it英才网,It人才人才( 八 )


无论使用哪种方法,挖矿代码都会利用受害者的计算机挖矿,并将结果发送到黑客控制的服务器 。
黑客通常会使用这两种方法来获取最大化的回报 。Vaystikh表示:“攻击者会使用恶意软件技术作为备用,向受害者的计算机发送更可靠和持久的恶意软件 。”例如,在100台为黑客挖掘加密货币的设备中,其中10%可能通过受害者设备上的代码产生收入,90%则通过他们的网络浏览器实现 。
与大多数其他类型的恶意软件不同,挖矿劫持脚本不会损害计算机或者受害者的数据 。它们窃取的是CPU处理资源 。对于个人用户来说,计算机性能变慢可能只是一个烦恼 。而对于企业来说,如果很多系统被劫持挖矿,可能会增加成本 。为了解决问题,服务台和IT部门需要花费时间追踪性能问题并更换组件或系统 。
挖矿劫持实际案例
挖矿劫持者很聪明,设计了很多方案来利用他人的电脑挖掘加密货币 。大部分的方案并不新奇,其传播方式通常借鉴其他恶意软件(如勒索软件或广告软件)的方法 。以下是一些真实发生的案例:
流氓员工劫持公司系统
在今年的EmTech数字会议上,Darktrace讲述了一家欧洲银行的故事 。这家银行的服务器出现了异常流量,在夜间运行缓慢,但是银行的诊断工具没有发现任何异常 。Darktrac发现,在那段时间里有新服务器上线,而银行表示并没有这些服务器 。最后,Darktrac对数据中心进行实地检查时发现,一名流氓员工在地板下建了一个加密货币挖矿系统 。
利用GitHub传播挖矿软件
3月份,Avast软件公司报告称,挖矿劫持者正在将GitHub作为恶意挖矿软件的宿主 。他们找到合法的项目,从中创建一个分叉项目;然后将恶意软件隐藏在该分叉项目的目录结构中 。挖矿劫持者通过使用网络钓鱼方案引诱用户下载该恶意软件,例如提醒更新Flash播放器或者伪装成一个成人游戏网站 。
利用rTorrent漏洞
挖矿劫持者发现了一个rTorrent错误配置漏洞,无需进行XML-RPC通信验证即可访问一些rTorrent客户端 。他们扫描互联网寻找未打补丁的客户端,然后在客户端上部署Monero挖矿软件 。F5 Networks在2月份报告了这个漏洞,并建议rTorrent用户确保其客户端不接受外部连接 。
Chrome恶意插件Facexworm
这种恶意软件最早是由卡巴斯基实验室于2017年发现的,它是一款谷歌浏览器插件,使用Facebook Messenger来感染用户的计算机 。最初,Facexworm用于传播广告软件 。今年早些时候,趋势科技发现了多种面向加密货币兑换的Facexworm,并且能够传播加密货币挖矿代码 。它仍然使用被感染的Facebook帐户来传播恶意链接,但也可以窃取网络帐户和凭证,从而允许它将挖矿劫持代码植入到这些网页 。
暴力挖矿病毒WinstarNssmMiner
5月份,360安全卫士发现了可以迅速传播的挖矿劫持程序WinstarNssmMiner 。这个恶意程序的特别之处在于,卸载它会让受害者的计算机崩溃 。WinstarNssmMiner首先启动svchost.exe进程并向其植入代码,然后将该进程的属性设置为CriticalProcess 。由于计算机将其视为关键进程,因此一旦强制结束该进程,计算机就会蓝屏 。
【it英才网,It人才人才】如何预防挖矿劫持?
如果遵循这些步骤,可以最大限度地降低公司被劫持挖矿的风险:
公司安全意识培训应该增加关于挖矿劫持威胁的内容,着重介绍通过网络钓鱼将挖矿脚本加载到用户计算机上的劫持方式 。
Laliberte认为培训会有帮助,网络钓鱼将继续成为攻击者发送各种恶意软件的主要方式 。而针对通过访问合法网站自动执行挖矿劫持的方式,Vaystikh表示,培训效果不佳,因为你没办法告诉用户不能访问哪些网站 。

推荐阅读