聲明:本文來自于微信公眾號區(qū)塊鏈大本營(ID:blockchain_camp ),授權(quán)轉(zhuǎn)載發(fā)布。
來源 | Bitcoinmagazine
編譯 | 火火醬
老祖宗給我們留下過很多智慧結(jié)晶,比如一些流傳甚廣的句子:“成也蕭何、敗也蕭何”、“水可載舟,亦可覆舟”、“禍兮福所倚,福兮禍所伏”等等。
這些話放到現(xiàn)在來看,依舊是適用的。用“加密”這個(gè)技術(shù)來打比方,在今天無論是加密貨幣還是加密信息,“加密”都是為了“保護(hù)”某一樣事物。雖有“技術(shù)本無罪”的說法,但技術(shù)如何使用、用在什么地方卻是顯得尤為重要了。
接下來我們就來聊一聊,加密技術(shù)若被作為惡意攻擊的手段,會造成什么樣的局面?
加密技術(shù)的應(yīng)用
加密這種工具有兩種不同的工作方式。
它可以通過加密的方式來隱藏信息;
它也可以借助正確的信息來追蹤數(shù)據(jù)。當(dāng)人們把透明度作為加密貨幣或者比特幣的主要價(jià)值時(shí),他們談?wù)摰木褪沁@第二種工作方式。
大多數(shù)情況下,在金融交易中使用更為透明的加密技術(shù)(加密貨幣)作為法定貨幣的替代品,最終將導(dǎo)致企業(yè)實(shí)體和政府機(jī)構(gòu)的重大權(quán)利整合。但是,對于認(rèn)真對待加密未來的許多人來說,關(guān)于匿名黑客的討論并不多。去年,這些匿名黑客每天都在證明:只要普通用戶繼續(xù)犯同樣的操作錯(cuò)誤,互聯(lián)網(wǎng)就會為有不良行為的人提供新的獲利機(jī)會。
網(wǎng)絡(luò)安全威脅分析公司W(wǎng)ebroot剛剛發(fā)布了他們 2019 年最討厭的惡意軟件列表。 從“即服務(wù)”勒索軟件到復(fù)雜的網(wǎng)絡(luò)釣魚詐騙、加密挖礦和加密劫持,這份名單列表表明勒索軟件攻擊呈現(xiàn)復(fù)蘇趨勢。盡管加密攻擊有所減少,但只要加密貨幣仍然有價(jià)值,它們就不會完全消失。
2019 年惡意軟件列表:
https://community.webroot.com/news-announcements-3/nastiest-malware-2019-340824
Webroot報(bào)告中的研究數(shù)據(jù)來自他們每天保護(hù)的數(shù)十億網(wǎng)絡(luò)和設(shè)備。通過機(jī)器學(xué)習(xí)算法,Webroot每天為超過 7500 億個(gè)URL和超過4. 5 億個(gè)域評分。
為了更好的了解Webroot當(dāng)前遇到的惡意軟件威脅級別(特別是 2019 年發(fā)生了多少起加密挖礦和加密劫持事件),有媒體采訪了Webroot的安全分析師Tyler Moffitt。
勒索軟件是最大的威脅
除了在Webroot的工作以外,Moffitt還是一名加密貨幣倡導(dǎo)者。自 2017 年 12 月比特幣創(chuàng)下歷史新高 20000 美元前,他就一直在自家地下室里開采加密貨幣了。Moffitt挖礦時(shí)使用的是太陽能電池板,“幸好電費(fèi)還不算太高。”他笑著說。
把Webroot2019 年的報(bào)告和前一年的報(bào)告相比,總體的威脅水平看起來變化不大。隨著比特幣的整體價(jià)格從 2017 年底的歷史最高點(diǎn)下跌,加密挖礦和加密劫持威脅也呈下降趨勢。
這導(dǎo)致由伊朗黑客組織SamSam推廣的遠(yuǎn)程桌面協(xié)議(RDP)勒索軟件攻擊開始復(fù)蘇。去年年底,SamSam曾試圖在一家加密貨幣交易所將比特幣贖金兌換成伊朗里亞爾,隨后便遭到了追蹤和起訴。現(xiàn)在,RDP漏洞是中小型企業(yè)面對的最大攻擊媒介。
Emotet
Emotet是當(dāng)今互聯(lián)網(wǎng)上最大、最具傳染性的惡意軟件之一。Emotet是一個(gè)初始的第一階段載荷,其本質(zhì)上是在分析利用計(jì)算機(jī)環(huán)境的最佳方式。就經(jīng)濟(jì)損失而言,它可能是 2019 年最令人討厭、也是最成功的勒索攻擊軟件了,緊隨其后的是部署Ryuk的二級載荷TrickBot(感染后會導(dǎo)致大規(guī)模的全網(wǎng)加密)。
GandCrab
在SamSam被抓后,GandCrab憑借其聯(lián)盟計(jì)劃(該計(jì)劃最近已終止),成為了使 用最廣泛、經(jīng)濟(jì)上最成功的勒索軟件即服務(wù)(ransomware-as-a-service, RaaS)示例。據(jù)稱,該計(jì)劃已經(jīng)從其受害者那里獲得了超過 20 億美元的勒索。與大多數(shù)基于勒索軟件的攻擊一樣,GandCrab先感染計(jì)算機(jī),然后將其文件作為人質(zhì)進(jìn)行加密,直到受害者同意支付贖金。
RAAS的概念主要源于俄羅斯的網(wǎng)絡(luò)犯罪團(tuán)伙——商業(yè)俱樂部(Business Club)。從技術(shù)層面來講,這種模式并不會感染任何人。相反,它為有效載荷(在本例中指的是GandCrab,而不是TOR)提供服務(wù),客戶可以設(shè)置自己的標(biāo)準(zhǔn)并生成自己的變體勒索軟件,以根據(jù)其規(guī)范進(jìn)行部署。
與實(shí)際業(yè)務(wù)不同,RaaS模型依賴于具有內(nèi)置規(guī)范的腳本,該腳本會自動(dòng)將受害者贖金的30%返還給服務(wù)提供商。如果用戶每月都能感染一定數(shù)量的計(jì)算機(jī)的話,那么GandCrabde 就會削減其贖金比例,而GandCrabde的成功也依賴于此。Sodinokibi/REvil是自GandCrab退休以來于 2019 年出現(xiàn)的另一種勒索軟件變體。
加密挖礦和加密劫持威脅目前呈消退趨勢
盡管來自加密挖礦和加密劫持的威脅很可能永遠(yuǎn)都不會消失,但其在 2019 年已經(jīng)呈現(xiàn)出消退趨勢。這主要是由比特幣自 2017 年底和 2018 年初以來價(jià)格不斷下跌導(dǎo)致的。據(jù)報(bào)道,自比特幣價(jià)格從 2018 年峰值開始下跌以來,這一威脅已開始消退,環(huán)比下降約5%。
Moffitt說:“這是真的,當(dāng)比特幣價(jià)格飆升至兩萬美元時(shí),我們看到加密劫持和加密挖礦有效載荷飆升至頂點(diǎn)。其在一月份價(jià)格暴跌,但隨后在 6 月份又迅速回升。”
這兩種加密貨幣挖礦攻擊的區(qū)別在于:當(dāng)用戶使用部署了加密貨幣挖掘cookie的腳本訪問網(wǎng)站時(shí),瀏覽器選項(xiàng)卡上就會發(fā)生加密劫持。而加密攻擊是計(jì)算機(jī)上用戶本無意下載或啟用的可執(zhí)行有效載荷。
與勒索軟件攻擊相比,這兩種基于加密挖礦的黑客攻擊都在具有高質(zhì)量硬件的計(jì)算機(jī)環(huán)境中十分流行,而被黑客攻擊的受害者不太可能會支付贖金。同樣地,這些攻擊更有可能會帶來即時(shí)地(盡管規(guī)模較小)經(jīng)濟(jì)回報(bào)。它們十分隱蔽,不需要受害者的許可和知曉就可以發(fā)起攻擊。正如Moffitt所指出,“眾所周知,在使用加密貨幣付款時(shí),沒人會投訴或抱怨什么。”
有人可能沒有注意到他們的計(jì)算機(jī)正在被黑客劫持來挖掘加密貨幣,以為黑客并不會存在于現(xiàn)實(shí)生活中。計(jì)算機(jī)一旦受到感染,速度會減慢,并且其CPU使用率也會激增。但黑客們找到了解決此問題的方法,他們根據(jù)受害人是否在使用受感染的電腦來擴(kuò)展加密貨幣挖掘。如果計(jì)算機(jī)正在接收鼠標(biāo)或者鍵盤輸入,那么這意味著有人在使用它,那么挖掘程序就會縮減,以減少對計(jì)算機(jī)整體CPU的占比。然后,當(dāng)用戶停止了計(jì)算機(jī)工作時(shí),它將恢復(fù)為100%容量。
Monero
迄今為止,monero (XMR)是挖礦和加密劫持攻擊中最流行的加密貨幣。根據(jù)Moffitt的說法,這主要不是因?yàn)閙onero是一種只有發(fā)送方和接收方可以查看交易分類賬簿的隱私幣(當(dāng)然,這仍是一個(gè)優(yōu)點(diǎn)),而是因?yàn)閙onero的挖掘算法具有抗ASIC的特性。
monero的開發(fā)團(tuán)隊(duì)將其作為一種削弱大型挖礦公司(比如Bitmain和Dragonmint)的方法。這些公司通常會使用專門的高性能挖礦硬件來主導(dǎo)或壟斷其他硬幣的hash率市場份額。Monero定期軟分叉能夠更改其算法,使專門制造的微芯片比消費(fèi)級硬件(包括筆記本、臺式機(jī)和顯卡)更快失效或無效。
“Monero開發(fā)團(tuán)隊(duì)十分討厭這一事實(shí),即某些制造商或供應(yīng)商會壟斷采礦池中的硬件類型(基本上每個(gè)開采比特幣的人都會使用其中一家公司生產(chǎn)的特定硬件)。因此Monero每幾個(gè)月就會通過軟分叉來更改一次算法,這樣就沒人能開發(fā)出特定的芯片進(jìn)行有效的monero挖掘。”
為使用消費(fèi)級硬件的礦工創(chuàng)造大量機(jī)會的同時(shí),也帶來了一個(gè)意外的結(jié)果——monero也創(chuàng)造了一個(gè)黑客夢。這意味著黑客可以從挖礦中獲利,而不需要負(fù)擔(dān)除了部署有效載荷以外的成本,無論如何他們也都已經(jīng)裝備齊全了。
The Coinhive Debacle
黑客在monero的挖礦算法中發(fā)現(xiàn)機(jī)會的最著名例子之一來自Coinhive的加密劫持腳本。目前沒有證據(jù)能夠證明Coinhive設(shè)計(jì)了供黑客用作惡意軟件的加密采礦腳本。假設(shè)這是真的的話,Coinhive設(shè)計(jì)了用于網(wǎng)站的加密劫持腳本,能夠合法地通過在打開的瀏覽器標(biāo)簽頁上代替在線廣告進(jìn)行加密貨幣挖掘,從而產(chǎn)生收入。
Coinhive設(shè)計(jì)了用于網(wǎng)站的加密劫持腳本:
https://bitcoinmagazine.com/articles/unicefs-hope-page-mines-cryptocurrency-through-visitors-computers
Moffitt說:“它在 2017 年 9 月爆掉了。我敢說,在所有運(yùn)行Coinhive腳本的賬戶或活動(dòng)中,有95%到98%都是犯罪分子,他們黑進(jìn)并闖入了不屬于他們的網(wǎng)頁,并托管了該腳本,然后Coinhive從中獲得30%利潤。”
當(dāng)Coinhive被告知其腳本正在被人非法使用時(shí),他們立即封掉了一名黑客的賬戶。但是直到收到來自被感染網(wǎng)站的管理員通知時(shí),他們才停止運(yùn)行其腳本。這或許是因?yàn)镃oinhive無法區(qū)分感染其腳本的網(wǎng)站和自愿使用其服務(wù)的網(wǎng)站。但當(dāng)時(shí)媒體輿論實(shí)在太糟了,而他們的解釋又沒起什么效果,因此他們在 2019 年 3 月關(guān)閉了。整個(gè)加密貨幣市場,特別是monero,都處于年度低谷。
自從Coinhive被關(guān)閉以來,出現(xiàn)了很多模仿者,比如Cryptoloot和Coinlmp,大多也部署挖掘monero的腳本。
Coinhive被關(guān)閉:
https://www.webroot.com/blog/2019/03/15/post-coinhive-whats-next-for-cryptojacking/
雖然加密挖礦攻擊可能正在減少,但Moffitt堅(jiān)稱其仍是一個(gè)很大的威脅,“我們已經(jīng)阻止了超過 100 萬次的嘗試企圖,仍有 8 萬個(gè)URL正在運(yùn)行加密劫持攻擊。”
現(xiàn)在,這些攻擊更多地集中在免費(fèi)的在線流媒體服務(wù)平臺和色情網(wǎng)站上,訪問者在這些網(wǎng)站的單個(gè)網(wǎng)頁上的停留時(shí)間比平均訪問時(shí)間要長得多。
此外,任何對云計(jì)算巨大資源的訪問也為想要挖掘加密貨幣的黑客提供了難得的機(jī)會。媒體記錄的最近一次嘗試是在本月早些時(shí)候發(fā)生的,當(dāng)時(shí)黑客冒充游戲開發(fā)人員,構(gòu)建了一個(gè)龐大的AWS賬戶網(wǎng)絡(luò)來挖掘加密貨幣。以下是 2019 年流行的另外兩種加密挖礦攻擊:
Hidden Bee:Hidden Bee是一個(gè)提供加密挖礦有效載荷的漏洞,開始于去年的IE漏洞,現(xiàn)已通過stenography速記技術(shù)和WAV媒體格式閃存漏洞演變成在JPEG 和PNG圖像內(nèi)的有效載荷。
Retadup:Retadup是一種具有超過850, 000 次感染的加密采礦蠕蟲,在其控制了惡意軟件的命令和控制服務(wù)器之后,于八月被法國國家憲兵隊(duì)的網(wǎng)絡(luò)犯罪戰(zhàn)斗中心(C3N)刪除。
媒體記錄的最近一次攻擊:
https://threatpost.com/cryptomining-crook-steals-game-developers-identity/149099/
未來的危機(jī)
雖然加密劫持似乎已不再處于鼎盛期,并且也變得相對容易阻止,但對于不想處理勒索軟件的黑客來說,加密挖礦有效載荷仍然是一個(gè)絕佳的機(jī)會。
Moffitt說:“這些攻擊是無法追蹤的,也無法阻止付款進(jìn)行,當(dāng)你從采礦池中取得加密貨幣時(shí),它基本上就已經(jīng)被洗過了。”
此外,他認(rèn)為加密挖礦作為一種有效載荷,可以應(yīng)用于任何有Wi-Fi的智能設(shè)備,這一點(diǎn)吸引了全世界的目光。
大規(guī)模IOT感染(比如 2018 年由受感染的MikroTick路由器引起的那次)是一種攻擊媒介,而他認(rèn)為這類感染將會增多,并且會隨著價(jià)格的上漲呈現(xiàn)出滾雪球一般的增長趨勢。
