网络安全有时候就像一场不加管制的大乱斗,但全新攻击类型突然出现的事还是没那么常见。不过,过去15个月里,加密货币劫持就是那么一种突然出现的全新攻击。如今,这种攻击四处狼烟,持续不散。
加密货币劫持的概念十分简单:攻击者利用别人计算机的处理能力为自己挖掘加密货币。恶意挖矿软件早已默默存在了一段时间,但直到2017年9月CoinHive团队创建了一款几乎可以嵌入任何网站的挖矿模块,攻击者才意识到挖矿恶意软件的真正潜力。
只要装上了这个模块,访问该页面的浏览者打开页面的时间有多长,就为该模块拥有者贡献了多久的CPU周期。CoinHive曾说该工具本来只是想给网站增加点收益流,但罪犯很快发觉自己可以利用流行网站的漏洞悄悄植入他们自己的加密货币劫持模块。
2017年末和2018年初,加密货币价值飙升至史上巅峰,加密货币劫持的流行度也随之暴涨。而且,自此以后,加密货币劫持以各种有趣而令人警醒的方式不断发展成熟。恶意挖矿机开始出现在移动设备、云基础设施、物联网设备,甚至关键基础设施中。虽然贡献一点点算力有时候多花不了受害者多少钱,但更为激进的挖矿机有可能干扰受影响设备进程,中断工作流,甚至将受害者设备消耗到造成物理损害的地步。
安全公司Webroot高级威胁研究员 Tyler Moffitt 称:
我们做2018年年中威胁报告的时候发现,加密货币劫持占了所有Web威胁的35%,这个数字简直令人不敢相信。这种威胁很新,2017年9月底才浮出水面。即便当年底下降到了25%,也是需要重点关注的威胁形式。 |
加密货币劫持攻击随加密货币价值的高低而起伏。但尽管最初的加密货币劫持淘金潮有所消退,因为执行此类攻击的开销超级小,黑客仍可从中获益。仅仅是在目标网站或系统中建立其恶意挖矿基础设施,对黑客来说也是只赚不赔的,毕竟可以在加密货币价值上涨的时候马上展开行动。
而且,只要在云服务器之类的强大资源上挖掘,总有钱可赚。网络防御公司Malwarebytes首席恶意软件情报分析师 Jérôme Segura 表示:随着加密货币价格的降低,此类攻击消退了一点儿,但这并不意味着加密货币劫持本身消失了。不仅没有消失,还更加成熟了。其中危险在于,如果采用计算机执行特定任务和调度任务的关键基础设施被植入了加密货币挖矿机,其稳定性就会受到影响,有可能造成崩溃,损害到服务的交付。
2018年初,关键基础设施安全公司Radiflow称在欧洲水厂用于监视和工业控制的运营技术网络中发现挖矿恶意软件。恶意挖矿者还盯上了云基础设施广泛的原始处理能力,威胁关键服务的正常运行时间。比如说,今年2月时云监视与防御公司RedLock就称,特斯拉的AWS云基础设施就遭遇了不太显眼但牵涉很广的加密货币劫持。
浏览器和恶意软件扫描器一直在改进其对加密货币劫持的防御,但该技术已经进化到能扛住这些防御措施了。与其他类型的攻击一样,只要足够多的防御系统开始捕获挖矿代码,黑客最终会开始混淆这些代码。不安全且往往缺乏监视的物联网设备也是加密货币劫持借以增殖的平台。加密货币劫持可在各类物联网设备上执行,甚至Xbox和PlayStation上的挖矿机都有概念验证程序了。
今年8月,安全公司TrustWave披露了涉拉脱维亚制造商MikroTik路由器的一起大规模加密货币劫持。该攻击先利用设备漏洞感染了巴西的7.2万台路由器,然后扩散到20多万台带漏洞的路由器上。MikroTik在4月就已修复该漏洞,但很多设备都存在物联网安全的一个常见问题——不接收更新。
Malwarebytes的Segura称:
将加密货币劫持脚本注入路由器是个绝妙的主意,通过该路由器接入互联网的所有设备都会被征用来进行加密货币挖矿。受害者在该WiFi中每台设备上访问的任意网站都被劫持了,因为这一切发生在路由器层级上。这种扩展性对攻击者来说相当有用。如果他们黑了学校或图书馆的路由器,他们就掌握了该路由器背后的数百台机器。 |
尽管加密货币劫持方法越来越复杂,攻击者只要有机会还是会走回老路,去劫持流行网站。就在上个月,美国为重症病童服务的许愿基金会网站就被加密货币劫持者通过其内容管理系统给黑了,往该Web框架中注入了加密货币劫持脚本。而且加密货币劫持者还学会了往很多经典Web攻击中附加加密货币劫持——在网络钓鱼网站上添加恶意挖矿机或将挖矿机捆绑进其他恶意软件下载中。
加密货币劫持中最关键的一点是,相比其他类型的攻击,它太容易开展了。攻击者几乎不用付出什么成本,总是稳赚不赔。
所以,无论是想赚快钱还是谋求长期利益,加密货币劫持都是攻击者的上上之选。潜力如此巨大,短期内消亡是不可能的了。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】