網(wǎng)絡(luò)黑客是典型的機(jī)會主義者。隨著設(shè)備制造商繼續(xù)向智能手機(jī)、平板電腦和企業(yè)級云服務(wù)器添加更多CPU內(nèi)核與RAM容量，這些設(shè)備將繼續(xù)成為僵尸網(wǎng)絡(luò)更有用的目標(biāo)。而且，在網(wǎng)絡(luò)不安全的情況下，黑客將努力尋找設(shè)備漏洞或者利用移動(dòng)應(yīng)用及設(shè)備。

通過輕而易舉地利用漏洞實(shí)現(xiàn)贏利，勒索軟件攻占了暗網(wǎng)。而作為其副作用，加密貨幣市場因受到熱烈的追捧而變得異常火爆。加密貨幣挖礦，即一種確認(rèn)比特幣交易并生成新數(shù)字貨幣單位的過程，目前看是合法行為。開發(fā)者尋求通過各種途徑在競爭激烈的移動(dòng)應(yīng)用市場內(nèi)大賺一筆，而通過這些應(yīng)用挖掘比特幣已成為一項(xiàng)非常誘人的冒險(xiǎn)。但是，如果用戶并不知道自己的設(shè)備正用于挖掘數(shù)字貨幣時(shí)，這種貨幣化方法已陷入法律與道德的兩難境地。

近期，針對蘋果公司有意降低老版iPhone手機(jī)運(yùn)行速度的訴訟將為加密貨幣挖礦案件樹立一個(gè)法律先例。如果用戶能夠成功起訴蘋果公司私下降低手機(jī)速度，則在用戶不知情的情況下安裝挖礦功能——由此影響應(yīng)用性能與電池壽命的開發(fā)者們也將承擔(dān)法律責(zé)任。

這已不僅僅是一種實(shí)際存在的威脅，它還會變得像勒索軟件那樣肆意橫行。例如，據(jù)可靠指標(biāo)顯示，黑客在發(fā)起最初感染攻擊后會利用較老的漏洞挖掘加密貨幣，從受害者處生成比特幣，但并不進(jìn)行勒索。當(dāng)這個(gè)池子變得越來越小之時(shí)，礦工將轉(zhuǎn)以用其他方式獲取價(jià)值，例如將惡意軟件用作DDoS攻擊武器。

雖然此類受感染的移動(dòng)應(yīng)用與網(wǎng)頁瀏覽器的惡意性有待討論，但我們可以肯定地說，我們正在目睹一種新型惡意軟件的誕生，且或許會像勒索軟件或廣告軟件那樣影響廣泛。若不制定穩(wěn)健的安全與監(jiān)測策略，以及為了保護(hù)應(yīng)用與電腦的網(wǎng)絡(luò)可視性，您將很有可能成為下一個(gè)加密貨幣挖礦的受害者。

移動(dòng)時(shí)代的挖礦惡意軟件

移動(dòng)時(shí)代催生了一種充分利用加密貨幣挖礦惡意軟件的攻擊機(jī)會。當(dāng)信息在挖礦過程中被傳遞時(shí)，加密貨幣挖礦占用了同樣的CPU資源，以挖掘數(shù)字貨幣，而這將消耗電力、計(jì)算處理能力與數(shù)據(jù)，而這些都會產(chǎn)生花費(fèi)。

相關(guān)研究發(fā)現(xiàn)互聯(lián)網(wǎng)內(nèi)現(xiàn)在充斥著大量惡意的安卓應(yīng)用，某些加密貨幣礦工總是設(shè)法繞過過濾器進(jìn)入谷歌Play Store。實(shí)際上，近期的移動(dòng)惡意軟件統(tǒng)計(jì)分析將研究人員引向了某位俄羅斯開發(fā)者所擁有的大量加密貨幣錢包及礦池帳戶，但該開發(fā)者聲稱這種賺錢方式完全合法。

作為業(yè)內(nèi)人士，我們并不認(rèn)同加密貨幣礦工非法侵占了用戶的設(shè)備。雖然如果加密貨幣挖礦事先已被公開，那么這種做法在技術(shù)上來說是合法的 ，但此類活動(dòng)均存在有意誤導(dǎo)且往往缺乏透明性的問題。

我們注意到，加密貨幣礦工被納入了安卓商店內(nèi)的合法應(yīng)用之中，在人們未使用其設(shè)備期間，這些礦工被用來從人們的手機(jī)中攫取價(jià)值。在近幾個(gè)月內(nèi)，出現(xiàn)了幾起黑客們在可見的網(wǎng)頁瀏覽器窗口關(guān)閉之后即開始挖掘加密貨幣的事件。

黑客們用來部署加密貨幣礦工的其他方法包括使用Telnet/SSH暴力破解工具以試圖安裝礦工，以及SQL注入和直接安裝礦工。瀏覽器與移動(dòng)應(yīng)用內(nèi)的加密貨幣挖礦仍將持續(xù)下去，因此相關(guān)企業(yè)應(yīng)改進(jìn)安全性能，為其監(jiān)測工具帶來應(yīng)用級可視性與場景信息。

設(shè)備越多，挖礦越多

由于每周都有新的安全威脅浮出水面，近期很有可能更多的設(shè)備將感染加密貨幣挖礦惡意軟件。日益出現(xiàn)的物聯(lián)網(wǎng)設(shè)備將成為加密貨幣礦工的新目標(biāo)。隨著這些礦工試圖在同一臺電腦上獲利兩次，我們還將看到混合攻擊，勒索軟件將率先發(fā)難，加密貨幣礦工則緊隨其后。

大部分此類加密貨幣挖礦攻擊均發(fā)生在網(wǎng)絡(luò)邊緣。其中一個(gè)試圖安裝加密貨幣礦工的更常見攻擊是去年夏季出現(xiàn)的EternalBlue漏洞，它處于WannaCry與Not-Petya等勒索軟件爆發(fā)的風(fēng)口浪尖。而最糟糕的是，盡管黑客們并未使用新工具或新方法部署這些加密貨幣礦工，但他們依然屢屢得逞。因此，各企業(yè)必須制定快速響應(yīng)的補(bǔ)丁管理策略，確保其IPS規(guī)則處于最新狀態(tài)，實(shí)施相關(guān)測試以確保其可以探測到無法立即修補(bǔ)的漏洞，最后應(yīng)針對點(diǎn)對點(diǎn)挖礦流量而監(jiān)測網(wǎng)絡(luò)流量。

如果各企業(yè)機(jī)構(gòu)無法實(shí)時(shí)洞察自身網(wǎng)絡(luò)現(xiàn)狀，就會無從得知其網(wǎng)絡(luò)端點(diǎn)是否正在未經(jīng)許可的情況下遭遇挖礦、因入侵而導(dǎo)致數(shù)據(jù)泄漏、或者惡意軟件正在其內(nèi)部網(wǎng)絡(luò)中擴(kuò)散。也許并沒有發(fā)生任何惡意活動(dòng)，各企業(yè)也希望及時(shí)探知。網(wǎng)絡(luò)監(jiān)測解決方案能夠通過顯示網(wǎng)絡(luò)流量模式變動(dòng)情況，盡早發(fā)出攻擊警報(bào)。

文：Ixia應(yīng)用與威脅情報(bào)研究高級總監(jiān)Steve McGregory