2018:加密貨幣劫持元年
責編:gltian |2018-12-27 14:22:00網絡安全有時候就像一場不加管制的大亂斗,但全新攻擊類型突然出現的事還是沒那么常見。不過,過去15個月里,加密貨幣劫持就是那么一種突然出現的全新攻擊。如今,這種攻擊四處狼煙,持續不散。
加密貨幣劫持的概念十分簡單:攻擊者利用別人計算機的處理能力為自己挖掘加密貨幣。惡意挖礦軟件早已默默存在了一段時間,但直到2017年9月CoinHive團隊創建了一款幾乎可以嵌入任何網站的挖礦模塊,攻擊者才意識到挖礦惡意軟件的真正潛力。
只要裝上了這個模塊,訪問該頁面的瀏覽者打開頁面的時間有多長,就為該模塊擁有者貢獻了多久的CPU周期。CoinHive曾說該工具本來只是想給網站增加點收益流,但罪犯很快發覺自己可以利用流行網站的漏洞悄悄植入他們自己的加密貨幣劫持模塊。
2017年末和2018年初,加密貨幣價值飆升至史上巔峰,加密貨幣劫持的流行度也隨之暴漲。而且,自此以后,加密貨幣劫持以各種有趣而令人警醒的方式不斷發展成熟。惡意挖礦機開始出現在移動設備、云基礎設施、物聯網設備,甚至關鍵基礎設施中。雖然貢獻一點點算力有時候多花不了受害者多少錢,但更為激進的挖礦機有可能干擾受影響設備進程,中斷工作流,甚至將受害者設備消耗到造成物理損害的地步。
安全公司Webroot高級威脅研究員 Tyler Moffitt 稱:
我們做2018年年中威脅報告的時候發現,加密貨幣劫持占了所有Web威脅的35%,這個數字簡直令人不敢相信。這種威脅很新,2017年9月底才浮出水面。即便當年底下降到了25%,也是需要重點關注的威脅形式。
加密貨幣劫持攻擊隨加密貨幣價值的高低而起伏。但盡管最初的加密貨幣劫持淘金潮有所消退,因為執行此類攻擊的開銷超級小,黑客仍可從中獲益。僅僅是在目標網站或系統中建立其惡意挖礦基礎設施,對黑客來說也是只賺不賠的,畢竟可以在加密貨幣價值上漲的時候馬上展開行動。
而且,只要在云服務器之類的強大資源上挖掘,總有錢可賺。網絡防御公司Malwarebytes首席惡意軟件情報分析師 Jér?me Segura 表示:隨著加密貨幣價格的降低,此類攻擊消退了一點兒,但這并不意味著加密貨幣劫持本身消失了。不僅沒有消失,還更加成熟了。其中危險在于,如果采用計算機執行特定任務和調度任務的關鍵基礎設施被植入了加密貨幣挖礦機,其穩定性就會受到影響,有可能造成崩潰,損害到服務的交付。
2018年初,關鍵基礎設施安全公司Radiflow稱在歐洲水廠用于監視和工業控制的運營技術網絡中發現挖礦惡意軟件。惡意挖礦者還盯上了云基礎設施廣泛的原始處理能力,威脅關鍵服務的正常運行時間。比如說,今年2月時云監視與防御公司RedLock就稱,特斯拉的AWS云基礎設施就遭遇了不太顯眼但牽涉很廣的加密貨幣劫持。
瀏覽器和惡意軟件掃描器一直在改進其對加密貨幣劫持的防御,但該技術已經進化到能扛住這些防御措施了。與其他類型的攻擊一樣,只要足夠多的防御系統開始捕獲挖礦代碼,黑客最終會開始混淆這些代碼。不安全且往往缺乏監視的物聯網設備也是加密貨幣劫持借以增殖的平臺。加密貨幣劫持可在各類物聯網設備上執行,甚至Xbox和PlayStation上的挖礦機都有概念驗證程序了。
今年8月,安全公司TrustWave披露了涉拉脫維亞制造商MikroTik路由器的一起大規模加密貨幣劫持。該攻擊先利用設備漏洞感染了巴西的7.2萬臺路由器,然后擴散到20多萬臺帶漏洞的路由器上。MikroTik在4月就已修復該漏洞,但很多設備都存在物聯網安全的一個常見問題——不接收更新。
Malwarebytes的Segura稱:
將加密貨幣劫持腳本注入路由器是個絕妙的主意,通過該路由器接入互聯網的所有設備都會被征用來進行加密貨幣挖礦。受害者在該WiFi中每臺設備上訪問的任意網站都被劫持了,因為這一切發生在路由器層級上。這種擴展性對攻擊者來說相當有用。如果他們黑了學校或圖書館的路由器,他們就掌握了該路由器背后的數百臺機器。
盡管加密貨幣劫持方法越來越復雜,攻擊者只要有機會還是會走回老路,去劫持流行網站。就在上個月,美國為重癥病童服務的許愿基金會網站就被加密貨幣劫持者通過其內容管理系統給黑了,往該Web框架中注入了加密貨幣劫持腳本。而且加密貨幣劫持者還學會了往很多經典Web攻擊中附加加密貨幣劫持——在網絡釣魚網站上添加惡意挖礦機或將挖礦機捆綁進其他惡意軟件下載中。
加密貨幣劫持中最關鍵的一點是,相比其他類型的攻擊,它太容易開展了。攻擊者幾乎不用付出什么成本,總是穩賺不賠。
所以,無論是想賺快錢還是謀求長期利益,加密貨幣劫持都是攻擊者的上上之選。潛力如此巨大,短期內消亡是不可能的了。