一文看懂“挖礦劫持”，拒絕成為“免費礦工”_ALI

加密貨幣劫持，也稱作挖礦劫持，是指未經授權使用別人的計算機挖掘加密貨幣。通常，黑客通過讓受害者點擊電子郵件中的惡意鏈接，將加密貨幣挖礦代碼加載到計算機上；或者使用JavaScript代碼感染網站或在線廣告，而JavaScript代碼將在受害者瀏覽器內加載后自動執行。無論通過哪種方式，挖礦代碼將在后臺運行，而毫不知情的受害者可以正常使用計算機。他們可能注意到的唯一跡象是計算機性能下降或執行滯后。為何挖礦劫持事件層出不窮？沒有人知道黑客通過挖礦劫持開采了多少加密貨幣，但毫無疑問這種做法日漸猖獗。基于瀏覽器的挖礦劫持正在快速增長。去年11月，據Adguard報告，瀏覽器內的挖礦劫持增長率為31％。Adguard研究發現，共有33000個網站運行挖礦劫持腳本，而這些網站每月的訪問數量預計達到10億。今年2月，BadPacketsReport發現了34474個運行Coinhive的站點。Coinhive是最受歡迎的JavaScript挖礦程序，也被用于合法的加密貨幣挖礦活動。網絡安全解決方案提供商WatchGuardTechnologies的威脅情報分析師MarcLaliberte表示，“加密貨幣挖礦正處于初級階段，還有很多發展和演變的空間。”他指出，Coinhive程序易于部署，并且在第一個月就創造了30萬美元的價值。“從那以后，Coinhive發展得很快。這樣賺錢真的很容易。”1月份，研究人員發現了Smominru加密貨幣挖礦僵尸網絡，該蠕蟲感染了超過50萬臺機器，主要集中在俄羅斯、印度和臺灣地區。僵尸網絡的目標是讓Windows服務器挖掘門羅幣。網絡安全公司Proofpoint估計，截至1月底，它已經創造了360萬美元的價值。挖礦劫持甚至不需要擁有重要的技術能力。根據DigitalShadows的報告《新淘金熱：加密貨幣成為欺詐的新領域》，挖礦劫持工具包在暗網只賣30美元。挖礦劫持越來越受黑客歡迎的一個原因是風險更低卻能獲得更多金錢。SecBI的CTO兼聯合創始人AlexVaystikh表示：“對于黑客來說，挖礦劫持是比勒索軟件更廉價、更有利可圖的替代品。”如果使用勒索軟件，黑客每次感染100臺計算機，或許只能讓3個人付費。而使用挖礦劫持，被感染的100臺計算機都可以用來挖掘加密貨幣。他解釋說，雖然通過挖礦劫持和使用勒索軟件獲得的金錢可能一樣多，但是挖礦可以不斷地產生價值。另外，挖礦劫持被發現和識別的風險也遠低于勒索軟件。挖礦代碼將靜默運行，并且可能很長時間不被發現；就算被發現，也很難追溯到源頭。因為沒有任何東西被盜或被加密，受害者沒有什么動機去追溯。黑客傾向于選擇Monero和Zcash等匿名加密貨幣，而不是比特幣，因為很難追蹤這些貨幣背后的非法行為。挖礦劫持是如何發生的？黑客主要通過兩種方式讓受害者的計算機悄悄地挖掘加密貨幣。一種方法是誘導受害者將挖礦代碼加載到計算機上。通過類似網絡釣魚的方法完成劫持：受害者收到一封看似合法的電子郵件，誘導他們點擊鏈接。這個鏈接會運行代碼，將挖礦腳本加載到計算機上。受害者使用計算機時，挖礦腳本代碼可以在后臺運行。另一種方法是在可以大量傳播的網站或廣告里植入腳本。一旦受害者訪問被感染的網站或者點擊瀏覽器彈出的廣告，腳本將自動執行。沒有代碼存儲在受害者的計算機上。無論使用哪種方法，挖礦代碼都會利用受害者的計算機挖礦，并將結果發送到黑客控制的服務器。黑客通常會使用這兩種方法來獲取最大化的回報。Vaystikh表示：“攻擊者會使用惡意軟件技術作為備用，向受害者的計算機發送更可靠和持久的惡意軟件。”例如，在100臺為黑客挖掘加密貨幣的設備中，其中10％可能通過受害者設備上的代碼產生收入，90％則通過他們的網絡瀏覽器實現。與大多數其他類型的惡意軟件不同，挖礦劫持腳本不會損害計算機或者受害者的數據。它們竊取的是CPU處理資源。對于個人用戶來說，計算機性能變慢可能只是一個煩惱。而對于企業來說，如果很多系統被劫持挖礦，可能會增加成本。為了解決問題，服務臺和IT部門需要花費時間追蹤性能問題并更換組件或系統。挖礦劫持實際案例挖礦劫持者很聰明，設計了很多方案來利用他人的電腦挖掘加密貨幣。大部分的方案并不新奇，其傳播方式通常借鑒其他惡意軟件的方法。以下是一些真實發生的案例：流氓員工劫持公司系統在今年的EmTech數字會議上，Darktrace講述了一家歐洲銀行的故事。這家銀行的服務器出現了異常流量，在夜間運行緩慢，但是銀行的診斷工具沒有發現任何異常。Darktrac發現，在那段時間里有新服務器上線，而銀行表示并沒有這些服務器。最后，Darktrac對數據中心進行實地檢查時發現，一名流氓員工在地板下建了一個加密貨幣挖礦系統。利用GitHub傳播挖礦軟件3月份，Avast軟件公司報告稱，挖礦劫持者正在將GitHub作為惡意挖礦軟件的宿主。他們找到合法的項目，從中創建一個分叉項目；然后將惡意軟件隱藏在該分叉項目的目錄結構中。挖礦劫持者通過使用網絡釣魚方案引誘用戶下載該惡意軟件，例如提醒更新Flash播放器或者偽裝成一個成人游戲網站。利用rTorrent漏洞挖礦劫持者發現了一個rTorrent錯誤配置漏洞，無需進行XML-RPC通信驗證即可訪問一些rTorrent客戶端。他們掃描互聯網尋找未打補丁的客戶端，然后在客戶端上部署Monero挖礦軟件。F5Networks在2月份報告了這個漏洞，并建議rTorrent用戶確保其客戶端不接受外部連接。Chrome惡意插件Facexworm這種惡意軟件最早是由卡巴斯基實驗室于2017年發現的，它是一款谷歌瀏覽器插件，使用FacebookMessenger來感染用戶的計算機。最初，Facexworm用于傳播廣告軟件。今年早些時候，趨勢科技發現了多種面向加密貨幣兌換的Facexworm，并且能夠傳播加密貨幣挖礦代碼。它仍然使用被感染的Facebook帳戶來傳播惡意鏈接，但也可以竊取網絡帳戶和憑證，從而允許它將挖礦劫持代碼植入到這些網頁。暴力挖礦病WinstarNssmMiner5月份，360安全衛士發現了可以迅速傳播的挖礦劫持程序WinstarNssmMiner。這個惡意程序的特別之處在于，卸載它會讓受害者的計算機崩潰。WinstarNssmMiner首先啟動svchost.exe進程并向其植入代碼，然后將該進程的屬性設置為CriticalProcess。由于計算機將其視為關鍵進程，因此一旦強制結束該進程，計算機就會藍屏。如何預防挖礦劫持？如果遵循這些步驟，可以最大限度地降低公司被劫持挖礦的風險：公司安全意識培訓應該增加關于挖礦劫持威脅的內容，著重介紹通過網絡釣魚將挖礦腳本加載到用戶計算機上的劫持方式。Laliberte認為培訓會有幫助，網絡釣魚將繼續成為攻擊者發送各種惡意軟件的主要方式。而針對通過訪問合法網站自動執行挖礦劫持的方式，Vaystikh表示，培訓效果不佳，因為你沒辦法告訴用戶不能訪問哪些網站。在Web瀏覽器上安裝廣告攔截或反挖礦插件。由于挖礦劫持腳本通常通過網絡廣告進行傳播，因此安裝廣告攔截器可能是阻止它們的有效手段。AdBlockerPlus等廣告攔截器具備檢測挖礦腳本的功能。Laliberte推薦NoCoin和MinerBlock等可以檢測和攔截挖礦腳本的瀏覽器插件。使用能夠檢測已知挖礦程序的端點保護技術。許多端點保護/防病軟件供應商已經添加了檢測挖礦程序的功能。Anomali安全策略總監TravisFarral說：“防病是終端預防挖礦劫持的方法之一。如果這個程序是已知的，那就很可能被檢測出來。”他補充道，需要注意的是挖礦程序的編寫者正在不斷改變技術，避免被端點檢測到。更新網頁過濾工具。如果已經確定一個網站正在運行挖礦腳本，請確保所有用戶不會再訪問該網站。維護瀏覽器插件。一些攻擊者正在使用瀏覽器惡意插件或者被感染的合法插件來執行加密貨幣挖礦腳本。使用移動設備管理解決方案更好地控制用戶設備上的內容。自帶設備策略可以有效預防非法的加密貨幣挖礦行為。Laliberte認為，MDM可以長期保持自帶設備的安全。MDM解決方案可以幫助企業管理用戶設備上的應用和插件。MDM解決方案傾向于面向大型企業，小型企業通常負擔不起。不過，Laliberte指出，移動設備不像臺式電腦和服務器那么危險。因為移動設備的處理能力往往較低，所以對黑客來說并不是很賺錢。如何檢測挖礦劫持？與勒索軟件一樣，盡管企業竭盡全力去阻止挖礦劫持，還是可能受到影響。企業可能很難檢測挖礦劫持，特別是在只有少數系統受到損害的情況下。以下是有效的方法：訓練服務臺，發現挖礦劫持的跡象。SecBI的Vaystikh表示，有時候，挖礦劫持的第一個跡象就是服務臺收到用戶關于計算機性能下降的抱怨。企業應該對此予以重視，并進一步進行調查。服務臺應該尋找的其他信號是可能導致CPU或散熱風扇故障的系統過熱。Laliberte指出，因為CPU使用率過高，系統過熱會造成損壞，并可能縮短設備的使用周期。對于平板電腦和智能手機等移動設備更是如此。部署網絡監控解決方案。Vaystikh認為，企業網絡中的挖礦劫持比家庭網絡更容易檢測，因為大多數消費者端點解決方案都無法檢測到它。挖礦劫持很容易通過網絡監控解決方案進行檢測，而大多數企業都有網絡監控工具。不過，即便擁有網絡監控工具和數據，很少有企業可以有工具和能力來分析這些信息，從而進行準確的檢測。例如，SecBI開發了一個AI解決方案來分析網絡數據，并檢測挖礦劫持和其他特定威脅。Laliberte認為，網絡監測是檢測挖礦劫持的最佳選擇。審查所有網絡流量的網絡周邊監控方案，更有可能檢測出挖礦行為。許多監控解決方案將深入檢測每一個用戶，以便確定哪些設備受到影響。Farral表示，如果企業服務器配備了靠譜的過濾器來監控出口端點的網絡連接請求，那么可以很好地檢測出惡意挖礦軟件。不過，他警告說，挖礦軟件的編程者有能力改寫惡意軟件，來規避這個檢測方法。監控自己的網站是否被植入挖礦劫持代碼。Farral警告說，挖礦劫持者正設法在Web服務器上植入一些Javascript代碼。服務器本身并不是其攻擊目標，但是任何訪問該網站的人都有感染的風險。他建議企業定期監視Web服務器上的文件更改情況或者自行更改頁面。隨時了解挖礦劫持的發展趨勢。挖礦劫持的傳播方式和挖礦代碼本身在不斷發展。Farral表示，了解挖礦劫持軟件和劫持行為可以幫助企業檢測挖礦劫持。一個精明的企業會跟進事情的最新進展。如果掌握了挖礦劫持的傳播機制，就知道某個特定的開發工具包正在發送挖礦代碼。保護開發工具包，也將成為預防挖礦劫持的措施。如何應對挖礦劫持攻擊？關閉并攔截網站發送的惡意腳本。對于瀏覽器內的JavaScript劫持攻擊，一旦檢測到挖礦劫持，就應該關閉運行惡意腳本的瀏覽器標簽頁。IT部門應該注意發送腳本的網站URL，并更新企業的網頁過濾器進行攔截。企業可以考慮部署反挖礦工具，幫助防止未來的攻擊。更新并清理瀏覽器插件。Laliberte表示，如果一個插件感染了瀏覽器，關閉標簽頁將無濟于事。這時應該更新所有插件，并刪除不需要或已經感染的插件。學習并適應。借助這些經驗更好地了解攻擊者是如何危害系統的。更新企業的用戶、服務臺和IT培訓內容，以便他們更好地識別挖礦劫持并采取相應的行動。轉載/內容合作/尋求報道請聯系郵箱report@odaily.com，違規轉載法律必究。

Tribe Capital合伙人：預計DeFi在今年年底或明年初出現重大復蘇:金色財經報道，投資公司Tribe Capital管理合伙人Boris Revsin認為，隨著更多基礎設施在美國以外更開放的市場上得到開發，創建新項目變得更加容易。Revsin 在最近的一次采訪中表示，預計DeFi將在今年年底或明年初出現重大復蘇。

Revsin預計，今年晚些時候美國監管行動將推動DeFi項目在迪拜和新加坡等更開放的地區運營。然而，第一層和第二層區塊鏈以及Rollup技術等基礎設施項目可能會繼續在美國蓬勃發展，Revsin 認為新的基礎設施以及項目背后的開發商是將加密貨幣轉變為10萬億美元產業的關鍵。[2023/7/26 15:58:44]

螞蟻鏈宣布正式推出并開源跨鏈協議AntChain Bridge:金色財經現場報道，螞蟻集團數字數字科技開發者大會4月26日在杭州舉行。螞蟻鏈在會上宣布，向全球開發者正式開源旗下高安全異構跨鏈協議AntChain Bridge，以促進技術普惠與萬鏈互聯。該協議基于IEEE跨鏈標準打造，也是全球首個跨鏈通用國際標準。開源后，開發者可以使用螞蟻鏈的跨鏈代碼，共建Web3開放生態。在會議現場，螞蟻鏈和云象區塊鏈、樹圖鏈以及國內高校區塊鏈DYNO，四家機構共同演示了數字資產在不同鏈之間進行跨鏈轉移，真正實現了異構鏈之間的互聯互通。[2023/4/26 14:27:40]

紐約已提出一項法案，將比特幣作為國家機構的”支付手段\":金色財經報道，Bitcoin Magazine在社交媒體上稱，紐約已提出一項法案，將比特幣作為國家機構的”支付手段\"。[2023/1/28 11:33:12]

香港金管局：全球Fast Track計劃2022將增設“央行數字貨幣”領域:金色財經報道，香港金融管理局及投資推廣署聯合宣布全球Fast Track計劃2022將增設“央行數字貨幣”領域，為本地和全球公司提供寶貴機會與香港的中央銀行機構合作，促進亞洲及其他地區金融科技的發展和應用，會邀請銀行、金融科技及科技公司在八個重點范疇提交創新解決方案，當中包括零售層面央行數字貨幣應用、批發層面央行數字貨幣應用、可編程貨幣、互用性、私隱、網絡安全、外匯和流動資金管理及離線支付。[2022/8/11 12:17:43]

Giesecke+Devrient計劃推出更多非洲CBDC:7月21日消息，德國支付解決方案提供商Giesecke+Devrient（G+D）計劃在非洲進一步推出央行數字貨幣，同時繼續為在加納推出數字塞地做準備。

G+D貨幣技術首席執行官Wolfram Seidemann表示，該公司在一個未具名的非洲國家獲得了一個CBDC的新項目。此外，該公司正在與非洲大陸各地的央行進行磋商。

Seidemann稱，在加納以外獲得的項目將在大約6個月后宣布。初步設計階段的協議已經簽署，他希望這將引導至試點和推出階段。（The Africa Report）[2022/7/21 2:27:59]

Tags：加密貨幣ALIBERTRTE加密貨幣有哪幾種Bali CoinRobert F Kennedy JrCARTEL價格

幣贏