一片乌云接近了企业安全,对于寻求安全可靠的非法盈利方式的黑客来说,挖矿木马已成为不二之选。
近日,多家厂商报告了挖矿木马的激增,挖矿木马已导致全球数以百万计的电脑被劫持。Digital Shadows在最新的警告里提醒说,由于全球范围内数字货币热度渐增,专业网络罪犯正成群结队地从低利润领域转向非法挖矿的大潮。
这些异动已经开始威胁到企业和其顾客的安全环境。安全厂商CrowdStrike最近声明,该公司发现了多起企业被劫持挖矿的事件。CrowdStrike的服务主管Bryan York说,部分案例里潜入业务系统的挖矿木马会导致应用程序和硬件崩溃,造成数日乃至数周的业务中断。
挖矿是一个相当复杂的过程,需要将计算资源投入区块链的验证。挖矿是一项CPU密集型的资源争抢工作,并且某些数字货币(如比特币)的开采需要专用硬件。而其他几种数字货币,如Monero、Zcash Ethereum则可以用多台矿机的计算资源共同开采。
人们安装挖矿工具、使用计算资源,是为了赚取数字货币。挖矿本身是合法的,出于赚外快的心思,很多人允许自己的设备用于挖矿。
然而近几个月来,网络罪犯们逐渐兴起植入挖矿木马,用受害者的计算资源来赚取数字货币。这种犯罪取代了以往的窃取数据或勒索,网络罪犯只是窃取系统资源并赚取非法数字货币。
思科Talos威胁小组在上周的一份报告中表示:“这些攻击方式比过去更隐秘,攻击者只偷取计算能力,而且挖矿软件在技术上来说也不是恶意软件。
安装挖矿软件时,一些罪犯甚至限制CPU使用率、运作的核心处理器数量,以确保用户不会注意到明显的挖矿软件对性能的影响。Talos的报告中显示,理论上,受害者可能无限期身在僵尸网络里而不自知。
数字货币窃取
非法挖矿只是数字货币犯罪的一种形式,网络罪犯们也试图直接从存储数字货币的钱包中盗走价值百万计的钱财,数字货币交易、兑换平台也在攻击名单上。
Digital Shadows的调查分析师Michael Marriott举了一个近期的例子,罪犯们对初始数字货币发行方Experty下手,使用钓鱼邮件来诱使潜在买家向攻击者的钱包付款。
在上周的另一起事件中,小偷从日本Coincheck数字货币交换平台上卷走了五亿美元。
然而,非法采矿(尤其是门罗币)已迅速成为从数字货币热潮中获利的最可靠和安全的方式之一。以门罗币为例,Talos团队估计,劫持2000台电脑的攻击者每天可以获利500美元,年收益18.25万美元。根据Talos的数据,对于包含数以百万计的被感染系统的僵尸网络操纵者来说,每年的挖矿收益可以超过1亿美元。
而跟风的难度,几乎任何人都可以非法采矿。根据Digital Shadows的报告,罪犯可以租用非法挖矿的僵尸网络,每月仅需30美元到130美元,而分配矿机的软件只有29美元。
Digital Shadows的Marriott说:“我们发现,很多攻击都转向这种盈利方式。例如,名为VenusLocker的勒索软件变种已将商业模式由加密受害者的电脑文件转向挖比特币。同样的,RIG攻击工具包也已加入门罗币挖矿功能。”
与DDoS攻击有关的僵尸网络Satori,最近也开始转向非法采矿,Smominru僵尸网络则感染了超过50万台系统,并已经获取了价值300万美元的门罗币。
他指出,攻击者也开始在GitHub等网站上搜寻AWS等云服务商的密钥,以使用云计算资源进行挖矿。
如果攻击者可以访问一个组织的云服务来挖矿,他们实际上能执行其他恶意行为,如窃取数据或安装恶意软件。
“永恒之蓝”用于挖矿
CrowdStrike的York已经观察到了挖矿木马入侵教育、娱乐、金融、医疗、保险和技术行业。攻击中使用的部分工具会对企业构成特定威胁。举例来说,WannaMine挖矿蠕虫使用复杂的扩散和驻留方式。
他指出:“WannaMine在公司网络的扩散比客户网络更有效。”
WannaMine使用Mimikatz密钥提取器来获取密钥并将密钥在企业里横向移用。“如果操作失败,WannaMine试图利用2017年初WannaCry使用的永恒之蓝漏洞来远程控制系统。这种方法通常对企业网络更有效。”
思科Talos的威胁研究员Nick Biasini说,企业还没有开始对基础设施进行必要的审查,以确定其是否被挖矿者利用。“这是一个新的威胁巨浪,攻击会通过几乎所有的方式来入侵系统。”
具体例子包括钓鱼网站、流氓浏览器扩展软件。
性能下降是是非法挖矿的活动迹象之一。被感染的系统也会定期接触它所从属的感染网络,所以监视网络活动至关重要。
但是,需要注意的是,攻击者可以限制资源使用量或是只在空闲时间启动,这让挖矿木马更难以检测。
York警告说:“我们发现了对企业进行非法挖矿、劫持犯罪的趋势正在抬头。虽然非法挖矿通常被视为小麻烦,但在最近的几个案例中已经影响了企业业务运作。”