網(wǎng)絡安全有時候就像一場不加管制的大亂斗，但全新攻擊類型突然出現(xiàn)的事還是沒那么常見。不過，過去15個月里，加密貨幣劫持就是那么一種突然出現(xiàn)的全新攻擊。如今，這種攻擊四處狼煙，持續(xù)不散。

[[253655]]

加密貨幣劫持的概念十分簡單：攻擊者利用別人計算機的處理能力為自己挖掘加密貨幣。惡意挖礦軟件早已默默存在了一段時間，但直到2017年9月CoinHive團隊創(chuàng)建了一款幾乎可以嵌入任何網(wǎng)站的挖礦模塊，攻擊者才意識到挖礦惡意軟件的真正潛力。

只要裝上了這個模塊，訪問該頁面的瀏覽者打開頁面的時間有多長，就為該模塊擁有者貢獻了多久的CPU周期。CoinHive曾說該工具本來只是想給網(wǎng)站增加點收益流，但罪犯很快發(fā)覺自己可以利用流行網(wǎng)站的漏洞悄悄植入他們自己的加密貨幣劫持模塊。

2017年末和2018年初，加密貨幣價值飆升至史上巔峰，加密貨幣劫持的流行度也隨之暴漲。而且，自此以后，加密貨幣劫持以各種有趣而令人警醒的方式不斷發(fā)展成熟。惡意挖礦機開始出現(xiàn)在移動設備、云基礎設施、物聯(lián)網(wǎng)設備，甚至關鍵基礎設施中。雖然貢獻一點點算力有時候多花不了受害者多少錢，但更為激進的挖礦機有可能干擾受影響設備進程，中斷工作流，甚至將受害者設備消耗到造成物理損害的地步。

安全公司W(wǎng)ebroot高級威脅研究員 Tyler Moffitt 稱：

加密貨幣劫持攻擊隨加密貨幣價值的高低而起伏。但盡管最初的加密貨幣劫持淘金潮有所消退，因為執(zhí)行此類攻擊的開銷超級小，黑客仍可從中獲益。僅僅是在目標網(wǎng)站或系統(tǒng)中建立其惡意挖礦基礎設施，對黑客來說也是只賺不賠的，畢竟可以在加密貨幣價值上漲的時候馬上展開行動。

而且，只要在云服務器之類的強大資源上挖掘，總有錢可賺。網(wǎng)絡防御公司Malwarebytes首席惡意軟件情報分析師 Jérôme Segura 表示：隨著加密貨幣價格的降低，此類攻擊消退了一點兒，但這并不意味著加密貨幣劫持本身消失了。不僅沒有消失，還更加成熟了。其中危險在于，如果采用計算機執(zhí)行特定任務和調度任務的關鍵基礎設施被植入了加密貨幣挖礦機，其穩(wěn)定性就會受到影響，有可能造成崩潰，損害到服務的交付。

2018年初，關鍵基礎設施安全公司Radiflow稱在歐洲水廠用于監(jiān)視和工業(yè)控制的運營技術網(wǎng)絡中發(fā)現(xiàn)挖礦惡意軟件。惡意挖礦者還盯上了云基礎設施廣泛的原始處理能力，威脅關鍵服務的正常運行時間。比如說，今年2月時云監(jiān)視與防御公司RedLock就稱，特斯拉的AWS云基礎設施就遭遇了不太顯眼但牽涉很廣的加密貨幣劫持。

瀏覽器和惡意軟件掃描器一直在改進其對加密貨幣劫持的防御，但該技術已經(jīng)進化到能扛住這些防御措施了。與其他類型的攻擊一樣，只要足夠多的防御系統(tǒng)開始捕獲挖礦代碼，黑客最終會開始混淆這些代碼。不安全且往往缺乏監(jiān)視的物聯(lián)網(wǎng)設備也是加密貨幣劫持借以增殖的平臺。加密貨幣劫持可在各類物聯(lián)網(wǎng)設備上執(zhí)行，甚至Xbox和PlayStation上的挖礦機都有概念驗證程序了。

今年8月，安全公司TrustWave披露了涉拉脫維亞制造商MikroTik路由器的一起大規(guī)模加密貨幣劫持。該攻擊先利用設備漏洞感染了巴西的7.2萬臺路由器，然后擴散到20多萬臺帶漏洞的路由器上。MikroTik在4月就已修復該漏洞，但很多設備都存在物聯(lián)網(wǎng)安全的一個常見問題——不接收更新。

Malwarebytes的Segura稱：

盡管加密貨幣劫持方法越來越復雜，攻擊者只要有機會還是會走回老路，去劫持流行網(wǎng)站。就在上個月，美國為重癥病童服務的許愿基金會網(wǎng)站就被加密貨幣劫持者通過其內容管理系統(tǒng)給黑了，往該Web框架中注入了加密貨幣劫持腳本。而且加密貨幣劫持者還學會了往很多經(jīng)典Web攻擊中附加加密貨幣劫持——在網(wǎng)絡釣魚網(wǎng)站上添加惡意挖礦機或將挖礦機捆綁進其他惡意軟件下載中。

加密貨幣劫持中最關鍵的一點是，相比其他類型的攻擊，它太容易開展了。攻擊者幾乎不用付出什么成本，總是穩(wěn)賺不賠。

所以，無論是想賺快錢還是謀求長期利益，加密貨幣劫持都是攻擊者的上上之選。潛力如此巨大，短期內消亡是不可能的了。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文