加密劫持
本文约需 2 分钟阅读
加密劫持是一种未经许可使用他人计算机或服务器的计算资源来挖掘加密货币的网络攻击。由于它会暗中消耗受害者的 CPU 或 GPU,将加密货币转入攻击者的钱包,因此被归类为恶意软件的一种。其特点是隐蔽性极高:与勒索软件不同,危害不会立即显现,被发现之前持续数月的情况也并不罕见。
Coinhive 的登场与终结 (2017 - 2019)
加密劫持爆发式蔓延的契机是 2017 年 9 月出现的 Coinhive。 Coinhive 是一项只需在网站中嵌入 JavaScript 即可在访问者的浏览器中挖掘 Monero 的服务,最初作为替代广告的变现手段而受到关注。然而,网站运营者未经访问者同意便嵌入脚本的情况泛滥,安全厂商将其列为恶意软件的检测对象。随着 Monero 价格下跌和浏览器端对策的加强,其盈利能力恶化, Coinhive 于 2019 年 3 月终止了服务。不过,即使在 Coinhive 终止后,加密劫持本身仍以改变手法的方式延续至今。
三种感染途径
通过钓鱼邮件或恶意下载将挖矿软件安装到设备上。它会在操作系统启动时自动运行,在后台持续挖矿。被纳入僵尸网络的情况也很常见。
嵌入网站中的 JavaScript 在访问者的浏览器上执行挖矿。关闭浏览器即可停止,但也有通过弹出式下层窗口隐藏并持续运行的手法。
使用泄露的 API 密钥或访问密钥大量启动 AWS、 Azure、 GCP 的实例并用于挖矿。受害者会被收取高额的云使用费。
检测方法
在个人设备上,通过任务管理器或活动监视器查看 CPU 使用率是最简便的检测方法。如果某个特定进程持续占用 50% 以上的 CPU,就可能是加密劫持。在企业环境中,端点安全产品会检测挖矿软件的签名和行为。在云环境中,设置账单警报和定期轮换 IAM 访问密钥是基本的防御措施。
与勒索软件的比较
| 观点 | 加密劫持 | 勒索软件 |
|---|---|---|
| 目的 | 窃取计算资源 | 加密数据并索要赎金 |
| 隐蔽性 | 高 (长期不被察觉) | 低 (危害立即显现) |
| 危害的性质 | 电力与性能下降、云费用 | 数据丢失、业务中断 |
| 攻击者的收益 | 金额小但稳定 | 金额高但成功率低 |
| 检测难度 | 高 | 低 (一旦开始加密便显而易见) |
对攻击者而言,加密劫持是一种“低风险、低回报”的手法。与勒索软件不同,它不易引起执法机构的关注,能在受害者毫无察觉的情况下长期获利。因此,也有报告指出,利用漏洞入侵的攻击者会在部署勒索软件之前,将挖矿作为“过渡手段”加以实施。加密货币安全相关书籍 (Amazon)也可作为参考。另请一并参阅加密货币钱包的安全、勒索软件对策、浏览器扩展的安全。
这篇文章对您有帮助吗?