在某些區(qū)塊鏈平臺中，例如比特幣或門羅幣，礦工可以通過執(zhí)行計算量大的操作來賺錢。Cryptojackers或 cryptominers 是感染計算機并使用其計算能力執(zhí)行這些計算并賺錢的惡意軟件。

怎么運行的

區(qū)塊鏈?zhǔn)褂酶鞣N共識算法來確保創(chuàng)建塊的過程是去中心化的。在比特幣、門羅幣和許多其他區(qū)塊鏈中，使用的共識算法是工作量證明 (PoW)。

在 PoW 中，有效塊被定義為其標(biāo)頭散列值小于特定值的塊。由于哈希函數(shù)是不可預(yù)測的，找到有效塊的唯一方法是嘗試各種選項并嘗試獲得正確的選項。就比特幣而言，設(shè)置閾值是為了讓整個網(wǎng)絡(luò)協(xié)同工作，平均每十分鐘找到一個有效區(qū)塊。找到有效區(qū)塊的礦工將獲得獎勵。

加密惡意軟件會感染計算機并使用它來搜索可能的塊。如果惡意軟件碰巧找到一個有效的塊，攻擊者可以提交它并獲得獎勵。

加密惡意軟件示例

加密挖礦惡意軟件越來越受歡迎，因為它為網(wǎng)絡(luò)犯罪分子提供了一種直接從他們對系統(tǒng)的控制中獲利的方法。Check Point 的2022 年網(wǎng)絡(luò)攻擊趨勢年中報告中描述的一些主要加密惡意軟件示例包括：

• XMRig：XMRig是一種開源的加密劫持惡意軟件，通常被并入其他類型的惡意軟件中。它旨在挖掘 Monero 或比特幣加密貨幣。
• Rubyminer：Rubyminer 于 2018 年 1 月被發(fā)現(xiàn)，專注于 Windows 和 Linux 服務(wù)器。Rubyminer 尋找易受攻擊的網(wǎng)絡(luò)服務(wù)器并提供 XMRig 來挖掘 Monero。
• LemonDuck：LemonDuck 惡意軟件出現(xiàn)于 2018 年，它使用各種傳播方法，包括惡意垃圾郵件、漏洞利用以及使用受損憑據(jù)通過 RDP 登錄。除了挖掘加密貨幣外，它還會收集電子郵件憑據(jù)并將其他惡意軟件傳送到受感染的計算機。
• Darkgate：Darkgate 是一種惡意軟件變體，于 2017 年 12 月首次發(fā)現(xiàn)，主要針對 Windows 系統(tǒng)。該惡意軟件結(jié)合了多種功能，包括加密挖礦、勒索軟件、憑證竊取和遠程訪問木馬 (RAT) 功能。
• WannaMine：WannaMine 開采 Monero 加密貨幣。這個加密挖礦程序是一種蠕蟲，它使用 EternalBlue 進行傳播，并使用 Windows Management Instrumentation (WMI) 永久事件訂閱來實現(xiàn)在系統(tǒng)上的持久性。

如何檢測加密挖礦惡意軟件

加密挖礦惡意軟件旨在消耗大量處理能力，因為它會嘗試區(qū)塊頭的潛在候選者。因此，受感染的計算機可能會顯示以下兩種跡象之一：

• 增加資源消耗。
• 計算機和服務(wù)器運行緩慢

如何防止加密惡意軟件攻擊

加密挖礦惡意軟件之所以有利可圖，是因為它讓攻擊者能夠獲得大量的處理能力來挖掘加密貨幣。然而，這是以為在其系統(tǒng)上發(fā)生的挖礦活動買單的公司為代價的。企業(yè)可以采取一些措施來防止其系統(tǒng)被用于加密貨幣挖礦，包括：

• 補丁應(yīng)用程序和系統(tǒng)：通過利用組織系統(tǒng)中的漏洞提供了幾種加密惡意軟件變體。及時應(yīng)用補丁來關(guān)閉這些安全漏洞可以降低感染的可能性。
• 使用 IPS 進行虛擬修補：對大多數(shù)組織而言，修補每個漏洞是不可行的。入侵防御系統(tǒng)(IPS) 可以通過阻止針對易受攻擊系統(tǒng)的企圖攻擊來幫助擴展補丁程序。
• 實施 MFA：在 RDP 或其他遠程訪問平臺上使用受損憑據(jù)是另一種常見的惡意軟件傳播媒介。實施強身份驗證和部署多因素身份驗證 (MFA)可以使攻擊者更難使用這些受損憑據(jù)。
• 部署零日保護：挖礦惡意軟件是一項有利可圖的業(yè)務(wù)，網(wǎng)絡(luò)犯罪分子會投入大量資源來逃避檢測。零日惡意軟件檢測功能對于防止加密惡意軟件訪問組織的系統(tǒng)并竊取其資源至關(guān)重要。
• 保護云：基于云的系統(tǒng)是加密礦工的共同目標(biāo)，因為它們具有靈活、可擴展的處理能力并且對 IT 團隊的可見性有限。公司必須特別注意鎖定這些系統(tǒng)，以保護它們免受加密礦工的侵害。