2017年,勒索软件铺天盖地。今天,聪明的黑客都转向通过非法加密挖矿来填满自己的腰包。
一种美国国家安全局泄露的黑客工具、一种相较比特币更匿名的加密货币,以及无需将指令与控制链回黑客的“良善”挖矿软件的结合,导致我们现在拥有了另一种完美组合——借助非法加密挖矿而得的不义之财、渺茫的被探测机会与数十亿毫无戒心的攻击目标,它甚至可能不在乎黑客入侵。
全世界的犯罪分子都为躺着睡觉便能赚钱而高兴,虽然其容易程度仍然令人怀疑。
组装“完美犯罪”的碎片
2017年初,一个黑客组织向外发布了包括EternalBlue在内的一些“NSA造”黑客工具,它们能啪得一下打开微软Windows。
与此同时,对比特币缺乏真实匿名性不悦的加密货币提倡者,开发出了门罗币——一款能更好隐藏犯罪交易痕迹的竞争币。你猜怎么着?罪犯都喜欢它。
除此之外,黑客非法加密挖矿程序植入还有第三个要素,即以下事实——无论选择何种加密货币进行交易处理,基于区块链的所有矿工都会自动收到付款。换言之,黑客有能力在世界各地不设防的电脑上,秘密安装非法门罗币挖矿软件。
以上三者完美结合后,于是,Windows服务器、笔记本电脑、Android设备,甚至物联网终端,都开始昼夜不停地为不法分子赚钱。其中,最为显眼的当数俄罗斯人的有组织犯罪集团。
除了偶尔的性能缓慢和更高的电费账单,你也许根本不知道自己的电脑被黑。没有勒索赎金的通知,密码或信用卡号没有被盗,你甚至无法说服别人相信你的电脑出现了问题。
弄清楚威胁
非法加密挖矿最险恶的一面是,在受害电脑的雷达检测下仍能良好运行。“在这种新商业模式中,攻击者不再要求打开附件,或借助系统劫持与要求赎金来运行恶意脚本的方式惩罚受害者。”思科“Talos”威胁情报部门解释,“现在,黑客正积极利用被感染系统的资源从事加密货币挖矿。”Talos团队成员,包括外联工程师NickBiasini、威胁研究员EdmundBrumaghin、技术负责人WarrenMercer、信息安全分析师JoshReynolds、高级威胁情报分析师AzimKhodijbaev,以及高级威胁分析师DavidLiebenberg。
这种攻击软件既有利可图又便于安装。CrowdStrike团队高级顾问RyanMcCombs与JasonBarnes、高级安全研究员KaranSood与顾问IanBarton皆表示:“算力购买和流动性的增加推动了估值和波动性,使其比以往任何时候都高。自然,但凡有利润的地方,犯罪不会太远。”
其结果是,非法加密挖矿正在快速取代勒索软件成为主要攻击软件,尤其是当网络安全供应商将预防勒索软件引入市场的时刻。“从近期和长期来看,一台只有常规CPU的电脑,令其安静地进行加密货币挖矿的价值,可能高于用勒索软件或一些其他数据窃取软件使之感染。”PaloAlto网络情报总监RyanOlson解释道。
构建僵尸网络
僵尸网络由大量受损系统协同工作,是一种常见黑客工具。然而,在非法加密挖矿情况下,各节点独立工作,因每个矿工生成金额相对较小,犯罪分子只需安装挖矿软件。“Talos观察到由数百万被感染系统组成的僵尸网络,从理论上说这些系统每年可以创造逾1亿美元的收入。”Talos团队继续说道,“初次感染后,这一切就可以轻而易举地完成。更重要的是,它几乎不会被探测到,这一收入流是永续的。”
实际上,不同开发会生成不同的僵尸网络。Smominru在其中最具危险性。“Proofpoint的研究人员一直在追踪这个大型Smominru僵尸网络,其组合算力已为运营商赢得了数百万美元。”Proofpoint的网络安全研究员SandifordOliver解释,“鉴于僵尸网络运营商能获得的惊人利润以及僵尸网络及其基础设施的韧性,我们预计这些活动将持续下去,包括其对受感染节点的潜在影响。”
Smominru利用了来自NSA、以微软WMI技术为目标的EternalBlue漏洞。黑客通常用微软Word文档附件进行网络钓鱼攻击。一旦攻击目标下载文件,它就会运行一个Word宏。Word宏执行VisualBasic脚本,后者反过来运行MicrosoftPowerShell脚本来下载并安装挖矿可执行软件。
WannaMine是另一种利用WMI缺陷的加密挖矿蠕虫病。“CrowdStrike发现WannaMine有更为复杂的功能。其无档性及其对WMI、PowerShell等合法系统软件的利用,使各机构很难——当然也并非不可能——在缺少某种形式的下一代反病软件的情况下阻止它。”CrowdStrike团队说。
然而,WMI不是唯一的漏洞。一些研究人员报告了通过微软SQL服务器和OracleWebLogic进行的攻击。就在上月,通过扫描打开调试端口来攻击Google安卓设备的场景已经出现。
把钱拿出来
使整个邪恶产业团结在一起的关键是匿名加密货币门罗币。“门罗币、以太坊等比特币竞争币的价值继续保持整体上升,”Oliver说道,“从而使它们进入了想要快速盈利与匿名交易的黑客的视野。”
虽然黑客也会利用其他加密货币,但门罗币最受欢迎。Proofpoint威胁运营中心副总裁KevinEpstein说:“门罗币挖矿的僵尸网络非常庞大,主要由遍布全球的微软Windows服务器组成。过去数月,我们不断看到攻击者“跟着钱走”。这笔钱一直存在加密货币中,攻击者则正将注意力转向各种非法手段以获得比特币及其竞争币。”
Oliver支持这一观点。“去年,我们在现有的迅速扩散的恶意软件中观察到了独立加密货币挖矿软件和加密货币挖矿模块,”他说,“由于比特币在专用矿场以外地区已成为稀缺资源,人们对门罗币的兴趣急剧增加。”
简单的僵尸网络和匿名加密货币的结合,导致了非法挖矿活动的急剧膨胀。“对黑客来说,加密货币挖矿装备可能是最容易赚钱的方法之一,不需要试图破坏主机以窃取文件、密码、钱包、私钥。”
在雷达下飞行
相比勒索软件对商业的直接、毁灭性攻击,非法加密挖矿显然颇为良善。Talos团队说:“大多数用户几乎没有注意到它。它在被删除前没有发出任何指令与控制却一直在产利。”
指令和控制是一个术语,黑客们一旦找到目标就必须“打电话回家”以便将货物过滤。非法加密挖矿不再需要这一步骤。挖矿软件只需要代表攻击者加密钱包的匿名代码。
那么,被盗的究竟是什么?“攻击者不窃取受害者算力以外的任何事物,挖矿软件就技术而言也不是恶意软件。”Talos团队继续说道,“所以,从理论上讲,只要攻击者愿意,被侵电脑能作为入侵者僵尸网络的一部分被保留。”
但是,窃取算力及其所需的必要电力并不全然是良善的。“CrowdStrike最近发现了几个挖矿影响商业运作的案例,一些公司数天乃至数周无法运转。”CrowdStrike团队补充道。
Oliver同意此说法:“因为这一僵尸网络中的大多数节点是Windows服务器,所以对潜在的关键商业基础设施的性能影响可能很大。服务器运行的能源消耗增加的成本,可能更接近于其容量。”
非法加密的未来
虽然这一网络攻击在雷达下看起来可能是良善的,实际上它却是这种攻击策略之所以危险的原因。不像勒索软件,企业需要软件供应商给出快速缓解危机的技术,非法挖矿软件的传播几乎无法检测。
因此,随着时间推移,我们可以预测受损系为犯罪分子赚钱的方式将广泛流行。某种程度上,罪犯会摩肩接踵地试图去感染同个系统。
就此而言,当全球计算基础设施在多重僵尸网络重压下大面积崩溃时,我们将会看到算力普遍“断电”。
事实上,这个问题非常致命,软件缓解技术可能不足以阻止它的传播。与此相反,各国政府可能不得不一劳永逸地禁止加密货币。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。