隐蔽挖矿危及企业效率

2018 年03 月7日

回顾2017展望2018,透过能预测未来的魔力水晶球,我们预见到在2017年不可一世的勒索软件将让位于加密货币矿机形式的复杂新型网络威胁。根据我们最新的研究结果表明,矿机”不负众望”,甚至蔓延程度超过自身的预期。

近六个月来,网络犯罪分子通过注入加密货币矿机,成功掠夺了700多万美元的不义之财。下面,我们将解释一下矿机如何在用户电脑上工作,为什么说矿机已经成为主要的网络威胁(尤其是对于企业而言),以及该如何保护基础设施免受矿机攻击。

矿机的崛起

2017年,比特币和代币(替代加密货币)汇率冲高,达到史无前例的水平。显然,持有代币(可以转换成真正的货币)成为一项利润丰厚的业务。加密货币经济学格外吸引人的一大特点是,与真实货币不同,任何人都可以通过执行数字计算来构建区块链并获得奖励,从而生成数字货币(请参阅本文了解区块链的工作原理)。

矿池(把矿机联合在一起的组织)的一般规则是,执行的计算越多,获得代币就越多。唯一的问题是要执行更多的计算,需要更高的算力 – 由此消耗的电量也越高。

因此,没过多久网络犯罪分子就想到了利用别人的电脑来挖掘加密货币 – 毕竟,如何利用互联网技术赚快钱已经深刻在网络犯罪分子的灵魂中。理想情况下,他们使用户计算机执行计算,而其所有者或管理员并不知情。由此可见,网络犯罪分子特别青睐拥有数百台电脑的大型企业网络,原因再明显不过了。

他们来非常善于把计划付诸实施。我们已经报告过,全球有270多万用户受到”恶意矿机”的攻击 – 这比2016年增加了1.5倍 – 而且这一数字还在不断攀升。下面我们再进一步谈谈攻击者利用的技术。

隐藏的威胁

第一种方法具有执行高级持续性威胁(APT)的技术的所有特征,在最近的大规模勒索软件活动中这些特征格外突出。如今,这类方法(如利用臭名昭著的EternalBlue永恒之蓝漏洞的攻击)被用来分发隐藏的矿机。

另一种在用户计算机上安装隐藏矿机的方法是说服用户下载一个滴管程序,随后此程序会下载矿机。通常情况下,网络犯罪分子会假装成产品广告或免费版产品,或者通过一些网络钓鱼技术来诱使用户下载滴管程序。

下载完成后,滴管程序会在计算机上运行并安装实际的矿机以及一种特殊的实用工具,用于使矿机在系统中隐形。该程序包可能含有自动启动和自动配置工具,例如使用这些工具可以配置允许矿机使用多少处理能力,具体取决于正在运行的其他程序,目的是不让系统明显变慢而引起用户怀疑。

这些工具的另一个用途是阻止用户停止矿机。如果用户检测到矿机并试图禁用时,计算机会重启,随后矿机仍将像先前那样继续运行。有意思的一点是,大多数隐藏的矿机重复利用合法矿机的代码,因此进一步加大了检测复杂性。

还有另一种非法获取代币的方法:网页挖矿,也就是通过浏览器来挖矿。这可以通过网站管理员在用户访问其网站时,向用户的浏览器中嵌入运行的挖矿脚本来实现。此外,这也可以由取得网站管理权限的攻击者来实现。用户在其网站上时,用户的计算机会构建块(利用这些块,编制脚本的犯罪分子可从中牟利)。

企业如何保护设备不被矿工利用?

如今,网络犯罪分子利用先进的攻击技术和检测复杂性,把受害者的计算机变成整个僵尸网络,然后利用这些计算机来隐蔽挖矿。不用说,拥有巨大处理能力的商业基础设施自然成了网络犯罪分子的高利润目标。您企业的设备也不例外,同样可能有风险。因此,我们建议采取以下措施来保护企业:

  • 在所有运行的计算机和服务器上安装安全解决方案,使基础架构成为无攻击区;
  • 定期对公司网络进行安全审核,确定是否有异常情况;
  • 定期关注任务调度程序,攻击者可能利用该程序来启动恶意进程;
  • 不要忽视不太显眼的目标,如排队管理系统、POS机终端,甚至包括自动售货机。依赖EternalBlue漏洞的矿机也劫持这类设备来挖掘加密货币;
  • 在”默认拒绝”模式下使用专用设备 – 这用助于保护专用设备不受矿机和其他威胁的攻击。例如,可以使用”卡巴斯基企业网络安全解决方案”来配置”默认拒绝”模式。