【51CTO.com快譯】目前，越來越多的網絡罪犯都通過劫持目標企業的系統和網站，來進行加密貨幣的挖礦(cryptocurrency mining)勾當。

[[224702]]

根據Crowdstrike和其他多家安全廠商的最新報告顯示：在攻擊者劫持各個企業的系統用于Monero(門羅幣)、或其他諸如Ethereum(以太坊)和Zcash(零幣)等數字貨幣進行挖礦之后，這些企業的應用程序和運營都遭受了嚴重的干擾。

在許多情況下，網絡攻擊者會秘密地在網站上安裝加密器，并乘人們訪問該網站之機劫持訪問者的系統。

與勒索軟件和其他惡意軟件不同，加密貨幣挖礦軟件(cryptominer)一般是一些合法的軟件工具，因此不大容易被反惡意軟件產品所檢測到。鑒于它們唯一所做的事情就是：利用系統的CPU資源去服務于挖礦算法，因此加密挖礦軟件經常會在不被人察覺到的情況下運行。許多加密挖礦工具還會故意節制對CPU和電力使用，以使得它們在目標系統上更加不會引人注目。而事實上，性能的下降通常就是計算機已被加密貨幣挖礦軟件所劫持的一種跡象。

就像許多其他無用的軟件工具那樣，加密貨幣挖礦軟件對那些不遵循基本和長期安全防護策略的組織構成了重要的威脅。它們會像其他惡意軟件產品一樣被迅速地傳播，因此我們需要及時采取相似的應對措施。

下面，我們列出了針對加密貨幣挖礦軟件和任意惡意軟件的七種最佳防護實踐：

1. 加強端點的安全控制

安全公司CrowdStrike的服務總監Bryan York說：強大的端點保護(endpoint protection)對于挖礦類惡意軟件的防護是至關重要的。如果您不希望加密軟件運行在您終端用戶和主機系統上的話，我們就必須對將終端進行持續的更新和打補丁。在用戶瀏覽網頁時，我們可以考慮在瀏覽器上使用廣告攔截、禁用JavaScript、以及專為阻止加密貨幣挖礦而設計的瀏覽器擴展插件。我們還應該為遠程訪問服務實施多因素的身份驗證，并將網絡予以分段，以限制數據的橫向移動。

如今，端點保護技術完全可以幫助您檢測并阻止那些加密貨幣挖礦軟件及其相關的行為。York補充說：“此外，一些先進的端點技術還能夠阻止那些使用無文件惡意代碼(fileless malware)技術的挖礦軟件，并在網絡進行傳播與感染。”因此，這些新技術很值得我們去借鑒。

Mike McLellan是戴爾旗下安全公司Secureworks里反威脅部門的高級安全研究員。他表示通過考慮實施集中式日志記錄功能，企業可以用來檢測、限制和捕獲各種惡意活動。一種能夠識別出站挖礦流量的方法是：使用受監控的出向端口采集點，來管理各種出站的網絡連接及其流量，特別是那些使用非標準端口的、且未被加密的數據流。

2. 審查網站的安全控制

確保網絡攻擊者無法使用您的網站，作為加密挖礦軟件工具的寄存平臺。他們會經常在網站所有者不知情中將挖礦軟件安裝到網站之上，然后去劫持那些訪問該網站的用戶電腦，以“開采”門羅或其他類型加密貨幣。

網絡安全提供商High-Tech Bridge的首席執行官Ilia Kolochenko說：“使用各種內容安全策略和類似的安全機制，我們在對Web服務器進行安全加固的同時，也能夠防止跨站腳本和跨站請求偽造等許多常見可被利用的因素。”因此，請您確保自己的管理員密碼足夠復雜且唯一，并盡可能地實施雙因素身份驗證。

Web應用防火墻可以幫助消除、或至少減少自研發代碼中的那些未知漏洞、及漏洞被利用的可能性。Kolchenko補充說：“在許多企業的真實環境中，連續的安全監控已經成為了確保Web應用安全的通用實踐和標準，各類安全從業人員千萬不可掉以輕心，畢竟多一雙眼睛就可能會有多一份安全”。

3. 實施嚴格的訪問控制

我們要對系統和應用的信任憑證實施最小權限原則，并限制使用管理員身份去訪問授權用戶的上下文內容。McLellan說：“對于Windows系統，請考慮使用微軟的本地管理員密碼解決方案(Local Admin Password Solution，LAPS)來簡化和加強密碼的管理。”

對于那些能被外部所訪問到的服務，請實施雙因素身份驗證。而對于遠程管理等功能，請考慮棄用那些標準的端口與服務，而采用定制化服務予以實現，他補充說。

4. 安全的第三方軟件和組件

The Media Trust公司的首席執行官Chris Olson說：不要讓易受攻擊的第三方代碼拉低甚至破壞了您網站的整體安全性。請審核所有那些為您的網站能夠正常運營而提供代碼的合作伙伴，并且將您的數據隱私政策及時傳達給他們。對于那些不合規的供應商，請立即終止合作關系，不要姑息。

“對所有已知合作伙伴的網站進行例行評估，這對于向他們傳遞貴司的期望和強化合規性都是至關重要的。”Olson還說：“持續的網站監控不但有利于及時地檢測到那些‘流氓’代碼，還能在它們一旦被執行時就立即予以終止。”

5. 保護您的云帳戶

云計算和IT管理解決方案提供商BMC的產品管理副總裁Daniel Nelson指出：各類攻擊者已經開始通過劫持大公司的公有云賬戶，來“開采”加密貨幣了。例如，為了“挖礦”的目的，攻擊客們曾經在AWS平臺的那些未被安全配置的Kubernetes容器集群里，瘋狂地劫獲其計算能力。

“各個企業應該實施諸如SecOps Policy Service(BMC的安全運維策略服務)的自動化解決方案，以持續監控、評估和修復各種容器的棧”，Nelson說。通過使用這些工具，您的容器堆棧內部能夠以程序設定的方式實行安全策略。

同時，請務必檢測出您所使用的云端服務中的各個盲點。Nelson強調：“如今，影子IT(Shadow IT)相當地活躍。”就算企業的IT們知曉了其云端所配置的全部服務器，他們也不一定能夠完全掌控安裝在這些服務器上的所有軟件。因此，發現并了解云端服務的具體使用程度也是至關重要的。

6. 限制各種不必要的服務

Secureworks的McLellan還補充說：如果您并不需要某個服務，那么請立即禁用之。比如說SMB v1之類的內部協議，如果它們在應用程序并不能發揮所需的業務功能，我們就完全沒有保留它們的必要。而對于那些無法刪除、但對于大多數用戶的確是完全用不到的系統組件，例如PowerShell，我們應當立即限制對它們的訪問權限。

7. 保護您的物聯網

High-Tech Bridge的Kolochenko進一步指出：在某些工廠里，那些具有互聯網連接的物聯網設備，例如：地板傳感器、安全攝像頭和智能恒溫器等，因為不太具有處理的能力，所以攻擊者也不太感興趣劫獲這些系統，來進行加密貨幣的挖礦。但是反過來說，如果他們確實劫獲了，您可能也不太會想到或發現到。

因此，“對于如今數以百萬計的物聯網設備而言，它們雖然被設計為用于處理或存儲各種機密的或個人隱私的信息，但是它們卻并不具有基本的密碼保護選項。一些管理員密碼甚至被硬編碼到芯片之中，而無法被修改。”他還補充說：與此同時，這些物聯網設備和開源組件的Web界面往往會充斥、或暴露了各種可以被攻擊者輕易利用的關鍵性漏洞。

原文標題：7 Ways to Protect Against Cryptomining Attacks，作者：Jai Vijayan

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】