許多正在追逐加密貨幣挖掘熱潮的網(wǎng)絡(luò)犯罪分子，已經(jīng)開始劫持計算機設(shè)備并秘密地利用這些受害者的資源來開采加密貨幣。

[[221050]]

網(wǎng)絡(luò)犯罪分子熱衷的其中一種策略就是在主機系統(tǒng)上為流行的加密貨幣(尤其是門羅幣Monero)安裝“礦工“(miners)，并將其添加到大量的僵尸網(wǎng)絡(luò)中。另一種常見的策略是在網(wǎng)站中嵌入挖礦工具，并秘密使用這些網(wǎng)站訪問者的計算資源來挖掘門羅幣和其他數(shù)字貨幣。根據(jù)Imperva發(fā)布的研究報告顯示，2017年12月，所有遠程代碼執(zhí)行攻擊中有88%將目標(biāo)指向加密貨幣挖掘惡意軟件下載網(wǎng)站。

這一趨勢已經(jīng)嚴重影響了個人和企業(yè)的安全。根據(jù)供應(yīng)商提供的報告指出，由于越來越多的挖礦工具被安裝在服務(wù)器和其他業(yè)務(wù)系統(tǒng)上，已經(jīng)導(dǎo)致眾多企業(yè)遭受了運營中斷的嚴重后果。Check Point在本周發(fā)布的一份報告中預(yù)計，僅受Coinhive采礦工具影響的企業(yè)就已經(jīng)占據(jù)全球企業(yè)的23%。此外，該公司在2018年1月發(fā)布的“十大惡意軟件威脅“名單中就包含3個加密貨幣挖掘工具(CoinHive、Cryptoloot和Rocks)。

接下來將為大家詳細介紹7個最多產(chǎn)且正在困擾全球用戶的加密貨幣挖掘工具和僵尸網(wǎng)絡(luò)：

1. Coinhive

[[221051]]

Coinhive是部署在全球數(shù)千個網(wǎng)站上的加密貨幣挖礦機，其中一些具備網(wǎng)站所有者的許可和授權(quán)，但大多數(shù)時候是在未經(jīng)網(wǎng)站持有者許可的情況下，將JavaScript加密貨幣挖掘腳本嵌入在其網(wǎng)站中。當(dāng)訪客訪問該網(wǎng)站時，會利用訪客的計算機CPU資源來挖掘加密貨幣(如門羅幣Monero)，最終導(dǎo)致網(wǎng)站訪客的計算機性能下降。

Coinhive本身并不是惡意的。事實上，不得不承認其想法是相當(dāng)有創(chuàng)意的。Coinhive.com推出時，其創(chuàng)建者曾向網(wǎng)站所有者們推廣Coinhive并聲稱：僅需耗費訪問用戶的少部分CPU，就可以為網(wǎng)站所有者賺取利潤(提供門羅幣作為回報)，用于支持他們的業(yè)務(wù)，再也不用添加各種煩人的廣告，為用戶提供無廣告體驗。但是目前，多家安全供應(yīng)商已經(jīng)開始阻止Coinhive，因為根據(jù)用戶反饋許多網(wǎng)站所有者開始在不告知用戶的情況下運行挖礦工具。

此外，網(wǎng)絡(luò)犯罪分子也開始在未經(jīng)網(wǎng)站所有者許可的情況下將挖礦工具嵌入成千上萬的網(wǎng)站之中。Check Point預(yù)計，2018年1月，全球多達23%的組織都受到了Coinhive的影響。

然而，事情并沒有如此簡單。2018年2月初，英國網(wǎng)絡(luò)安全公司Sophos公布了一份長達13頁的報告指出，安全專家發(fā)現(xiàn)19款A(yù)ndroid應(yīng)用程序被秘密加載到了Google Play商店中。Synopsys公司高級安全策略師Taylor Armerding表示，其中一款應(yīng)用程序的安裝量已經(jīng)達到10萬到50萬次。

RiskIQ公司產(chǎn)品經(jīng)理Vamsi Gullapalli援引最近的數(shù)據(jù)稱，“通過RiskIQ抓取到的數(shù)據(jù)發(fā)現(xiàn)，在過去一年中，有超過50,000 個網(wǎng)站通過直接嵌入或間接經(jīng)由受損的第三方組件(如Texthelp)注入的方式加載了Coinhive 挖礦工具。“他進一步表示，大多數(shù)的嵌入操作都是在未經(jīng)原始所有者許可的情況下實現(xiàn)的。

2. Smominru

[[221052]]

Smominru是一款門羅幣挖掘僵尸網(wǎng)絡(luò)，該僵尸網(wǎng)絡(luò)由超過520,000臺Windows主機(其中大多數(shù)是服務(wù)器)組成。根據(jù)率先發(fā)現(xiàn)該僵尸網(wǎng)絡(luò)的安全廠商Proofpoint介紹稱，該僵尸網(wǎng)絡(luò)運營者一直在利用NSA泄露的“永恒之藍“(EternalBlue)漏洞來感染全球各地的系統(tǒng)，并使其成為僵尸網(wǎng)絡(luò)的一部分。此外，值得一提的是，此前臭名昭著的勒索軟件“WannaCry”也是利用了美國國家安全局泄露的危險漏洞“永恒之藍“。

截至2018年1月底，該僵尸網(wǎng)絡(luò)已經(jīng)挖到了約8900枚門羅幣，折合當(dāng)時的匯率約合280萬美元。Proofpoint當(dāng)時曾預(yù)測稱，該僵尸網(wǎng)絡(luò)每天大約挖掘24個門羅幣，價值約合8500美元。Proofpoint指出，由于許多受感染的系統(tǒng)都是服務(wù)器，所以對于受影響的企業(yè)而言潛在的效益影響是巨大的。

3. WannaMine

[[221053]]

去年10月份，由熊貓安全(Panda Security)率先發(fā)現(xiàn)的“WannaMine“是一款新型門羅幣(Monero)加密挖掘蠕蟲。鑒于該蠕蟲試圖最大限度地使用被感染系統(tǒng)的處理器和RAM的表現(xiàn)形式，Panda安全公司將該蠕蟲形容成”尤為麻煩“的存在。

根據(jù)今年Crowdstrike公司發(fā)布的報告指出，該蠕蟲同樣利用與 NSA 相關(guān)的 “永恒之藍“(EternalBlue)漏洞進行傳播。此外，WannaMine 還可以使用憑證收割機”Mimikatz“來收集用戶憑據(jù)，從而達到在公司網(wǎng)絡(luò)中橫向移動的目的，但如果不能夠橫向移動的話，WannaMine 將會嘗試使用NSA泄露的EternalBlue漏洞擴展到其他系統(tǒng)之中。

4. Adylkuzz

2017年5月，Adylkuzz引起了廣泛關(guān)注，它與WannaCry一樣使用了NSA泄露的“永恒之藍“(EternalBlue)和Double Pulsar漏洞進行傳播。像其他加密貨幣挖掘工具一樣，一旦該惡意軟件進入計算機系統(tǒng)，它就能在上面下載指令、挖礦機器人以及清除工具。而關(guān)于該惡意軟件還有一個值得注意的特征：它能夠關(guān)閉受感染系統(tǒng)上的所有SMB網(wǎng)絡(luò)，以阻止其他惡意軟件(包括WannaCry蠕蟲)感染。

據(jù)悉，Proofpoint最早在4月24日發(fā)生了該類型攻擊，但由于它是在暗處操作，所以直到WannaCry席卷全球之后它才浮出水面，而許多用戶甚至完全不知道自己所用設(shè)備已經(jīng)遭到該惡意軟件的網(wǎng)絡(luò)攻擊。根據(jù)Proofpoint初步數(shù)據(jù)統(tǒng)計表明，這起攻擊的規(guī)模可能比“WannaCry“還大，影響了全球幾十萬臺PC和服務(wù)器。

5. JSECoin

[[221054]]

JSECoin 是與Coinhive類似的JS挖礦工具，通過將加密貨幣挖掘工具嵌入網(wǎng)站所有者的網(wǎng)站之中，并提供網(wǎng)站所有者部分加密貨幣作為回報。像Coinhive一樣，JSECoin也是在訪客訪問嵌入挖礦工具的網(wǎng)站時，利用訪客的計算機CPU資源來挖掘加密貨幣。但是與前者不同的是，JSECoin會將CPU使用率限制在15%至25%之間，并且始終顯示隱私聲明，為用戶提供退出鏈接。盡管如此，Check Point月度報告中還是已經(jīng)將該挖礦工具列入了“10大最受歡迎的惡意軟件工具“名單之列。

6. Bondnet

[[221055]]

Bondnet是一種用于挖掘不同數(shù)字貨幣的加密貨幣僵尸網(wǎng)絡(luò)。GuardiCore稱，該僵尸網(wǎng)絡(luò)由多達15000臺不同功率的服務(wù)器組成。GuardiCore公司于去年5月首次報告了該僵尸網(wǎng)絡(luò)信息，并指出該僵尸網(wǎng)絡(luò)能夠利用所控制的僵尸設(shè)備“挖礦”，開采不同種類的虛擬貨幣。其受害者包括全球性公司、市政府、大學(xué)以及公共機構(gòu)等。

據(jù)悉，Bondnet的攻擊目標(biāo)主要鎖定為Windows Server主機，利用系統(tǒng)弱密碼問題和常見的老舊系統(tǒng)漏洞(例如phpMyAdmin配置錯誤漏洞，或JBoss、Oracle?Web?Application?Testing?Suite、ElasticSearch、MS?SQL?servers、Apache?Tomcat、Oracle?Weblogic等)來入侵Windows系統(tǒng)，并安裝Windows管理界面木馬與遠程命令和控制服務(wù)器進行通信。此外，GuardiCore還注意到，該僵尸網(wǎng)絡(luò)還能夠輕易地發(fā)動DDoS攻擊以及竊取企業(yè)的數(shù)據(jù)。

7. PyCrypto Miner

[[221056]]

F5 Networks的研究人員將“PyCrypto Miner“描述為一個基于Python的僵尸網(wǎng)絡(luò)，研究人員稱，該僵尸網(wǎng)絡(luò)很大程度上可能已經(jīng)隱身運行了很長一段時間。

據(jù)悉，這一基于Linux的加密貨幣挖掘僵尸網(wǎng)絡(luò)是通過SSH協(xié)議進行傳播的，并主要被用于開采門羅幣。截至2017年12月底，該僵尸網(wǎng)絡(luò)的運營者似乎至少已經(jīng)挖到了價值46,000美元的加密貨幣。

根據(jù)F5研究人員的說法，PyCrypto Miner僵尸網(wǎng)絡(luò)存在的一個值得注意的特性是，如果原始服務(wù)器因為某種原因被關(guān)閉或變得不可用的話，它會使用Pastebin.com來發(fā)布和傳輸新的命令和控制(C&C)服務(wù)器地址。截至2017年12月中旬，該惡意軟件已經(jīng)獲得了用于掃描易受攻擊的JBoss系統(tǒng)的新功能。