加密劫持定义
加密劫持是未经授权使用他人计算机来挖矿加密货币。黑客通过使受害者单击在计算机上加载加密代码的电子邮件中的恶意链接,或通过一旦加载到受害者浏览器中的JavaScript代码感染网站或在线广告,来实现此目的。
[网络攻击的实际成本是多少?看一下数字。
订阅我们的新闻通讯,从CSO获得最新信息。]
无论哪种方式,加密货币代码都会在后台运行,因为毫无戒心的受害者会正常使用他们的计算机。他们可能会注意到的唯一迹象是性能降低或执行滞后。
为什么cryptojacking流行
没有人能确定通过加密劫持开采了多少加密货币,但是毫无疑问这种做法很猖ramp。起初,基于浏览器的加密劫持增长很快,但似乎正在逐渐减少,这可能是由于加密货币的波动性。
年11月,Adguard报告称浏览器内加密劫持的增长率为31%。其研究发现了33,个运行加密矿脚本的网站。Adguard估计,这些站点每月的总访问量为10亿。
年2月,《坏数据包报告》发现了34,个运行Coinhive的站点,Coinhive是最受欢迎的JavaScript矿工,也用于合法的加密矿活动。在年7月,CheckPointSoftwareTechnologies报告说,它发现的十大恶意软件中有四个是加密矿工,其中包括前两个:Coinhive和Cryptoloot。
然而,正科技的网络安全ThreatscapeQ年报显示,现在cryptomining年年初报告显示,网络犯罪分子已经转向更多地勒索,这被看作是更有利可图的仅占7%的所有攻击,从23%下调。
“加密技术还处于起步阶段。网络安全解决方案提供商WatchGuardTechnologies的威胁分析师MarcLaliberte说。他指出,Coinhive易于部署,并且在第一个月就产生了30万美元。“从那以后,它增长了很多。这真是轻松的钱。”
在年1月,研究人员发现了Smominru加密采矿僵尸网络,该僵尸网络感染了超过50万台机器,主要是在俄罗斯,印度和台湾。僵尸网络针对Windows服务器开采了Monero,据网络安全公司Proofpoint估计,截至1月底,僵尸网络已经产生了万美元的价值。
加密劫持甚至不需要重要的技术技能。根据该报告,DigitalShadows的TheNewGoldRushCryptocurrenciesareFraudNewFrontierofFraud,暗网中的加密劫持工具包仅售30美元。
密码劫持越来越受到黑客欢迎的简单原因是,钱越多,风险越小。“黑客将加密劫持视为勒索软件的一种更便宜,更赚钱的选择,”SecBI的首席技术官兼联合创始人AlexVaystikh说。他解释说,借助勒索软件,黑客可能会每台受感染的计算机让3个人付费。借助加密劫持,所有这台被感染的机器都可以帮助黑客挖掘加密货币。他说:“[黑客]的收入可能与这三种勒索软件付款相同,但加密采矿不断产生收益。”
与勒索软件相比,被捕获和识别的风险也要低得多。加密密码会秘密运行,并且很长一段时间都不会被发现。一旦被发现,就很难追溯到源头,而且受害者也没有这样做的动力,因为没有任何东西被盗或加密。相对于更流行的比特币,黑客更倾向于使用Monero和Zcash这样的匿名加密货币,因为更难将非法活动追踪回去。
加密劫持的工作原理
黑客有两种主要方法来使受害者的计算机秘密地开采加密货币。一种是诱骗受害者将加密货币的代码加载到他们的计算机上。这是通过类似网络钓鱼的策略来完成的:受害者收到一封看上去合法的电子邮件,鼓励他们单击链接。该链接运行将密码挖掘脚本放置在计算机上的代码。然后,脚本在受害者工作时在后台运行。
另一种方法是在网站上投放脚本或将广告投放到多个网站上。一旦受害者访问该网站或受感染的广告在其浏览器中弹出,该脚本就会自动执行。受害者的计算机上没有存储任何代码。无论使用哪种方法,代码都会在受害者的计算机上运行复杂的数学问题,并将结果发送到由黑客控制的服务器上。
黑客通常会同时使用两种方法来最大化其回报。Vaystikh说:“攻击利用旧的恶意软件欺骗手段向受害者的计算机提供更可靠,更持久的软件(作为受害者),”Vaystikh说。例如,在种为黑客开采加密货币的设备中,有10%可能从受害者计算机上的代码中产生收入,而90%是通过其Web浏览器来产生收入的。
与大多数其他类型的恶意软件不同,加密劫持脚本不会损坏计算机或受害者的数据。他们确实窃取CPU处理资源。对于个人用户,较慢的计算机性能可能只是一个烦恼。拥有许多采用密码劫持系统的组织可能会招致服务台和IT时间方面的实际成本,这些花费的时间用于跟踪性能问题并更换组件或系统,以期解决问题。
现实世界中的加密劫持示例
密码劫持者是一个聪明的人,他们已经设计了许多方案来让其他人的计算机挖掘加密货币。大多数不是新的。加密采矿的交付方法通常源自用于其他类型的恶意软件(如勒索软件或广告软件)的方法。“你开始看到了很多传统的东西误作者已经在过去所做的,”特拉维斯Farral,在Anomali安全战略总监。“他们没有提供勒索软件或特洛伊木马程序,而是对其进行了重组,以提供加密采矿模块或组件。”
以下是一些实际示例:
钓鱼式PowerGhost窃取Windows凭据
网络威胁联盟(CTA)的“非法加密货币采矿威胁”报告将PowerGhost(最初由Fortinet分析)描述为可以通过多种方式避免检测的隐匿恶意软件。它首先使用鱼叉式网络钓鱼在系统上立足,然后窃取Windows凭据,并利用WindowsManagementInstrumentation和EternalBlue漏洞进行传播。然后,它尝试禁用防病毒软件和竞争对手的加密矿工。
Graboid,使用容器传播的隐秘蠕虫
十月份,PaloAltoNetworks发布了一份报告,描述了具有自我扩展功能的加密劫持僵尸网络。顾名思义,Graboid是第一个已知的加密蠕虫。它通过查找未经身份验证暴露给互联网的DockerEngine部署而得以传播。PaloAltoNetworks估计Graboid已感染了2,多个Docker部署。
当受害者的计算机正在使用时,MinerGate变体中止执行
根据CTA报告,PaloAltoNetworks分析了MinerGate恶意软件家族的变体,并发现了一个有趣的功能。它可以检测鼠标移动并暂停挖掘活动。这样可以避免引爆受害者,否则受害者可能会注意到绩效下降。
BadShell使用Windows进程来完成其肮脏的工作
几个月前,ComodoCybersecurity在客户端系统上发现了使用合法Windows进程来挖掘加密货币的恶意软件。它被称为BadShell:
PowerShell执行命令-PowerShell脚本将恶意软件代码注入到现有的正在运行的进程中。任务计划程序,以确保持久性注册表以保存恶意软件的二进制代码您可以在Comodo的年第二季度全球威胁报告第二版中找到有关BadShell如何工作的更多详细信息。
流氓员工突击队公司系统
在今年早些时候的EmTechDigital会议上,Darktrace讲述了一家欧洲银行的客户的故事,该客户的服务器上出现一些异常的流量模式。夜间流程运行缓慢,银行的诊断工具没有发现任何东西。Darktrace发现这段时间内有新服务器上线,而该银行称这些服务器不存在。数据中心的物理检查发现,流氓职员曾地板下设置了cryptomining系统。
通过GitHub服务加密矿工
3月,AvastSoftware报告说,密码劫持者正在使用GitHub作为托管恶意软件的主机。他们找到合法项目,从中创建派生项目。然后,该恶意软件将隐藏在该分支项目的目录结构中。使用网络钓鱼方案,密码劫持者通过例如警告更新其Flash播放器或建立成人内容游戏网站的承诺来诱使人们下载该恶意软件。
利用rTorrent漏洞
Cryptojackers发现了一个rTorrent错误配置漏洞,该漏洞使某些rTorrent客户端无需进行XML-RPC通信身份验证即可访问。他们在互联网上扫描暴露的客户端,然后在其上部署Monerocryptominer。F5Networks公司报告此漏洞在二月,并建议用户rtorrent的,以确保他们的客户不接受外界的连接。
Facexworm:恶意Chrome扩展程序
该恶意软件由卡巴斯基实验室于年首次发现,是一种GoogleChrome扩展程序,使用FacebookMessenger感染用户的计算机。最初,Facexworm提供了广告软件。今年早些时候,趋势科技发现了多种针对加密货币交易所的Facexworm,并具有交付加密货币代码的能力。它仍然使用受感染的Facebook帐户来传递恶意链接,但是还可以窃取Web帐户和凭据,从而可以将加密劫持代码注入这些网页。
WinstarNssmMiner:焦土政策
5月,TotalSecurity确定了一个加密货币矿工,该矿工迅速传播并证明对加密劫持者有效。名曰WinstarNssmMiner,该恶意软件还具有为任何人谁试图删除一个讨厌的惊喜:它崩溃受害者的电脑。WinstarNssmMiner首先启动一个svchost.exe进程,并注入代码到它,并设置衍生进程的属性CriticalProcess做到这一点。由于计算机视为一个关键的工艺,它崩溃过程一旦被除去。
CoinMiner寻找并摧毁竞争对手
Cryptojacking已经成为流行,以至于黑客正在设计自己的恶意软件找到并杀死已经运行在他们感染系统cryptominers。CoinMiner就是一个例子。
根据Comodo的说法,CoinMiner检查Windows系统上是否存在AMDDriver64进程。内CoinMiner恶意软件是两个列表,恶意软件和malwares2,其中含有的已知其他cryptominers的部分过程的名称。然后杀死这些进程。
受损的MikroTik路由器传播加密矿工
报告的坏数据包,去年,它一直在监测,有针对性的MikroTik路由器,提供证据的设备,成千上万的被泄露超过80cryptojacking活动在九月。这些活动利用了MikroTik提供了一个修补程序的已知漏洞(CVE--)。但是,并非所有所有者都已应用它。由于MikroTik生产电信级路由器,因此加密劫持者可以广泛访问可能被感染的系统。
如何防止加密劫持
请按照以下步骤操作,以最大程度地降低您的组织被加密劫持的风险:
将加密劫持威胁纳入您的安全意识培训中,重点在于网络钓鱼类型尝试将脚本加载到用户计算机上。“技术解决方案可能会失败时,培训将为您提供保护。”Laliberte说。他认为网络钓鱼将继续成为传播各种类型恶意软件的主要方法。
员工培训不会帮助访问合法网站自动执行加密劫持。Vaystikh说:“培训对于加密劫持的效果较差,因为您无法告诉用户不要访问哪些网站。”
在网络浏览器上安装广告拦截或反加密扩展程序。由于密码劫持脚本通常是通过网络广告投放的,因此安装广告拦截器可能是阻止它们的有效方法。某些广告拦截器(如AdBlockerPlus)具有检测加密脚本的功能。Laliberte建议使用NoCoin和MinerBlock之类的扩展,这些扩展旨在检测和阻止加密矿脚本。
使用能够检测已知加密矿工的端点保护。许多端点保护/防病毒软件供应商已在其产品中添加了加密矿工检测功能。Farral说:“防病毒软件是端点上尝试防止加密攻击的好东西之一。如果已知,很可能会被检测到。”他补充说,请注意,加密未成年人正在不断改变他们的技术,以避免在端点被检测到。
使您的Web过滤工具保持最新状态。如果您识别出正在传递加密劫持脚本的网页,请确保阻止您的用户再次访问该网页。
维护浏览器扩展。一些攻击者使用恶意浏览器扩展程序或使合法扩展程序中毒来执行加密矿脚本。
使用移动设备管理(MDM)解决方案可以更好地控制用户设备上的内容。自带设备(BYOD)策略对防止非法加密采矿提出了挑战。Laliberte说:“MDM可以使BYOD更加安全。MDM解决方案可以帮助管理用户设备上的应用程序和扩展。MDM解决方案倾向于面向大型企业,而小型企业通常买不起它们。但是,Laliberte指出,移动设备的风险不如台式计算机和服务器。由于它们往往具有较少的处理能力,因此它们对于黑客而言并不那么有利可图。
以上最佳实践都不是万无一失的。认识到这一点,以及加密劫机的日益普及,网络风险解决方案提供商Coalition现在提供了服务欺诈保险。根据新闻稿,它将补偿组织因欺诈性使用商业服务(包括加密采矿)而造成的直接损失。
如何检测加密劫持
与勒索软件一样,尽管您尽了最大的努力,但加密劫持仍会影响您的组织。检测到它可能很困难,尤其是如果只有少数系统受到威胁时。不要依靠您现有的端点保护工具来停止加密劫持。Laliberte说:“加密代码可以隐藏在基于签名的检测工具中。”“台式机防病毒工具看不到它们。”这将起作用:
训练您的服务台以寻找加密货币的迹象。SecBI的Vaystikh说,有时第一个迹象是服务台抱怨计算机性能下降的高峰。那应该发出警告,以进行进一步调查。
Laliberte说,服务台应寻找的其他信号可能是系统过热,这可能导致CPU或冷却风扇故障。他说:“(过度使用CPU)造成的热量会造成损害,并会缩短设备的生命周期。”对于平板电脑和智能手机等轻薄移动设备尤其如此。
部署网络监控解决方案。Vaystikh认为,在企业网络中比在家中更容易检测到密码劫持,因为大多数消费者端点解决方案都无法检测到。Cryptojacking很容易通过网络监控解决方案来检测,大多数企业组织有网络监控工具。
但是,很少有具有网络驱动工具和数据的组织具有分析该信息以进行准确检测的工具和功能。例如,SecBI开发了一种人工智能解决方案,以分析网络数据并检测密码劫持和其他特定威胁。
Laliberte同意,网络监视是检测加密矿活动的最佳选择。他说:“审查所有Web流量的网络周边监视有更好的机会发现加密矿工。”许多监视解决方案将活动细分为单个用户,以便您确定受影响的设备。
Farral说:“如果您正在监视出站连接启动的服务器上具有良好的出口过滤功能,则可以很好地检测到[加密恶意软件]。”但他警告说,加密矿工的作者能够编写其恶意软件来避免这种检测方法。
监视您自己的网站以获取加密货币开采代码。Farral警告说,加密千斤顶正在寻找方法将Javascript代码放置在Web服务器上。他说:“服务器本身不是目标,但任何访问该网站的人本身都[有感染风险]。”他建议定期监视Web服务器上的文件更改或页面本身的更改。
与加密千斤顶趋势保持同步。交付方法和加密货币开采代码本身也在不断发展。Farral说,了解软件和行为可以帮助您检测加密漏洞。“一个精明的组织将及时了解所发生的事情。如果您了解这些类型的事物的传递机制,您就会知道这个特定的漏洞利用工具包正在提供加密货币。针对漏洞利用工具包的保护将是防止受到加密货币感染的保护。恶意软件,”他说。
如何应对加密劫持攻击
杀死并阻止网站提供的脚本。对于浏览器内JavaScript攻击,一旦检测到加密,解决方案就很简单:杀死运行脚本的浏览器选项卡。IT人员应记下脚本来源的网站URL,并更新公司的Web过滤器以阻止该脚本。考虑部署反加密工具以帮助防止将来的攻击。
更新和清除浏览器扩展。“如果扩展程序感染了浏览器,关闭选项卡将无济于事,”Laliberte说。“更新所有扩展,并删除不需要的或已感染的扩展。”
学习和适应。利用这些经验可以更好地了解攻击者如何破坏您的系统。更新您的用户,服务台和IT培训,以便他们能够更好地识别密码劫持尝试并做出相应响应。
转载请注明:http://www.0431gb208.com/sjszlff/1566.html