【51CTO.com快譯】非法加密貨幣挖礦最陰險(xiǎn)的方面在于，受害者對(duì)此渾然不覺(jué)。思科公司Talos威脅情報(bào)部門(mén)(簡(jiǎn)稱(chēng)“Talos團(tuán)隊(duì)”)的專(zhuān)家們表示，在這種新的商業(yè)模式下，攻擊者不再懲罰打開(kāi)附件或運(yùn)行惡意腳本的受害者，而是通過(guò)劫持系統(tǒng)要求支付贖金。現(xiàn)在，攻擊者在積極利用被感染系統(tǒng)的資源進(jìn)行加密貨幣挖礦。

[[221737]]

這條攻擊途徑既有利可圖，又易于實(shí)施，但對(duì)受害者非常危險(xiǎn)。CrowdStrike的專(zhuān)家們表示，購(gòu)買(mǎi)力和流動(dòng)性的增加推動(dòng)了加密貨幣的估值和波動(dòng)性，高于以往任何時(shí)候。很自然，哪里有錢(qián)財(cái)，哪里就有犯罪活動(dòng)。

特別是由于網(wǎng)絡(luò)安全廠商向市場(chǎng)推出勒索軟件保護(hù)解決方案，非法加密貨幣挖礦在迅速取代勒索軟件，成為首選的攻擊途徑。Palo Alto Networks公司的情報(bào)主管Ryan Olson解釋?zhuān)?ldquo;我們從近期和長(zhǎng)遠(yuǎn)的角度來(lái)看，在攻擊者眼里，只有普通舊CPU的計(jì)算機(jī)的價(jià)值可能是用來(lái)悄悄運(yùn)行一些加密貨幣礦工，而不是感染上勒索軟件或可能竊取數(shù)據(jù)的其他軟件。”

給我看看錢(qián)

在其中扮演關(guān)鍵角色的是匿名加密貨幣Monero。像Monero和以太坊這些比特幣替代貨幣的價(jià)值保持總體上升的趨勢(shì)，因而被尋求快速獲利和匿名交易的不法分子盯上了。

雖然其他加密貨幣也是一個(gè)影響因素，但Monero最受青睞。Proofpoint的威脅運(yùn)營(yíng)中心副總裁Kevin Epstein說(shuō)：“這種Monero挖礦僵尸網(wǎng)絡(luò)極其龐大，主要由遍布全球的微軟Windows服務(wù)器組成。我們一再看到不法分子‘跟著錢(qián)走’――在過(guò)去這幾個(gè)月，這個(gè)錢(qián)就是加密貨幣，不法分子將注意力轉(zhuǎn)向了獲取比特幣和替代貨幣的各種非法手段上。”

簡(jiǎn)單的僵尸網(wǎng)絡(luò)和匿名加密貨幣這對(duì)組合導(dǎo)致非法活動(dòng)日益猖獗。Talos團(tuán)隊(duì)表示，對(duì)攻擊者來(lái)說(shuō)，加密貨幣礦工的有效載荷可能是來(lái)錢(qián)最快的手段之一。不需要試圖攻擊主機(jī)，而是竊取文檔、密碼、錢(qián)包和私鑰等，我們從以牟利為目的的攻擊者那里看到這一幕。

神不知鬼不覺(jué)

相比勒索軟件赤裸裸地敲詐企業(yè)，非法加密貨幣挖礦很隱蔽。Talos團(tuán)隊(duì)表示，大多數(shù)用戶(hù)基本上沒(méi)有注意到。沒(méi)有任何指揮和控制活動(dòng)，它一直在生成收入，直到被清除。

指控和控制這個(gè)術(shù)語(yǔ)是指一旦黑客找到了目標(biāo)，就會(huì)“呼叫大本營(yíng)”，以便泄露信息――這一步在非法加密貨幣挖礦的情況下不再是必要步驟。礦工軟件只要有代表攻擊者加密貨幣錢(qián)包的匿名代碼就行。

那么，究竟什么被竊取了?Talos團(tuán)隊(duì)表示，攻擊者竊取的是受害者系統(tǒng)的計(jì)算能力，挖礦軟件嚴(yán)格上來(lái)說(shuō)不是惡意軟件。所以從理論上講，受害者可能仍然是其僵尸網(wǎng)絡(luò)的一部分，只要攻擊者選擇這么做。

然而，竊取計(jì)算能力(及其必要的電力)并非沒(méi)有一點(diǎn)壞處。CrowdStrike的團(tuán)隊(duì)補(bǔ)充道，雖然加密貨幣挖礦通常被認(rèn)為只是有些煩人，但CrowdStrike最近發(fā)現(xiàn)挖礦影響了公司運(yùn)營(yíng)的幾起案例，導(dǎo)致一些公司數(shù)天、有時(shí)數(shù)周無(wú)法正常運(yùn)營(yíng)。

由于這種僵尸網(wǎng)絡(luò)中的大多數(shù)節(jié)點(diǎn)似乎都是Windows服務(wù)器，所以對(duì)關(guān)鍵業(yè)務(wù)基礎(chǔ)設(shè)施的性能影響可能很大，滿負(fù)荷運(yùn)行的服務(wù)器增加了能耗，因而電費(fèi)增加。

非法加密貨幣挖礦的未來(lái)

不像企業(yè)遇到勒索軟件要求軟件開(kāi)發(fā)商提供快速緩解的技術(shù)，如果遇到非法加密貨幣挖礦，攻擊能夠在基本上未加控制的情況下傳播開(kāi)來(lái)。

隨著時(shí)間的推移，我們可以預(yù)計(jì)中招的系統(tǒng)會(huì)為犯罪分子不斷挖礦，達(dá)到流行病規(guī)模。到時(shí)候，罪犯會(huì)日益踩到對(duì)方的地盤(pán)，多個(gè)不法分子企圖感染同樣的系統(tǒng)。

到那時(shí)，預(yù)計(jì)計(jì)算能力會(huì)出現(xiàn)大規(guī)模“停供”，大片的全球計(jì)算基礎(chǔ)設(shè)施不堪多個(gè)僵尸網(wǎng)絡(luò)的攻擊，每個(gè)僵尸網(wǎng)絡(luò)各自在為全球各地的犯罪團(tuán)伙牟取不義之財(cái)。

實(shí)際上，這個(gè)問(wèn)題的危害性很大，軟件緩解技術(shù)可能不足以阻止其傳播。相反，各國(guó)政府可能不得不一勞永逸地封殺加密貨幣。

原文標(biāo)題：Top Cyberthreat Of 2018: Illicit Cryptomining，作者：Jason Bloomberg

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】