网络安全有时感觉像是一场不受监管的混战,但新型攻击的出现仍然不常见。然而,密码劫持就是在过去15个月中出现的一种新型攻击。如今,此类攻击广泛存在且挥之不去。加密劫持的概念很简单:攻击者利用他人计算机的处理能力为自己挖掘加密货币。挖矿恶意软件已经存在了一段时间,但直到2017年9月,CoinHive团队创建了一个可以嵌入几乎任何网站的挖矿模块,攻击者才意识到挖矿恶意软件的真正潜力。只要安装了这个模块,访问页面的浏览器打开页面多长时间,就会为模块所有者贡献多少CPU周期。CoinHive曾表示,该工具旨在为该网站增加收入来源,但犯罪分子很快发现他们可以利用热门网站的漏洞潜入他们自己的加密劫持模块。在2017年底和2018年初,随着加密货币的价值飙升至历史新高,加密货币劫持的流行度也随之飙升。而且,从那时起,加密劫持已经以各种有趣和发人深省的方式成熟起来。恶意矿工开始出现在移动设备、云基础设施、物联网设备,甚至关键基础设施上。虽然有时贡献一点算力并不会使受害者付出太多代价,但更激进的矿机可能会干扰受影响设备的进程,中断工作流程,甚至消耗受害者的设备以造成物理损坏。安全公司Webroot的高级威胁研究员TylerMoffitt表示:当我们做2018年年中威胁报告时,我们发现加密劫持占所有网络威胁的35%,这是一个令人难以置信的数字。这种威胁是相当新的,直到2017年9月下旬才浮出水面。即使到年底它下降到25%,它仍然是一种需要关注的威胁形式。Cryptojacking攻击随着加密货币的价值而潮起潮落。但是,虽然最初的加密劫持淘金热已经有所消退,但黑客仍然可以从中获益,因为进行此类攻击的成本非常低。仅仅在目标网站或系统中构建其恶意挖矿基础设施只会为黑客赚钱,毕竟当加密货币价值上升时,他们可以立即采取行动。而且,只要你在像云服务器这样强大的资源上挖矿,总会有钱可赚。网络防御公司Malwarebytes的首席恶意软件情报分析师Jér?meSegura表示:“随着加密货币价格的下跌,此类攻击有所减弱,但这并不意味着加密劫持本身已经消失。不仅没有消失,反而变得更加成熟。危险在于,如果使用计算机执行特定任务和计划任务的关键基础设施被植入加密货币矿机,其稳定性将受到影响,可能导致崩溃并损害服务的交付。2018年初,关键基础设施安全公司Radiflow表示,它在欧洲水厂用于监视和工业控制的运营技术网络中发现了挖矿恶意软件。恶意矿工还瞄准了云基础设施庞大的原始处理能力,威胁到关键服务的正常运行时间。例如,今年2月,云监控和防御公司RedLock表示,特斯拉的AWS云基础设施遭受了一次不太明显但广泛的加密货币劫持。浏览器和恶意软件扫描器一直在改进它们对加密劫持的防御,但技术已经发展到超越这些防御。与其他类型的攻击一样,一旦有足够的防御措施开始捕获挖矿代码,黑客最终就会开始混淆代码。不安全且通常不受监控的物联网设备也是加密劫持泛滥的平台。Cryptojacking可以在各种物联网设备上执行,甚至还有针对Xbox和PlayStation上的采矿设备的概念验证程序。8月,安全公司TrustWave披露了一起涉及拉脱维亚制造商MikroTik路由器的大规模加密劫持事件。该攻击首先利用设备漏洞感染了巴西的72000台路由器,然后传播到超过200000台存在漏洞的路由器。MikroTik在4月份修补了该漏洞,但许多设备都遇到了物联网安全的一个常见问题——无法接收更新。Malwarebytes的Segura说:“将加密劫持脚本注入路由器是一个绝妙的主意,这样通过该路由器连接到互联网的每台设备都将被没收用于加密货币挖掘。”受害者在该WiFi上的每台设备上访问的任何网站都被劫持了,因为这一切都发生在路由器级别。这种可扩展性对攻击者来说非常有用。如果他们入侵了学校或图书馆的路由器,他们就可以访问该路由器后面的数百台机器。尽管加密劫持方法越来越复杂,但只要有机会,攻击者仍然会重新劫持流行网站。就在上个月,为美国重病儿童提供服务的许愿基金会的网站遭到密码劫持者通过其内容管理系统进行的黑客攻击,将密码劫持脚本注入到网络框架中。加密劫持者已经学会将加密劫持添加到许多经典的网络攻击中——将恶意矿工添加到网络钓鱼站点或将它们捆绑到其他恶意软件下载中。与其他类型的攻击相比,加密劫持最关键的方面是它非常容易实施。攻击者几乎不支付任何费用,而且总是赚钱。所以,无论是想赚快钱还是谋求长远利益,劫持都是攻击者的最佳选择。潜力之大,短期内是不可能死的。【本文为专栏作家“李少鹏”原创文章,转载请通过安安牛(微信公众号id:gooann-sectv)获得授权】点此查看作者更多好文
