不久前出現(xiàn)過一款惡意軟件叫Rakhni，會自行判斷感染用戶計算機的配置，來決定將計算機用來挖礦還是用來勒索，算是一種新的基于網(wǎng)絡(luò)的劫持方式，可以說不論怎樣，都能為攻擊者帶來收益。

也許這種惡意軟件的發(fā)明者罪該萬死，但也算是通過這種操作再一次把“挖礦/劫持”這些涉及黑產(chǎn)的內(nèi)容拉進了網(wǎng)民的日常生活。而黑產(chǎn)也一直以非常神秘的姿態(tài)出現(xiàn)，不自覺讓人想到，從事黑產(chǎn)的人都是日進斗金的大佬。

然而實際呢?

[[243035]]

最近，布倫瑞克大學(xué)研究員進行了一項調(diào)研，研究發(fā)現(xiàn)，根據(jù)Alexa的數(shù)據(jù)，訪問量達100萬的網(wǎng)站中，每500個網(wǎng)站就會存在含有挖礦功能的插件，一旦用戶訪問這個頁面，挖礦程序就會通過頁面自動在電腦上啟動。

聽起來有點像是“云挖礦”。雖然這個現(xiàn)象越來越常見，但并不是每一次劫持都會讓人大賺一筆。

研究表示，根據(jù)現(xiàn)有用戶臺式計算機的平均配置和相關(guān)網(wǎng)站的訪問統(tǒng)計，再參考當(dāng)前相應(yīng)加密貨幣的價格，可以大概推測出，從事挖礦的“礦工”們每天的收入在幾美分到340美元之間，差距非常大。

加密劫持的興起

很多常見的加密貨幣：例如門羅幣、百特幣這些，并不需要專用的挖礦設(shè)備，只需要常規(guī)計算機系統(tǒng)配上一些檔次稍高的硬件就可以進行挖礦操作。也就是說，只要愿意，人人都可以挖礦。 

[[243036]]

所以也就出現(xiàn)了那么一些不法分子，既想挖礦又不想占用自己的設(shè)備還不想付電費。而且自打CoinHive出現(xiàn)之后，他們還就夢想成真了。

這些加密程序可以在所有的主流瀏覽器上運行，甚至可以通過入侵受損的路由器將挖礦腳本注入動態(tài)網(wǎng)頁。

收益幾何

這種行為的收入主要取決于挖礦程序?qū)τ脩鬋PU的占用率，兩者基本成正比。但是如果程序太過“激進”，例如系統(tǒng)占用率太高，則容易被用戶發(fā)現(xiàn)，也就宣告失敗。

以目前擁有挖礦功能的收入最高的10個網(wǎng)頁為例，可以估算出來：每天大概能生成0.53~1.51個門羅幣，約等于119~340美元。對于黑產(chǎn)來說這并不多，但考慮到這幾乎是0成本就能實現(xiàn)的收益，這顯然對某些人有著巨大的吸引力。

最終，研究人員得出的結(jié)論是，目前的加密劫持/挖礦并沒有人們預(yù)期那么高的收入，只能算是中規(guī)中矩。

如何阻止

現(xiàn)有大部分網(wǎng)絡(luò)瀏覽器使用的網(wǎng)絡(luò)黑名單模式很容易就會被這些惡意程序繞過，而且由于時效性，也容易出現(xiàn)更新不及時的問題。

研究人員嘗試使用動態(tài)方式進行篩選，并用專門的檢測指標(biāo)對挖礦頁面進行精確的識別，以代替原本的靜態(tài)黑名單模式。無論這種方法是否能夠普及，但不可否認(rèn)的是這種檢測方式效果更好，并且出乎挖礦者的意料。

由于支持主動挖礦的唯一方式就是長時間對CPU的高頻率使用，專家也建議瀏覽器廠商根據(jù)網(wǎng)頁標(biāo)簽來分配CPU使用率。一旦某個頁面用完了分配的CPU“指標(biāo)”，并且還有多余動作時，瀏覽器可以主動采取措施，例如限制訪問或?qū)τ脩舭l(fā)出提醒。

[[243037]]

顯然，作為黑產(chǎn)的一部分，網(wǎng)絡(luò)挖礦/劫持并沒有大多數(shù)人們想象的那么風(fēng)光，也沒有像電視上那樣，隱藏于互聯(lián)網(wǎng)之中，坐看金銀入手。但是作為個體用戶，切勿不能掉以輕心，雖然賺的少，但是人家勝在數(shù)量多，積跬步以至千里的道理大家都懂，全國每人給你1塊錢也能成富翁。對于惡意軟件，防患于未然總不是壞事。