylkuzz引起了廣泛關(guān)注，它與WannaCry一樣使用了NSA泄露的“永恒之藍(lán)“(EternalBlue)和Double Pulsar漏洞進(jìn)行傳播。像其他加密貨幣挖掘工具一樣，一旦該惡意軟件進(jìn)入計(jì)算機(jī)系統(tǒng)，它就能在上面下載指令、挖礦機(jī)器人以及清除工具。而關(guān)于該惡意軟件還有一個(gè)值得注意的特征：它能夠關(guān)閉受感染系統(tǒng)上的所有SMB網(wǎng)絡(luò)，以阻止其他惡意軟件(包括WannaCry蠕蟲(chóng))感染。

據(jù)悉，Proofpoint最早在4月24日發(fā)生了該類(lèi)型攻擊，但由于它是在暗處操作，所以直到WannaCry席卷全球之后它才浮出水面，而許多用戶甚至完全不知道自己所用設(shè)備已經(jīng)遭到該惡意軟件的網(wǎng)絡(luò)攻擊。根據(jù)Proofpoint初步數(shù)據(jù)統(tǒng)計(jì)表明，這起攻擊的規(guī)?？赡鼙?ldquo;WannaCry“還大，影響了全球幾十萬(wàn)臺(tái)PC和服務(wù)器。

5. JSECoin

[[221054]]

JSECoin 是與Coinhive類(lèi)似的JS挖礦工具，通過(guò)將加密貨幣挖掘工具嵌入網(wǎng)站所有者的網(wǎng)站之中，并提供網(wǎng)站所有者部分加密貨幣作為回報(bào)。像Coinhive一樣，JSECoin也是在訪客訪問(wèn)嵌入挖礦工具的網(wǎng)站時(shí)，利用訪客的計(jì)算機(jī)CPU資源來(lái)挖掘加密貨幣。但是與前者不同的是，JSECoin會(huì)將CPU使用率限制在15%至25%之間，并且始終顯示隱私聲明，為用戶提供退出鏈接。盡管如此，Check Point月度報(bào)告中還是已經(jīng)將該挖礦工具列入了“10大最受歡迎的惡意軟件工具“名單之列。

6. Bondnet

[[221055]]

Bondnet是一種用于挖掘不同數(shù)字貨幣的加密貨幣僵尸網(wǎng)絡(luò)。GuardiCore稱(chēng)，該僵尸網(wǎng)絡(luò)由多達(dá)15000臺(tái)不同功率的服務(wù)器組成。GuardiCore公司于去年5月首次報(bào)告了該僵尸網(wǎng)絡(luò)信息，并指出該僵尸網(wǎng)絡(luò)能夠利用所控制的僵尸設(shè)備“挖礦”，開(kāi)采不同種類(lèi)的虛擬貨幣。其受害者包括全球性公司、市政府、大學(xué)以及公共機(jī)構(gòu)等。

據(jù)悉，Bondnet的攻擊目標(biāo)主要鎖定為Windows Server主機(jī)，利用系統(tǒng)弱密碼問(wèn)題和常見(jiàn)的老舊系統(tǒng)漏洞(例如phpMyAdmin配置錯(cuò)誤漏洞，或JBoss、Oracle?Web?Application?Testing?Suite、ElasticSearch、MS?SQL?servers、Apache?Tomcat、Oracle?Weblogic等)來(lái)入侵Windows系統(tǒng)，并安裝Windows管理界面木馬與遠(yuǎn)程命令和控制服務(wù)器進(jìn)行通信。此外，GuardiCore還注意到，該僵尸網(wǎng)絡(luò)還能夠輕易地發(fā)動(dòng)DDoS攻擊以及竊取企業(yè)的數(shù)據(jù)。

7. PyCrypto Miner

[[221056]]

F5 Networks的研究人員將“PyCrypto Miner“描述為一個(gè)基于Python的僵尸網(wǎng)絡(luò)，研究人員稱(chēng)，該僵尸網(wǎng)絡(luò)很大程度上可能已經(jīng)隱身運(yùn)行了很長(zhǎng)一段時(shí)間。

據(jù)悉，這一基于Linux的加密貨幣挖掘僵尸網(wǎng)絡(luò)是通過(guò)SSH協(xié)議進(jìn)行傳播的，并主要被用于開(kāi)采門(mén)羅幣。截至2017年12月底，該僵尸網(wǎng)絡(luò)的運(yùn)營(yíng)者似乎至少已經(jīng)挖到了價(jià)值46,000美元的加密貨幣。

根據(jù)F5研究人員的說(shuō)法，PyCrypto Miner僵尸網(wǎng)絡(luò)存在的一個(gè)值得注意的特性是，如果原始服務(wù)器因?yàn)槟撤N原因被關(guān)閉或變得不可用的話，它會(huì)使用Pastebin.com來(lái)發(fā)布和傳輸新的命令和控制(C&C)服務(wù)器地址。截至2017年12月中旬，該惡意軟件已經(jīng)獲得了用于掃描易受攻擊的JBoss系統(tǒng)的新功能。