業餘加密貨幣劫持和針對Mac的攻擊成為2018年挖礦惡意軟件的主流

2017是加密貨幣劫持( cryptojacking)非常活躍的一年。據Symantec發布的數據顯示,加密貨幣劫持增加了8500%。2018年挖礦惡意軟件似乎更加普遍,Cyber Threat Alliance9月的報告顯示,自今年1月1日起,加密貨幣劫持仍有500%的增長空間。

然而,在單純的增長背後,情況其實更為複雜。儘管有些機構的季報顯示,2018年前兩個季度檢測到的挖礦惡意軟件數有所增加,而其他報告則顯示這一數量實際上已經減少了。

雖然自去年以來加密貨幣價格持續波動以及軟件漏洞推動了挖礦惡意軟件的增長,但也存在一些其他因素,例如業餘加密貨幣劫持者的入場,以及合法挖礦成本的影響。

業餘加密貨幣劫持者

如果談到加密貨幣劫持業的最主要趨勢,就要提到針對門羅幣的挖礦惡意軟件。實際上,Palo Alto Networks於7月報告顯示,在所有檢測到的惡意軟件中,針對門羅幣的軟件占比高達84.5%,相比之下針對比特幣的惡意軟件占8%,其他加密貨幣占約7%。

Internet

原因很簡單: 門羅幣 (XMR) 不僅是一種隱私幣(privacy coin),也是市值最具價值的隱私幣,其市值總排名為第10。門羅幣使用Cryptonight工作量證明(PoW)算法,其將用戶的輸入與其他用戶的輸入混合,還使用“環保密交易(ring confidential transactions)”來模糊正在交易中的XMR數量。因此,它是網絡犯罪者的理想選擇。

門羅幣在2017年已成為最受歡迎的加密貨幣之一,而2018年出現了許多與前期不同的發展。最值得注意的是,加密貨幣劫持逐漸成為業餘“黑客”的聚集地,他們被廉價的挖礦惡意軟件和顯著的經濟回報所吸引,加入到網絡非法活動中。據俄羅斯網絡安全公司Group-IB表示,黑市網絡中“充斥着廉價的挖礦軟件”,價格低至0.50美元。

目前此類軟件數量暴增,2017年,Group-IB發現,地下論壇上發布了99條待售加密貨幣劫持軟件的公告,而在2018年,這一數量為477,增加了381.8%。該公司在其報告中指出:

"挖礦市場的低門檻導致人們不需要專業技術和黑客經驗,就能輕鬆進行惡意挖礦"

持續增長 

PC換句話說,加密貨幣劫持已成為一些犯罪者的業餘愛好,數千名業餘黑客蜂擁而入。這也許可以解釋今年的檢測數量顯着增加的原因,卡巴斯基實驗室(Kaspersky Labs)向Cointelegraph表示,PC加密貨幣劫持受害者數從2016/17年的190萬增加到2017/18年的270萬。卡巴斯基實驗室的惡意軟件分析師Evgeny Lopatin表示:

“挖礦模型 […] 比起其他攻擊矢量來說更為穩定、更易激活。通過對受害者發起攻擊,用他們的CPU或GPU算力來挖掘加密貨幣,再通過合法交易所和交易將其轉化為一般貨幣。”

當然,每當各種“檢測”出現時,很有可能是由於檢測方法的改進,導致檢測值的增加。 “不過,這不是主要推動因素,因為我們確實看到了加密貨幣劫持的實際增長,”Lopatin表示。

“我們的分析表明,全球範圍內,越來越多的犯罪者開始使用加密貨幣挖礦惡意軟件。”

McAfee在4月的一份報告中指出,在檢測到的軟件中CoinMiner占比最高,CoinMiner是一種惡意軟件,它秘密地將從CoinHive XMR挖掘算法中獲取的代碼插入到受害者的計算機中。當受害者從網上下載受感染的文件時,這種情況就會發生,而2018年這樣的漏洞現在也開始對Apple Mac造成影響,而Mac一直被認為比Windows系統更安全。

美國安全公司Malwarebytes首先指出這一現象, 該公司在5月的一篇博文中報道了一項全新加密貨幣挖礦惡意軟件,該軟件利用了合法XMRig挖礦軟件。該公司Mac和移動總監Thomas Reed表示:

"通常,Mac惡意軟件是在用戶從私人網站下載和安裝假冒Adobe Flash Player等軟件,同時通過一些誘導文件使用戶打開下載的程序時入侵Mac系統。"

事實上,這並不是首個被發現的Mac挖礦惡意軟件,Reed表示這些軟件的出現是在“例如Pwnet、CpuMeaner和CreativeUpdate等macOS加密貨幣挖礦軟件出現之後被開發的。”

EternalBlue

不過,雖然許多業餘黑客加入密貨幣劫持,但今年出現的許多攻擊仍然來自許多“精英”黑客機構。網絡安全公司Proofpoint在1月底報告稱,加密貨幣殭屍軟件Smominru已經傳播至超過50萬台計算機,而主要歸結於美國國家安全局National Security Agency)在網上泄露的稱為EternalBlue的Windows漏洞。

2017年五月,WannaCry對這一名為EternalBlue的漏洞發起了攻擊。Cyber Threat Alliance (CTA)稱這也是今年加密貨幣劫持增長459%的主要原因之一。

Worryin讓人擔憂的是,CTA的報告顯示,只有在加密貨幣劫持成功率更高、收益更高的情況下,其才會出現增長: 

"當加密貨幣劫持黑客資金充足時,這些組織將在未來作出更複雜的攻擊。例如,幾個大型殭屍軟件(Smominru、Jenkins Miner、 Adylkuzz) 已經獲取了幾百萬美元。"

而目前情況已經很糟了,CTA表示,受到挖礦惡意軟件感染後,受害者的損失將不可估量。

"總的來說,當黑客們將加密貨幣挖礦軟件植入大型企業網絡中後,後者將出現能耗增加、運營效率減退、停工、修理硬件損害等等麻煩,與相對較小規模的加密貨幣攻擊相比,大企業付出的代價實在太大。 "

成本

當談到加密貨幣劫持,就不得不提到其成本,不僅是受攻擊者會付出的代價,也有黑客們的相關成本。加密貨幣劫持主要是竊取電力和CPU, 這也就意味着,其普遍性不僅是在門羅幣和其他加密貨幣保持其價值的情況下會出現,只要挖掘XMR和其他加密貨幣保持高成本的情況下,加密貨幣劫持都會存續下去。

據CryptoCompare的門羅幣盈利能力計算器計算結果顯示,使用具有600 H / s哈希率的顯卡(如Nvidia GTX 1080)以及100W電力(非常保守的估計)的美國個體礦工,每月盈利僅有0.8033美元。顯然,看上去並沒那麼誘人,這也是很多業餘愛人士轉向加密貨幣劫持的一個重要原因,因為如果不是大型礦業公司,個人在挖掘XMR的同時自行支付電費,挖礦的性價比其實並不高。

然而,最近有跡象顯示,門羅幣挖礦利潤在上升,即使對於小規模礦工也是如此。這一趨勢是在今年4月6日的硬分叉之後發生的,這一分叉改變了其的PoW協議,使其與ASIC礦工不再兼容,ASIC在挖礦業(特別是比特幣挖礦)占主導地位。

BitInfoCharts顯示,當這一硬分叉完成後,門羅幣的reddit頁面報告顯示,門羅幣挖礦利潤增加了300%至500%,儘管這一現象在幾周後就結束了。 

MONERO同樣,在承諾永遠抵制ASIC挖礦設備上,門羅幣也非常謹慎。開發人員dEBRYUNE和dnaleor在二月份的博文中談到:“人們認識到ASIC可能在任何基於工作量證明(的加密貨幣)發展中都是不可避免的....我們也承認ASIC可能是不可避免的,但我們認為,任何向ASIC主導網絡的過渡都需要儘可能實現平等,才能推進去中心化。”

下降?

假設合法挖掘XMR收益增加,這就解釋了一些網絡安全公司觀察到的加密劫持增長趨於平緩的現象。 Malwarebytes在其2018年二季度報告中透露,惡意挖礦軟件檢測數從3月初的500萬高峰下降到6月初的150萬低點。這一下降趨勢可能與其他分析師所報道的情況相衝突,但由於Malwarebytes的研究是最新公布的,也可以說是最具權威性的。

至於這一下降現象是合法挖掘門羅幣的收益上漲、企業和個人對加密貨幣搶劫威脅更加警惕,還是加密貨幣價值普遍下降的結果,暫不得而知。不過,Malwarebytes預測稱,在未來,“加密貨幣惡意挖礦會淡出舞台。 “當然,我們仍會看到很多加密貨幣惡意挖礦的存在,但目前來看這一行為已經過了高峰期了。”