背景介绍

近期，黑客利用恶意软件为其挖掘数字货币的网络攻击日益猖獗。随着比特币和其他数字加密货币的交易量暴增，这种攻击模式在最近几个月也越来越流行。

今年年初，包括美国和英国政府机构在内的数千家网站都被一组代码感染了数小时，导致了受感染网站的电脑进行挖掘数字加密货币。随后，电动汽车制造商特斯拉（Tesla）也成为加密货币挖掘恶意软件攻击的受害者，黑客利用了一个不安全的Kubernetes控制台，访问并提取特斯拉的云环境的计算机处理能力，将其用于挖掘加密货币。

可以说，黑客越来越倾向于采用加密技术——即利用挖掘加密货币的恶意软件感染企业基础架构，从而获取更多的利益。所以他们隐藏恶意软件的方法也变得日益精明。

企业对于关键数据在勒索软件攻击中被盗或加密的行为迹象，也是越来越关注。而“加密劫持”（Cryptojacking）却是一种近乎于隐身的技术，企业通常很难察觉，其造成的损害不言而喻。如果加密货币挖掘的恶意软件感染了云基础设施或电费账单，则可能会立即产生财务影响。它还可能通过减慢机器速度，来损害设备的生产效率和性能，而后者的损害结果显然不如前者易于察觉。

Flashpoint公司情报分析师Carles Lopez-Penalver表示，

对于不是专门用于挖掘加密货币的CPU而言，此举会对硬件造成很大的损害，可能会造成计算机资源消耗过快或是运行速度变得更慢。

什么是“加密劫持”（Cryptojacking）？

Cryptojacking=Cryptocurrency（加密货币）+ Hijacking（劫持），它的字面意义是“劫持加密数字货币”，实际意义则是劫持用户的计算机设备，并利用其CPU或其他处理器来挖掘虚拟加密货币，因而叫做：“加密劫持”。

根据Symantec公司的一份最新报告显示，由于过去一年虚拟加密货币价格疯涨，因而2017年第四季度，“加密劫持”现象出现的频率已经增加了85倍，占据所有网络攻击的16%。而在12月里，所占比例达到了24%。

Lopez-Penalver表示，“加密劫持”正处于早期阶段。市场上现存的防护产品对其检测成功率还很低，如果说有什么东西能够阻止“加密矿工”（crypto miners），那一定非训练有素的神经网络莫属了。

这也正是目前一些安全厂商的努力方向——使用机器学习和其他人工智能（AI）技术来识别潜在的加密挖掘行为，即便这种特殊的方式以前从未出现过。

网络加密挖矿检测

许多供应商正在检测网络的加密挖矿活动。SecBI公司首席技术官Alex Vaystikh表示，

现在检测是一项非常棘手的工作。因为加密劫持可以适用于任何设备——从移动设备到物联网、笔记本电脑、台式机以及服务器等；总之加密劫持的应用非常非常广泛。

不过，Vaystikh表示，所有的加密劫持恶意软件都有一个共同点——都是为了挖掘任何类型的加密货币。您必须能够进行通信，接收新的哈希值，然后在计算出它们之后，将它们返回给服务器并将其放入正确的钱包之中。这就意味着检测加密挖矿的最佳方式就是监视网络是否存在可疑活动。

不幸的是，加密挖矿流量很难与其他类型的通信区分开。实际的通信消息非常短，而且恶意软件编写者会使用各种技术来混淆它们。Vaystikh说，

想要为这样的区分工作编写出一套规则是非常困难的事情。所以很少有公司能够检测到它。几乎所有的大企业都拥有这些数据，但问题是，想要查看他们拥有的大量数据非常非常困难。

SecBI公司的“自主调查”（Autonomous Investigation）技术可以通过使用机器学习在企业网络发现的海量数据中寻找可疑模式来处理这一问题。Vaystikh说，SecBI会通过观察几千个因素来识别加密挖矿流量。例如，加密挖矿流量是周期性的，尽管恶意软件编写者会尝试通过随机化间隔来掩饰通信的规律性质。

此外，加密挖矿也具有不同寻常的消息长度。传入流量、散列，是很短的；但输出结果会稍长。通过与正常的互联网流量相比，我们会发现，加密挖矿流量的初始请求是短的，而响应结果是长的。Vaystikh 解释称，在比特币挖掘中，我实际上传的内容比我下载的要多一点，这就是我们的关注重点。据悉，SecBI的“自主调查”（Autonomous Investigation）技术可以应用于像亚马逊这样的公共云基础设施以及内部网络之中。

即使流量是加密的（加密流量约占所有网络流量的60%），也可以通过通信的周期性、消息的长度以及其他细微指标来帮助系统发现感染现象。事实上，当加密挖矿首次出现，如果SecBI平台并不知道它究竟是什么时，就会将其标识为“可能是恶意的”。Vaystikh继续说道，所以现在我们的用户看到它后就会知道，“这是加密挖矿！”而且，我们的软件也已经能够正确地将其分类。

在过去的几个月中，SecBI的系统已经学会检测加密劫持，并将其正确分类，甚至可以立即采取缓解措施。例如，您可以自动向防火墙发布新规则，以隔离流量并阻止它。

Vaystikh补充道，

不是每个人都会选择自动化该响应。我们的技术能够推荐最佳的解决方案——重新成像该设备或阻止流量流入目的地——而且客户可以根据特定情况选择最佳的行动方案。

另一家正在分析网络流量以发现潜在加密挖矿活动的安全厂商是Darktrace及其企业免疫系统（Enterprise Immune System）技术。该公司网络智能和分析主管Justin Fier表示，

我们在网络级别进行异常检测，并可以捕获任何计算机上的细微偏差。如果你的计算机偏离日常习惯并突然开始做一些前所未见的事情，那么很容易就能发现。而当这种行为发生在数千台计算机上时，发现起来就更容易了。

加密挖矿活动并不仅仅涉及脆弱的计算机设备。Fier补充道，

任何带有计算周期（computing cycles）的设备都可以被用于加密挖矿活动。我们身边充斥着各种联网设备，它们可以连接成一台超级计算机来挖掘加密货币。一个恒温器可能不会产生多大作用，但是当你把它放在一个大的采矿池中时，这个采矿池中的千千万万台恒温器就能够发挥巨大的效用。

另一种不可忽视的力量是基于浏览器的加密挖矿平台，如Coinhive。使用Javascript，Coinhive能够将代码隐藏到网站中，并使用浏览器打开一个微小窗口隐藏在用户电脑系统状态栏下方，访问电脑硬件来开始挖掘，它会加速受害者用户电脑CPU老化，并减慢用户系统运行速度。 

Bad Packets Report安全研究员Trope Mursch说，防止基于浏览器的加密攻击的一个有效方法是关闭JavaScript。这是一个核心选项，因为JavaScript的使用遍布整个网络。此外，杀毒软件还可以阻止一些基于浏览器的攻击，包括Malwarebytes、ESET、Avast、卡巴斯基和Windows Defender等。

Mursch继续说道，

不过它们有其局限性。因为杀毒软件公司和浏览器供应商尚未明确谁应该负责阻止恶意的JavaScript。此外，更有针对性的方法是安装浏览器扩展，我的推荐是minerBlock。

另一个可行的扩展是NoCoin，它在阻止Coinhive方面做得不错。但是WatchGuard Technologies信息安全威胁分析师Marc Laliberte警告称，

也不能完全信任这些扩展程序，因为过去也发生过几起合法扩展感染加密货币挖掘恶意软件的案例。

像SecBI和Darktrace一样，WatchGuard公司也为加密劫持提供了基于网络的防御策略。Laliberte介绍称，

WatchGuard防火墙可以代理连接并检查流量，并寻找像加密货币矿工这样的恶意行为，在过去的一个月中，我们在美国排名前十的攻击名单中成功发现了两名加密货币矿工。

智能终端加密挖矿检测

加密劫持检测的另一种方法是保护终端。根据Tripwire产品管理和战略副总裁Tim Erlin的说法，攻击者可以通过使用加密技术和不太明显的通信渠道来逃避基于网络的防御。他说：

检测加密货币挖掘行为最有效的方法是直接在端点上进行检测。这就是为什么能够有效监控系统变化并确定它们是否被授权最至关重要的原因。

终端保护厂商CrowdStrike的服务总监Bryan York说，端点保护技术必须足够智能才能捕获以前未知的威胁，而不仅仅是阻止已知的不良活动。当然，它也不仅限于阻止可执行的恶意软件，攻击者现在正在使用脚本语言，利用在您的计算机和系统合法使用的软件，以非法的方式使用它们。

CrowdStrike既可以在传统的终端设备（如员工桌面）上运行，也可以在基于云的虚拟机上运行。他说：

我们遇到了一些在云环境中安装加密挖掘软件的案例，例如AWS EC2实例。对此，我们也是采取了类似的方法来防止这些问题。此外，了解这些恶意软件是如何到达目的地的，需要使用AWS提供的API日志数据，这使得这些调查变得更具挑战性。

“内部人员”加密挖矿威胁

York表示，当加密挖矿软件是被合法用户故意安装时，其检测难度就更大了。他说，

几周前，我刚刚参与了一个类似案件的调查。一名心怀不满的内部员工决定在公司整个网络环境中部署加密挖矿软件，作为其报复和蔑视公司的一种方式。

检测内部人员安装的加密挖矿软件之所以难度更大是因为，内部知情人知道自己的公司是如何检测加密挖矿行为并阻止其传播的。随后，恶意内部人士就可以通过谷歌搜索并阅读已发表的一些文章来攻破公司设置的防线。

Ixia公司应用与威胁情报研究中心高级主管Steve McGregory表示，教育机构面临的威胁最为显著。他说，

很多向我们求助的用户都是大学。学生们只需将他们的ASIC系统（一种为专门目的、或是按照特定用户要求和特定电子系统的需要而设计、制造的集成电路）插入宿舍并启动电费单即可。学生没有非法进入系统，而由此产生的高额电费正由大学自身承担。

ForeScout新兴技术副总裁Robert McNutt说，值得信赖的内部人员还可以在AWS、Azure或Google云上启动虚拟机，进行计算，然后在引起其他人注意之前快速关闭虚拟机。他表示，

这是企业应该考虑的真正风险，因为它很难被发现，而且有些企业可能有利可图，从而使这种行为变得更加普遍。

他补充道，窃取内部员工证件的外部攻击者也可以这么做。事实上，亚马逊现在还为用户提供带有GPU的EC2实例，这使得加密挖矿行为更加高效，当然，这也会使得该公司支付账单的成本变得更高。

防御措施

接下来，我们列出了针对加密货币挖矿软件的七种最佳防护实践：

1. 加强您的端点安全控制

CrowdStrike服务总监Bryan York说，强大的端点保护对于防止加密货币挖矿恶意软件至关重要。如果您不希望加密工具在您的终端用户和主机系统上运行，请及时修复并妥善更新您的终端和系统。此外，您也可以考虑使用广告拦截器；禁用JavaScript；使用专为阻止加密货币挖矿而设计的浏览器扩展插件；为远程访问服务实施多因素的身份验证；以及将网络分段以限制数据的横向移动。

York表示，端点技术正在变得越来越实用，可以帮助您检测并阻止那些加密货币挖矿软件及其相关行为。他说：

此外，一些先进的端点技术还能够阻止使用无文件恶意软件技术的加密货币挖矿软件通过网络感染和传播。所以，您也可以考虑使用这些新技术。

Secureworks公司反威胁部门高级安全研究员Mike McLellan补充道，企业也可以考虑实施集中式日志记录功能来检测、限制和捕获各种恶意活动。识别出站加密货币挖矿流量的一种方法是使用受监控的出口点来管理出站网络连接流量，特别是那些使用非标准端口的所有未加密流量。

2. 审查网站安全控制

确保犯罪分子没有使用您的网站来托管加密挖矿软件工具。犯罪分子会经常在网站所有者不知情的状态下，将挖矿软件安装在网站上，然后去劫持访问这些网站的用户的计算机设备，以便挖掘门罗币（Monero）或其他类型的加密货币。

High-Tech Bridge首席执行官Ilia Kolochenko说：

带有内容安全策略和类似安全机制的Web服务器安全强化，可以防止跨站脚本和跨站点请求伪造等许多常见可被利用的向量。因此，请确保您的管理员密码足够强大且独特，并尽可能的实施双因素身份验证。

他补充道，Web应用防火墙也可以帮助消除或减少定制代码中的未知漏洞或漏洞的可利性。他说：

持续的安全监控已经成为确保Web应用安全性的通用标准。有时候，您或您的同事可能会忽略一些东西，但是持续性的安全监控不会，毕竟四只眼睛总比两只眼睛可靠一些。

3. 实施严格的访问控制

McLellan说，对系统和应用程序凭证应用“最小权限原则”，并限制使用管理员身份去访问授权用户的上下文内容。对于Windows系统，请考虑使用Microsoft的本地管理员密码解决方案（Local Admin Password Solution，简称LAPS）来简化和加强密码管理。

他补充道，对可从外部访问的服务实施双因素身份验证。此外，还可以考虑使用定制化服务来实现远程管理等功能，而不要使用标准端口和服务。

4. 安全的第三方软件和组件

The Media Trust首席执行官Chris Olson说，不要让易受攻击的第三方代码破坏您的网站安全性。审核所有为您的网站运营提供代码的合作伙伴，并将您的数据隐私政策传达给他们。请立即终止与那些不合规的供应商之间的合作关系，切不可犹豫姑息。

Olson补充道，

审查所有已知合作伙伴的网站对于沟通期望和执行合规至关重要。持续的网站监控是检测这些流氓代码并在其执行时就立即予以终止的唯一方法。

5. 保护您的云帐户安全

BMC产品管理副总裁Daniel Nelson表示，黑客已经开始通过劫持大公司的公有云账户来挖掘加密货币了。例如，黑客已经在AWS平台的那些未被安全配置的Kubernetes容器集群中劫获其计算能力来挖掘加密货币。

Nelson说，

企业应该实施策略自动化解决方案（如SecOps Policy Service），以持续监控、评估和修复容器堆栈。通过使用这些工具，您的容器堆栈内部能够以程序设定的方式实施安全策略。

Nelson补充道，请确保您可以检测到云端服务中的各个盲点。他说，

如今，影子IT（Shadow IT）异常活跃。即便企业IT知道在云端配置的所有服务器，他们也未必能够完全掌控安装在这些服务器上的所有软件。因此，发现并了解云端服务的具体使用程度至关重要。

6. 限制不必要的服务

Secureworks公司的McLellan表示，如果您不需要某种服务，请立即将其禁用，这包括SMB v1等内部协议。如果应用程序没有合法的业务功能，请将其删除。而对于那些无法删除，但又对大多数用户无用的系统组件（例如PowerShell），请立即限制其访问权限。

7. 保护您的物联网（IoT）

High-Tech Bridge公司的Kolochenko指出，由于具有互联网连接的物联网设备（如工厂车间传感器、安全摄像头和智能恒温器等）没有太多处理能力，所以攻击者也不太感兴趣劫持这些系统来进行加密货币的挖矿活动。但是如果它们确实被劫持了，您可能也不太容易发现。

他说，

数以百万计的物联网设备，虽说是被设计用来处理或存储机密信息或个人隐私信息，但它们甚并不具备基本的密码保护选项，或是拥有硬编码的管理员密码，以至于无法修改它。

他最后警告称，这些物联网设备和开源组件的Web界面中往往充斥着各种可被攻击者利用的关键漏洞，所以，确保物联网设备安全显得至关重要。

原文链接：