根据网络安全和防病*提供商卡巴斯基实验室公布的年安全公告,年11月至年10月,超过万名用户受到了挖矿病*攻击,在所有攻击中占比为2.49%,在高风险程序中占比13.82%。
挖矿病*只会潜伏在用户的电脑中,定时启动挖矿程序进行计算,大量消耗用户电脑资源,导致用户电脑性能变低,运行速度变慢,使用寿命变短等等。
由于这种病*的非破坏性和隐蔽性,即使电脑中*也不会像勒索病*一样即时感知到,导致用户对病*的防御重视程度不够,感染愈演愈烈。
为什么会有挖矿病*?
年以前,一个人弄台电脑就可以开始挖矿。现如今,随着越来越多的人加入挖矿大*,出块的难度越来越大,矿工需要用更强大的设备才能成功解题。
为了提高算力,就需要投入专业配置的矿机,这样就大大的增加了成本,于是就有一些不法分子利用挖矿病*非法植入其他用户的计算机,把这些设备“免费”征用为自己的矿机。
简言之,挖矿病*就是通过垃圾软件、垃圾邮件进行传播,让系统的计算机进行挖矿,从而获得虚拟货币的过程。比起以往的网络黑产,挖矿病*通过控制别人的设备进行挖矿,成本几乎为零,获利非常直接、非常暴利。这也是挖矿病*越来越猖狂的重要原因。
早期的挖矿病*,并没有对系统资源消耗做限制,当病*运行时,计算机的资源消耗就会增加,CPU占用明显增加,电脑变热,运行速度变慢,重启也不能解决问题。这些明显的症状使得早期的病*更容易被用户发现、清除。
不断进化后,挖矿病*为了避免被用户发现,对挖矿行为做了调整。当检测到用户电脑上CPU占用较高时,会自动暂停挖矿;当用户电脑闲置时,则全力挖矿。这样一来,病*就能在用户电脑上存活更长的时间。
换句话说,即便你的电脑已经中*了,也很难发现任何异常。这种情况下,往往只能靠杀*软件排查、报警、清除。
高发挖矿病*家族
随着更多机构、投资者对加密货币和区块链产生兴趣,矿机供不应求,价格也随之走高,挖矿病*再度活跃起来。从挖矿病*家族来看,国内高发的挖矿病*家族主要有以下几种:
1、浏览器挖矿家族
此类型挖矿病*,主要利用开源浏览器端挖矿引擎或区块链工具,并通过感染已有网站、植入恶意代码、或者建立钓鱼网站来诱导受害者访问网站的方式,来获取不法收益。
2、钱包小偷家族
这一类型的挖矿病*将黑手瞄准了受害者的加密货币钱包,黑客通过植入木马程序的形式监控受害者的电脑,每半秒就会扫描一次剪贴板,查找类似于加密货币钱包地址的任何内容,并将其替换为攻击者的钱包地址。
受害者往往很难注意钱包地址是否被掉包,一旦受害者粘贴被掉包的钱包完成转账操作,正在交易的加密货币也就不翼而飞。
3、专用恶意家族
专用的挖矿恶意软件已经成为多平台的威胁,它们往往被部署在可以产生最高回报率的位置。这些恶意软件主要通过网络钓鱼攻击、包含恶意代码的恶意程序或利用漏洞侵入受害者电脑,一旦感染成功,就会在内网环境中横向入侵感染更多机器。
4、驱动人生
最初的“驱动人生”挖矿病*是利用驱动人生升级通道和永恒之蓝漏洞攻击,SMB弱口令传播。现如今,该病*升级了招数,通过在Powershell中嵌入PE文件加载的形式,达到执行“无文件”挖矿的目的。这种注入“白进程”的方式完美地避开了所有检测,达到恶意挖矿的目的。
5、WannaMine
WannaMine挖矿病*的传播机制与WannaCry勒索病*一致,利用“永恒之蓝”漏洞进行传播,在局域网内通过SMB快速横向扩散。该病*模块多,感染面广,具备免杀功能,查杀难度高。
6、KingMiner
不法分子针对特定端口,利用大量的“弱口令密码表”尝试爆破,继而控制电脑进行挖矿。攻击者一旦成功,可随意植入木马,控制服务器。KingMiner就是一种典型的针对Windows服务器的MsSQL进行爆破攻击的门罗币挖矿木马。
此外,在疫情新形势下,老病*频繁更新,还出现了多个新型挖矿病*。其中,有隐藏在Linux设备的计划任务中,通过定时任务的方式下载并执行挖矿程序和“海啸”后门程序,发动DDoS攻击;还有WMI无文件挖矿实现双平台感染;以及利用“新冠病*”邮件传播的LemonDuck无文件挖矿病*。
难察觉,对企业危害更大
挖矿病*对于个人来说,会出现计算机运行缓慢、耗电量大增、死机、电脑寿命降低等后果;而对于企业来说,由于挖矿病*有一定的隐蔽性,往往发现时病*程序已经运行数日,可能造成大规模机器的感染,清除起来代价不小,给企业造成极大的损失。
例如,黑客可以通过挖矿程序窃取机密信息,比如机密文件、关键资产的用户名和密码等,导致企事业单位遭受更进一步的资产损失;黑客控制主机作为“肉鸡”攻击互联网上的其他单位,违反网络安全法,使企业受到网信办、网安等监管单位的通报处罚;黑客利用已经控制的机器,作为继续对内网渗透的跳板,产生更严重的网络安全攻击事件。
近些年,随着企业上云进程的不断推进,无处不在的挖矿病*将攻击目标锁定在企业云与数据中心。企业云及数据中心拥有庞大数量的工业级硬件,一旦被挖矿病*成功侵入,就会快速组建数量庞大的挖矿网络,利用更多的高性能挖矿主机,牟取更大的暴利。
此外,挖矿病*还往往通过盗取API密钥、未授权访问、漏洞组合攻击、暴力破解、Docker镜像染*等方式进行云上攻击;而除了觊觎云和IoT中的海量算力,攻击者还会更多的利用新暴露漏洞进行攻击,并倾向通过“无文件”攻击方式来突破安全防护系统的检测,以及暴力破解的方式进行传播。
根据亚信安全年第二季度网络安全威胁报告显示,从挖矿病*分布行业看,黑客更倾向于制造业、*府、保险、医疗和金融等网络安全相对薄弱的企事业单位。
挖矿病*的处理和防范
对于个人来说,同时采取以下几项措施将有效预防挖矿病*的入侵:
不要下载来历不明的软件,谨慎使用破解工具、游戏辅助工具;及时安装系统补丁,特别是微软发布的高危漏洞补丁;电脑、手机等设备使用安全的密码策略,使用高强度密码,切勿使用弱口令,防止黑客暴力破解;定期备份。如果设备意外感染了挖矿病*,可以通过将系统回滚到最新的“健康”版本来消除它。对于企业来说,要从系统的事前、事中、事后各个维度做出防御和应急。
1、事前检查
管理好密钥企业要加强API密钥的管理,防止密码泄露,同时防范弱口令爆破。注意密码规范性,采用多因子密码验证方案。加强运维管理除了加强员工的安全意识和知识的培训,对于软件项目中引入的开源库和包要做好管理和防范。特别加强机器的监控,时刻