2017年勒索軟件賺足了眼球。在2018年中，眾多水平高超的黑客則轉(zhuǎn)向以非法方式進(jìn)行加密貨幣挖礦，以獲取可觀的經(jīng)濟(jì)收益。

由于美國(guó)國(guó)家安全局（NSA）黑客武器外泄、加密貨幣的盛行以及加密貨幣交易處理（又稱‘挖礦’）無需通過命令與控制鏈以返回至攻擊者處，這幾項(xiàng)因素的疊加使得惡意黑客活動(dòng)又呈現(xiàn)出新的面貌。面對(duì)數(shù)十億對(duì)此幾乎毫無戒心的普通互聯(lián)網(wǎng)用戶目標(biāo)，非法加密貨幣挖礦已經(jīng)成為最有利可圖的攻擊手段。全球范圍內(nèi)的犯罪分子因此而振奮不已。甚至開始對(duì)這種自動(dòng)運(yùn)作的“搖錢樹”產(chǎn)生一絲懷疑。

拼湊出“完美犯罪”中的每一塊圖形

在2017年年初，某黑客組織曾公布了一系列由美國(guó)國(guó)家安全局（NSA）打造的黑客武器，其中包括“永恒之藍(lán)”安全漏洞。這項(xiàng)漏洞使得攻擊者能夠輕松入侵各類開放微軟 Windows 計(jì)算機(jī)。

與此同時(shí)，加密貨幣提出的價(jià)值主張以及比物幣稀缺的現(xiàn)狀催生出了匿名程度更高的新幣種——門羅幣，其能夠更好地隱藏整個(gè)交易過程，也因此受到了“特定群體”的青睞。

挖礦程序

而作為這套惡意體系的第三大推動(dòng)因素，所有利用這類分布式交易處理程序的、基于區(qū)塊鏈技術(shù)的系統(tǒng)，都被稱為挖礦程序。其能夠持續(xù)為選定的加密貨幣幣種提供計(jì)算資源，并自動(dòng)收取相應(yīng)的代幣作為報(bào)酬。黑客能夠在世界各地毫無防備的計(jì)算機(jī)上悄悄安裝非法門羅幣挖礦程序。

Windows 服務(wù)器、筆記本電腦、Android 設(shè)備甚至是物聯(lián)網(wǎng)（IoT）端點(diǎn)，這一切都在每時(shí)每刻、每分每秒為惡意人士創(chuàng)造價(jià)值—，福布斯（forbes）報(bào)道稱這些壞家伙主要來自俄羅斯與中國(guó)的有組織網(wǎng)絡(luò)犯罪集團(tuán)。

除了偶爾出現(xiàn)的設(shè)備性能下降、電費(fèi)上漲之外，用戶基本沒有發(fā)覺自己已經(jīng)遭遇黑客入侵。在既沒有沒有勒索信息、又沒有泄露密碼或信用卡號(hào)碼的情況下，用戶往往不認(rèn)為自己已經(jīng)被入侵。

多方研究人員關(guān)注加密貨幣挖礦

非法加密貨幣挖礦的最大危害，在于受害者幾乎無法發(fā)現(xiàn)相關(guān)跡象。來自思科系統(tǒng)公司 Talos 威脅情報(bào)部門的外聯(lián)工程師尼克·比阿西尼、威脅研究員艾德蒙德·布魯馬金、技術(shù)負(fù)責(zé)人沃倫·莫瑟、信息安全分析師喬什·雷諾伊德、高級(jí)威脅情報(bào)分析師阿茲姆·霍迪貝夫以及高級(jí)威脅分析師大衛(wèi)·里貝伯格指出，在這種全新商業(yè)模式下，攻擊者不再需要引導(dǎo)受害者打開附件或進(jìn)行系統(tǒng)支持以運(yùn)行惡意腳本以勒索贖金。如今攻擊者正在積極利用受感染系統(tǒng)的計(jì)算資源進(jìn)行加密貨幣挖礦——這一攻擊向量既有利可圖，又易于實(shí)現(xiàn)。

CrowdStrike公司的高級(jí)顧問雷安·邁庫姆斯、高級(jí)顧問杰森·巴恩斯、高級(jí)安全研究員卡倫·蘇德以及顧問易安·巴頓指出，加密貨幣的旺盛購買需求與流動(dòng)性推動(dòng)其估值一路走高，漲幅令人驚訝。有利潤(rùn)的地方自然就有犯罪分子的身影。

也正因?yàn)槿绱耍偌由暇W(wǎng)絡(luò)安全廠商持續(xù)向市場(chǎng)投放勒索軟件保護(hù)方案，非法加密貨幣挖礦程序開始迅速取代勒索軟件成為攻擊者的首選方案。Palo Alto Networks 公司情報(bào)總監(jiān)雷安·奧爾森解釋稱，從近期以及潛在的長(zhǎng)遠(yuǎn)角度來看，采用相對(duì)老舊 CPU 配置的普通計(jì)算機(jī)所能帶來的實(shí)際價(jià)值，主要在于悄然運(yùn)行加密貨幣挖礦器，畢竟這類設(shè)備使用量不大，攻擊者已經(jīng)很難通過勒索軟件或其它感染軟件從中提取到真正有價(jià)值的信息。

建立僵尸網(wǎng)絡(luò)進(jìn)行挖礦

作為另一種常見黑客工具，攻擊者還經(jīng)常將大量受感染系統(tǒng)組合起來構(gòu)建起一套能夠協(xié)同運(yùn)作的體系，也就是僵尸網(wǎng)絡(luò)。利用這套網(wǎng)絡(luò)，攻擊者將能夠執(zhí)行分布式拒絕服務(wù)（DDoS）攻擊或者其它需要大量協(xié)調(diào)處理的攻擊活動(dòng)。然而，在非法加密貨幣挖礦場(chǎng)景下，各個(gè)節(jié)點(diǎn)將獨(dú)立于其它節(jié)點(diǎn)保持運(yùn)作。犯罪分子只需要安裝大量挖礦程序，即可坐收每個(gè)礦工節(jié)點(diǎn)所帶來的相對(duì)少量收益。Talos 團(tuán)隊(duì)解釋稱：“根據(jù)我們的觀察，目前已經(jīng)出現(xiàn)由數(shù)百萬套受感染系統(tǒng)組成的僵尸網(wǎng)絡(luò)，理論上此類系統(tǒng)在每年能夠產(chǎn)生超過1億美元的收益。更重要的是，攻擊者只需要投入極小的努力即可完成初步感染，而后即可在幾乎不可能被發(fā)現(xiàn)的前提下讓這條收入流長(zhǎng)期持續(xù)下去?！?/p>

目前存在多種能夠建立起不同僵尸網(wǎng)絡(luò)家族的安全漏洞，其中危害最大的當(dāng)數(shù) Smominru。以 Kafeine 為筆名的 Proofpoint 公司網(wǎng)絡(luò)安全研究員桑迪福德·奧利弗表示，Proofpoint 研究人員一直在追蹤大規(guī)模 Smominru 僵尸網(wǎng)絡(luò)，他們發(fā)現(xiàn)此類網(wǎng)絡(luò)的計(jì)算能力已經(jīng)為其幕后操縱者帶來數(shù)百萬美元的收益?？紤]僵尸網(wǎng)絡(luò)操縱者易獲得巨額利潤(rùn)及其基礎(chǔ)設(shè)施的巨大彈性，預(yù)計(jì)此類惡意活動(dòng)及其對(duì)受感染節(jié)點(diǎn)造成的潛在影響還將持續(xù)。

Smominru 僵尸網(wǎng)絡(luò)利用的是來自美國(guó)國(guó)家安全局（NSA）的“永恒之藍(lán)”安全漏洞。該項(xiàng)漏洞以 Windows Management Infrastructure（簡(jiǎn)稱WMI，Windows 管理規(guī)范，用戶可以使用 WMI 管理本地和遠(yuǎn)程計(jì)算機(jī)）為目標(biāo)。攻擊者通常會(huì)利用釣魚攻擊傳播惡意微軟 Word 文件附件。一旦目標(biāo)下載該文件，此附件就會(huì)運(yùn)行一套 Word 宏，進(jìn)而執(zhí)行對(duì)應(yīng) Visual Basic 腳本以運(yùn)行微軟 PowerShell 腳本，最終完成挖礦程序可執(zhí)行文件的下載與安裝。

這是另一種利用 WMI 安全缺陷的流行加密挖礦蠕蟲病毒。CrowdStrike 團(tuán)隊(duì)表示，目前已經(jīng)出現(xiàn)越來越多基于 WannaMine 加密挖礦蠕蟲病毒的高復(fù)雜性攻擊手段。其無文件特性以及對(duì) WMI 與 PowerShell 等合法系統(tǒng)軟件的利用，使得受害者很難、甚至不可能在缺少下一代反病毒方案的情況下對(duì)其進(jìn)行屏蔽?！?/p>

除了 WMI 之外，亦有部分研究人員報(bào)告稱攻擊者曾利用微軟 SQL Server （數(shù)據(jù)庫管理系統(tǒng)）以及甲骨文WebLogic等方案實(shí)施攻擊。就在上個(gè)月，研究人員還發(fā)現(xiàn)攻擊者開始掃描各開放調(diào)試端口，希望借此攻擊谷歌Android設(shè)備。

門羅幣越來越流行

把各類惡意挖礦活動(dòng)聯(lián)系起來的關(guān)鍵，正是匿名加密貨幣“門羅幣”。奧利弗表示，以門羅幣以及以太幣為代表的比特幣替代品在價(jià)值方面繼續(xù)保持著整體上升趨勢(shì)。對(duì)于希望快速獲得并進(jìn)行匿名交易的惡意攻擊者而言，這些都是極具吸引力的價(jià)值載體。

盡管其它加密貨幣也起到了一定推動(dòng)作用，但門羅幣正快速成為最受歡迎的幣種。Proofpoint 公司威脅運(yùn)營(yíng)中心副總裁凱文·易普斯坦指出，“門羅幣挖礦僵尸網(wǎng)絡(luò)的規(guī)模極為龐大，且主要由遍布全球的微軟 Windows 服務(wù)器構(gòu)成。長(zhǎng)久以來，惡意攻擊者一直在‘追隨金錢的腳步’，從過去幾個(gè)月的形勢(shì)來看，他們的注意力已經(jīng)集中在加密貨幣層面，包括利用各種非法手段以獲取比特幣及其它替代性幣種?！眾W利弗進(jìn)表示，2017年已經(jīng)觀察到獨(dú)立加密貨幣挖礦器與代幣挖礦模塊開始在現(xiàn)有惡意軟件當(dāng)中迅速擴(kuò)散。由于比特幣的挖掘?qū)Y源密集性的需求日益提升，因此在專用挖礦農(nóng)場(chǎng)之外，門羅幣成為更受歡迎的替代性選項(xiàng)?！?/p>

簡(jiǎn)單易行的僵尸網(wǎng)絡(luò)與匿名加密貨幣相結(jié)合，引發(fā)了非法活動(dòng)的爆發(fā)式增長(zhǎng)。Talos 團(tuán)隊(duì)補(bǔ)充稱，“加密貨幣挖礦器 payload 可能已經(jīng)成為攻擊者能夠選擇的最為簡(jiǎn)單的收入來源，出于經(jīng)濟(jì)性動(dòng)機(jī)的攻擊者越來越多地選擇這種獲利方式——而不再采取入侵主機(jī)以竊取文檔、密碼、錢包乃至私鑰的傳統(tǒng)獲利手段?！?/p>

挖礦從影響設(shè)備性能、耗電到企業(yè)服務(wù)中斷

與利用勒索軟件實(shí)施的直接攻擊相比，非法加密貨幣挖礦系統(tǒng)更為“良性”。Talos 團(tuán)隊(duì)表示，“大多數(shù)用戶都沒有注意到自身受到感染。其無需任何命令與控制活動(dòng)，且能夠在被刪除之前持續(xù)產(chǎn)生收益?！?/p>

所謂命令與控制（C&C），是指黑客在發(fā)現(xiàn)目標(biāo)并順利完成入侵之后，必須將提取到的信息發(fā)送回自己手中。但是非法加密貨幣挖礦則完全無需這類步驟，挖礦軟件只需要包含代表攻擊者加密貨幣錢包的匿名代碼即可。

那么，攻擊者到底竊取了什么？Talos團(tuán)隊(duì)表示，攻擊者所竊取到的實(shí)際只是受害者的計(jì)算資源，而且挖礦軟件從技術(shù)層面講也不屬于真正的惡意軟件。因此從理論角度出發(fā)，只要攻擊者愿意，受害者將始終作為僵尸網(wǎng)絡(luò)的組成部分存在。然而，竊取計(jì)算資源（及其相應(yīng)的電力消費(fèi)）也并不完全無害。CrowdStrike 團(tuán)隊(duì)表示，加密貨幣挖礦通常只被視為一種“騷擾”活動(dòng)，但最近他們已經(jīng)發(fā)現(xiàn)了一些因挖礦活動(dòng)影響商業(yè)運(yùn)營(yíng)的安全，部分企業(yè)甚至遭遇長(zhǎng)達(dá)數(shù)天甚至數(shù)周的服務(wù)中斷?！边@類僵尸網(wǎng)絡(luò)中的大部分節(jié)點(diǎn)似乎都屬于 Windows 服務(wù)器，其很有可能給關(guān)鍵業(yè)務(wù)基礎(chǔ)設(shè)施的性能造成極高的潛在影響，而服務(wù)器電力消耗量的提升也可能給企業(yè)造成巨大的成本支出。

加密貨幣最終可能被各大政府叫停

此類網(wǎng)絡(luò)攻擊活動(dòng)確實(shí)很難被發(fā)現(xiàn)，而這也正是其危險(xiǎn)性的最大體現(xiàn)。與傳統(tǒng)勒索軟件不同，企業(yè)需要要求軟件供應(yīng)商提供快速緩解技術(shù)，同時(shí)高度關(guān)注非法加密貨幣挖礦所引發(fā)的快速擴(kuò)散問題。

隨著時(shí)間的推移，預(yù)計(jì)受感染系統(tǒng)的數(shù)量將無法滿足犯罪分子難填的欲壑。到那個(gè)時(shí)候，犯罪分子之間將爆發(fā)日益升級(jí)的彼此對(duì)抗——即多個(gè)惡意攻擊者爭(zhēng)相感染同一套系統(tǒng)。

未來，全球計(jì)算基礎(chǔ)設(shè)施甚至有可能因眾多僵尸網(wǎng)絡(luò)的“吸血”而逐漸萎縮，最終無力供應(yīng)這種無休無止的資源需求，軟件緩解技術(shù)可能根本不足以阻止其快速傳播，最終理想的處理辦法很可能是各國(guó)政府一勞永逸地叫停加密貨幣。