在某些區塊鏈平臺中,例如比特幣或門羅幣,礦工可以通過執行計算量大的操作來賺錢。Cryptojackers或 cryptominers 是感染計算機并使用其計算能力執行這些計算并賺錢的惡意軟件。
怎么運行的
區塊鏈使用各種共識算法來確保創建塊的過程是去中心化的。在比特幣、門羅幣和許多其他區塊鏈中,使用的共識算法是工作量證明 (PoW)。
在 PoW 中,有效塊被定義為其標頭散列值小于特定值的塊。由于哈希函數是不可預測的,找到有效塊的唯一方法是嘗試各種選項并嘗試獲得正確的選項。就比特幣而言,設置閾值是為了讓整個網絡協同工作,平均每十分鐘找到一個有效區塊。找到有效區塊的礦工將獲得獎勵。
加密惡意軟件會感染計算機并使用它來搜索可能的塊。如果惡意軟件碰巧找到一個有效的塊,攻擊者可以提交它并獲得獎勵。
加密惡意軟件示例
加密挖礦惡意軟件越來越受歡迎,因為它為網絡犯罪分子提供了一種直接從他們對系統的控制中獲利的方法。Check Point 的2022 年網絡攻擊趨勢年中報告中描述的一些主要加密惡意軟件示例包括:
- XMRig:XMRig是一種開源的加密劫持惡意軟件,通常被并入其他類型的惡意軟件中。它旨在挖掘 Monero 或比特幣加密貨幣。
- Rubyminer:Rubyminer 于 2018 年 1 月被發現,專注于 Windows 和 Linux 服務器。Rubyminer 尋找易受攻擊的網絡服務器并提供 XMRig 來挖掘 Monero。
- LemonDuck:LemonDuck 惡意軟件出現于 2018 年,它使用各種傳播方法,包括惡意垃圾郵件、漏洞利用以及使用受損憑據通過 RDP 登錄。除了挖掘加密貨幣外,它還會收集電子郵件憑據并將其他惡意軟件傳送到受感染的計算機。
- Darkgate:Darkgate 是一種惡意軟件變體,于 2017 年 12 月首次發現,主要針對 Windows 系統。該惡意軟件結合了多種功能,包括加密挖礦、勒索軟件、憑證竊取和遠程訪問木馬 (RAT) 功能。
- WannaMine:WannaMine 開采 Monero 加密貨幣。這個加密挖礦程序是一種蠕蟲,它使用 EternalBlue 進行傳播,并使用 Windows Management Instrumentation (WMI) 永久事件訂閱來實現在系統上的持久性。
如何檢測加密挖礦惡意軟件
加密挖礦惡意軟件旨在消耗大量處理能力,因為它會嘗試區塊頭的潛在候選者。因此,受感染的計算機可能會顯示以下兩種跡象之一:
- 增加資源消耗。
- 計算機和服務器運行緩慢
如何防止加密惡意軟件攻擊
加密挖礦惡意軟件之所以有利可圖,是因為它讓攻擊者能夠獲得大量的處理能力來挖掘加密貨幣。然而,這是以為在其系統上發生的挖礦活動買單的公司為代價的。企業可以采取一些措施來防止其系統被用于加密貨幣挖礦,包括:
- 補丁應用程序和系統:通過利用組織系統中的漏洞提供了幾種加密惡意軟件變體。及時應用補丁來關閉這些安全漏洞可以降低感染的可能性。
- 使用 IPS 進行虛擬修補:對大多數組織而言,修補每個漏洞是不可行的。入侵防御系統(IPS) 可以通過阻止針對易受攻擊系統的企圖攻擊來幫助擴展補丁程序。
- 實施 MFA:在 RDP 或其他遠程訪問平臺上使用受損憑據是另一種常見的惡意軟件傳播媒介。實施強身份驗證和部署多因素身份驗證 (MFA)可以使攻擊者更難使用這些受損憑據。
- 部署零日保護:挖礦惡意軟件是一項有利可圖的業務,網絡犯罪分子會投入大量資源來逃避檢測。零日惡意軟件檢測功能對于防止加密惡意軟件訪問組織的系統并竊取其資源至關重要。
- 保護云:基于云的系統是加密礦工的共同目標,因為它們具有靈活、可擴展的處理能力并且對 IT 團隊的可見性有限。公司必須特別注意鎖定這些系統,以保護它們免受加密礦工的侵害。
