網絡黑客是典型的機會主義者。 隨著設備製造商繼續向智能手機、平板電腦和企業級雲服務器添加更多CPU內核與RAM容量,這些設備將繼續成為殭屍網絡更有用的目標。 而且,在網絡不安全的情況下,黑客將努力尋找設備漏洞或者利用移動應用及設備。
通過輕而易舉地利用漏洞實現贏利,勒索軟件攻占了暗網。 而作為其副作用,加密貨幣市場因受到熱烈的追捧而變得異常火爆。 加密貨幣挖礦,即一種確認比特幣交易並生成新數字貨幣單位的過程,目前看是合法行為。 開發者尋求通過各種途徑在競爭激烈的移動應用市場內大賺一筆,而通過這些應用挖掘比特幣已成為一項非常誘人的冒險。 但是,如果用戶並不知道自己的設備正用於挖掘數字貨幣時,這種貨幣化方法已陷入法律與道德的兩難境地。
近期,針對蘋果公司有意降低老版iPhone手機運行速度的訴訟將為加密貨幣挖礦案件樹立一個法律先例。 如果用戶能夠成功起訴蘋果公司私下降低手機速度,則在用戶不知情的情況下安裝挖礦功能——由此影響應用性能與電池壽命的開發者們也將承擔法律責任。
這已不僅僅是一種實際存在的威脅,它還會變得像勒索軟件那樣肆意橫行。 例如,據可靠指標顯示,黑客在發起最初感染攻擊後會利用較老的漏洞挖掘加密貨幣,從受害者處生成比特幣,但並不進行勒索。 當這個池子變得越來越小之時,礦工將轉以用其他方式獲取價值,例如將惡意軟件用作DDoS攻擊武器。
雖然此類受感染的移動應用與網頁瀏覽器的惡意性有待討論,但我們可以肯定地說,我們正在目睹一種新型惡意軟件的誕生,且或許會像勒索軟件或廣告軟件那樣影響廣泛。 若不制定穩健的安全與監測策略,以及為了保護應用與電腦的網絡可視性,您將很有可能成為下一個加密貨幣挖礦的受害者。
移動時代的挖礦惡意軟件
移動時代催生了一種充分利用加密貨幣挖礦惡意軟件的攻擊機會。 當信息在挖礦過程中被傳遞時,加密貨幣挖礦佔用了同樣的CPU資源,以挖掘數字貨幣,而這將消耗電力、計算處理能力與數據,而這些都會產生花費。
相關研究發現互聯網內現在充斥著大量惡意的安卓應用,某些加密貨幣礦工總是設法繞過過濾器進入谷歌Play Store。 實際上,近期的移動惡意軟件統計分析將研究人員引向了某位俄羅斯開發者所擁有的大量加密貨幣錢包及礦池帳戶,但該開發者聲稱這種賺錢方式完全合法。
作為業內人士,我們並不認同加密貨幣礦工非法侵占了用戶的設備。 雖然如果加密貨幣挖礦事先已被公開,那麼這種做法在技術上來說是合法的 ,但此類活動均存在有意誤導且往往缺乏透明性的問題。
我們注意到,加密貨幣礦工被納入了安卓商店內的合法應用之中,在人們未使用其設備期間,這些礦工被用來從人們的手機中攫取價值。 在近幾個月內,出現了幾起黑客們在可見的網頁瀏覽器窗口關閉之後即開始挖掘加密貨幣的事件。
黑客們用來部署加密貨幣礦工的其他方法包括使用Telnet/SSH暴力破解工具以試圖安裝礦工,以及SQL注入和直接安裝礦工。 瀏覽器與移動應用內的加密貨幣挖礦仍將持續下去,因此相關企業應改進安全性能,為其監測工具帶來應用級可視性與場景信息。
設備越多,挖礦越多
由於每週都有新的安全威脅浮出水面,近期很有可能更多的設備將感染加密貨幣挖礦惡意軟件。 日益出現的物聯網設備將成為加密貨幣礦工的新目標。 隨著這些礦工試圖在同一台電腦上獲利兩次,我們還將看到混合攻擊,勒索軟件將率先發難,加密貨幣礦工則緊隨其後。
大部分此類加密貨幣挖礦攻擊均發生在網絡邊緣。 其中一個試圖安裝加密貨幣礦工的更常見攻擊是去年夏季出現的EternalBlue漏洞,它處於WannaCry與Not-Petya等勒索軟件爆發的風口浪尖。 而最糟糕的是,儘管黑客們並未使用新工具或新方法部署這些加密貨幣礦工,但他們依然屢屢得逞。 因此,各企業必須制定快速響應的補丁管理策略,確保其IPS規則處於最新狀態,實施相關測試以確保其可以探測到無法立即修補的漏洞,最後應針對點對點挖礦流量而監測網絡流量。
如果各企業機構無法實時洞察自身網絡現狀,就會無從得知其網絡端點是否正在未經許可的情況下遭遇挖礦、因入侵而導致數據洩漏、或者惡意軟件正在其內部網絡中擴散。 也許並沒有發生任何惡意活動,各企業也希望及時探知。 網絡監測解決方案能夠通過顯示網絡流量模式變動情況,儘早發出攻擊警報。
文:Ixia應用與威脅情報研究高級總監Steve McGregory