加密货币的价格波动极大。2021年5月,比特币的价格在24小时内暴跌了30%。网络攻击者在不断寻求各种方式来获利,其中加密货币挖矿就成为攻击者感染目标机器,用来进行加密货币挖矿以获利的方式。
所以,加密货币的波动是否会影响全球加密货币矿工的数量呢?理论上讲,加密货币的价值越高,攻击者更可能去挖矿。
分析过程
首先,研究过程中遇到的第一个难题是如何追踪业界上百个加密货币,而且每天都会有新的币出现。因此,研究人员将加密货币挖矿的研究进行扩展,发现许多获利数百万美元的大规模加密货币挖矿攻击活动中最常用的数字货币是门罗币。
门罗币为攻击者非法挖矿所钟爱的原因有2个:一是门罗币可以运行在标准而非专业的硬件上,使得其可以安装在几乎所有的用户系统中,二是门罗币提供更好的隐私保护功能。
下图是门罗币自2018年以来的价格追踪图,这也是本研究的开始时间点。
从中可以看出,门罗币的价格在过去几年有非常明显的震荡,但2020年底和2021年初价格震荡的趋势更加明显。
然后,需要找出一种有效的方式来追踪加密货币挖矿活动的数量。经过认真分析和考虑,研究人员决定以来基于网络的检测方式。加密货币挖矿活动是不加密的,因此可以被检测到。这也确保了加密货币矿工地正确安装和工作,因为矿工会生成网络流量,因此网络IPS/IDS可以检测到加密货币挖矿活动。
研究人员发现加密货币挖矿活动是非常多的。即使在最低点,也有上百万起与加密货币挖矿活动相关的事件。
通过对比发现加密货币挖矿活动与加密货币的价值之间有依赖关系。加密货币挖矿活动最多的时间正是门罗币价格到最高点后的几个月。
除了2021年价格大跌外,图中的曲线变化和加密货币的价格曲线基本是一致的。因为恶意攻击者需要一定的时间来准备挖矿攻击活动,因此攻击者不太可能随着加密货币的升值而立刻部署挖矿。但根据实际数据来看,对大多数部署矿工的攻击者来说,获利是其最终的目的。
加密货币挖矿矿工希望在一段时间内不被检测到,并可以尽可能不被检测的情况下在尽可能多的系统中安全。攻击者并不关心系统被清理,因为资源很容易被另外一个受害者所替代。
安全启示
虽然加密货币挖矿机看似没有那么大的威胁,但仍然是系统中未授权的软件。今天安装的是加密货币挖矿机,明天可能就会是勒索软件攻击。因此,加密货币挖矿机被看做是和其他安全威胁相同的紧急程度。
本文翻译自:https://blog.talosintelligence.com/2021/07/cryptomining-analysis.html如若转载,请注明原文地址。