一文看懂“挖礦劫持”，不做“免費礦工”

今天你“被挖礦”了嗎？

加密貨幣劫持（cryptojacking），也稱作挖礦劫持，是指未經授權使用別人的計算機挖掘加密貨幣。

通常，黑客通過讓受害者點擊電子郵件中的惡意鏈接，將加密貨幣挖礦代碼加載到計算機上；或者使用JavaScript代碼感染網站或在線廣告，而JavaScript代碼將在受害者瀏覽器內加載後自動執行。

無論通過哪種方式，挖礦代碼將在後臺運行，而毫不知情的受害者可以正常使用計算機。他們可能注意到的唯一跡象是計算機性能下降或執行滯後。

一、為何挖礦劫持事件層出不窮？

沒有人知道黑客通過挖礦劫持開採了多少加密貨幣，但毫無疑問這種做法日漸猖獗。

基於瀏覽器的挖礦劫持正在快速增長。去年11月，據Adguard報告，瀏覽器內的挖礦劫持增長率為31％。Adguard研究發現，共有33000個網站運行挖礦劫持腳本，而這些網站每月的訪問數量預計達到10億。今年2月，Bad Packets Report發現了34474個運行Coinhive的站點。Coinhive是最受歡迎的JavaScript挖礦程序，也被用於合法的加密貨幣挖礦活動。

網絡安全解決方案提供商WatchGuard Technologies的威脅情報分析師Marc Laliberte表示，“加密貨幣挖礦正處於初級階段，還有很多發展和演變的空間。”他指出，Coinhive程序易於部署，並且在第一個月就創造了30萬美元的價值。

“從那以後，Coinhive發展得很快。這樣賺錢真的很容易。”

1月份，研究人員發現了Smominru加密貨幣挖礦殭屍網絡，該蠕蟲感染了超過50萬臺機器，主要集中在俄羅斯、印度和臺灣地區。殭屍網絡的目標是讓Windows服務器挖掘門羅幣（Monero）。網絡安全公司Proofpoint估計，截至1月底，它已經創造了360萬美元的價值。

挖礦劫持甚至不需要擁有重要的技術能力。根據Digital Shadows的報告《新淘金熱：加密貨幣成為欺詐的新領域》，挖礦劫持工具包在暗網只賣30美元。

挖礦劫持越來越受黑客歡迎的一個原因是風險更低卻能獲得更多金錢。SecBI的CTO兼聯合創始人Alex Vaystikh表示：“對於黑客來說，挖礦劫持是比勒索軟件更廉價、更有利可圖的替代品。”如果使用勒索軟件，黑客每次感染100臺計算機，或許只能讓3個人付費。而使用挖礦劫持，被感染的100臺計算機都可以用來挖掘加密貨幣。他解釋說，雖然通過挖礦劫持和使用勒索軟件獲得的金錢可能一樣多，但是挖礦可以不斷地產生價值。

另外，挖礦劫持被發現和識別的風險也遠低於勒索軟件。挖礦代碼將靜默運行，並且可能很長時間不被發現；就算被發現，也很難追溯到源頭。因為沒有任何東西被盜或被加密，受害者沒有什麼動機去追溯。黑客傾向於選擇Monero和Zcash等匿名加密貨幣，而不是比特幣，因為很難追蹤這些貨幣背後的非法行為。

二、挖礦劫持是如何發生的？

黑客主要通過兩種方式讓受害者的計算機悄悄地挖掘加密貨幣。

一種方法是誘導受害者將挖礦代碼加載到計算機上。通過類似網絡釣魚的方法完成劫持：受害者收到一封看似合法的電子郵件，誘導他們點擊鏈接。這個鏈接會運行代碼，將挖礦腳本加載到計算機上。受害者使用計算機時，挖礦腳本代碼可以在後臺運行。

另一種方法是在可以大量傳播的網站或廣告裡植入腳本。一旦受害者訪問被感染的網站或者點擊瀏覽器彈出的廣告，腳本將自動執行。沒有代碼存儲在受害者的計算機上。

無論使用哪種方法，挖礦代碼都會利用受害者的計算機挖礦，並將結果發送到黑客控制的服務器。

黑客通常會使用這兩種方法來獲取最大化的回報。Vaystikh表示：“攻擊者會使用惡意軟件技術作為備用，向受害者的計算機發送更可靠和持久的惡意軟件。”例如，在100臺為黑客挖掘加密貨幣的設備中，其中10％可能通過受害者設備上的代碼產生收入，90％則通過他們的網絡瀏覽器實現。

與大多數其他類型的惡意軟件不同，挖礦劫持腳本不會損害計算機或者受害者的數據。它們竊取的是CPU處理資源。對於個人用戶來說，計算機性能變慢可能只是一個煩惱。而對於企業來說，如果很多系統被劫持挖礦，可能會增加成本。為了解決問題，服務檯和IT部門需要花費時間追蹤性能問題並更換組件或系統。 

三、挖礦劫持實際案例

挖礦劫持者很聰明，設計了很多方案來利用他人的電腦挖掘加密貨幣。大部分的方案並不新奇，其傳播方式通常借鑑其他惡意軟件（如勒索軟件或廣告軟件）的方法。以下是一些真實發生的案例：

流氓員工劫持公司系統

在今年的EmTech數字會議上，Darktrace講述了一家歐洲銀行的故事。這家銀行的服務器出現了異常流量，在夜間運行緩慢，但是銀行的診斷工具沒有發現任何異常。Darktrac發現，在那段時間裡有新服務器上線，而銀行表示並沒有這些服務器。最後，Darktrac對數據中心進行實地檢查時發現，一名流氓員工在地板下建了一個加密貨幣挖礦系統。

利用GitHub傳播挖礦軟件

3月份，Avast軟件公司報告稱，挖礦劫持者正在將GitHub作為惡意挖礦軟件的宿主。他們找到合法的項目，從中創建一個分叉項目；然後將惡意軟件隱藏在該分叉項目的目錄結構中。挖礦劫持者通過使用網絡釣魚方案引誘用戶下載該惡意軟件，例如提醒更新Flash播放器或者偽裝成一個成人遊戲網站。

利用rTorrent漏洞

挖礦劫持者發現了一個rTorrent錯誤配置漏洞，無需進行XML-RPC通信驗證即可訪問一些rTorrent客戶端。他們掃描互聯網尋找未打補丁的客戶端，然後在客戶端上部署Monero挖礦軟件。F5 Networks在2月份報告了這個漏洞，並建議rTorrent用戶確保其客戶端不接受外部連接。

Chrome惡意插件Facexworm

這種惡意軟件最早是由卡巴斯基實驗室於2017年發現的，它是一款谷歌瀏覽器插件，使用Facebook Messenger來感染用戶的計算機。最初，Facexworm用於傳播廣告軟件。今年早些時候，趨勢科技發現了多種面向加密貨幣兌換的Facexworm，並且能夠傳播加密貨幣挖礦代碼。它仍然使用被感染的Facebook帳戶來傳播惡意鏈接，但也可以竊取網絡帳戶和憑證，從而允許它將挖礦劫持代碼植入到這些網頁。

暴力挖礦病毒WinstarNssmMiner

5月份，360安全衛士發現了可以迅速傳播的挖礦劫持程序WinstarNssmMiner。這個惡意程序的特別之處在於，卸載它會讓受害者的計算機崩潰。WinstarNssmMiner首先啟動svchost.exe進程並向其植入代碼，然後將該進程的屬性設置為CriticalProcess。由於計算機將其視為關鍵進程，因此一旦強制結束該進程，計算機就會藍屏。

四、如何預防挖礦劫持？

如果遵循這些步驟，可以最大限度地降低公司被劫持挖礦的風險：

公司安全意識培訓要有針對性

公司安全意識培訓，應增加有關挖礦劫持威脅的內容，著重介紹用網絡釣魚，將挖礦腳本加載到用戶計算機上的劫持方式。Laliberte認為培訓會有幫助，網絡釣魚將繼續成為攻擊者發送各種惡意軟件的主要方式。而針對通過訪問合法網站自動執行挖礦劫持的方式， Vaystikh表示，培訓效果不佳，因為你沒辦法告訴用戶不能訪問哪些網站。

在Web瀏覽器上安裝廣告攔截或反挖礦插件

由於挖礦劫持腳本通常通過網絡廣告進行傳播，因此安裝廣告攔截器可能是阻止它們的有效手段。Ad Blocker Plus等廣告攔截器具備檢測挖礦腳本的功能。Laliberte推薦No Coin和MinerBlock等可以檢測和攔截挖礦腳本的瀏覽器插件。

使用能夠檢測已知挖礦程序的端點保護技術

許多端點保護/防病毒軟件供應商已經添加了檢測挖礦程序的功能。Anomali安全策略總監Travis Farral說：“防病毒是終端預防挖礦劫持的方法之一。如果這個程序是已知的，那就很可能被檢測出來。”他補充道，需要注意的是挖礦程序的編寫者正在不斷改變技術，避免被端點檢測到。

更新網頁過濾工具

如果已經確定一個網站正在運行挖礦腳本，請確保所有用戶不會再訪問該網站。

維護瀏覽器插件

一些攻擊者正在使用瀏覽器惡意插件或者被感染的合法插件來執行加密貨幣挖礦腳本。

用移動設備管理（MDM）解決方案

用移動設備管理（MDM）解決方案更好地控制用戶設備上的內容。自帶設備（BYOD）策略可以有效預防非法的加密貨幣挖礦行為。Laliberte認為，MDM可以長期保持自帶設備的安全。MDM解決方案可以幫助企業管理用戶設備上的應用和插件。MDM解決方案傾向於面向大型企業，小型企業通常負擔不起。不過，Laliberte指出，移動設備不像臺式電腦和服務器那麼危險。因為移動設備的處理能力往往較低，所以對黑客來說並不是很賺錢。

五、如何檢測挖礦劫持？

與勒索軟件一樣，儘管企業竭盡全力去阻止挖礦劫持，還是可能受到影響。企業可能很難檢測挖礦劫持，特別是在只有少數系統受到損害的情況下。以下是有效的方法：

訓練服務檯，發現挖礦劫持的跡象

SecBI的Vaystikh表示，有時候，挖礦劫持的第一個跡象就是服務檯收到用戶關於計算機性能下降的抱怨。企業應該對此予以重視，並進一步進行調查。

服務檯應該尋找的其他信號是可能導致CPU或散熱風扇故障的系統過熱。Laliberte指出，因為CPU使用率過高，系統過熱會造成損壞，並可能縮短設備的使用週期。對於平板電腦和智能手機等移動設備更是如此。

部署網絡監控解決方案

Vaystikh認為，企業網絡中的挖礦劫持比家庭網絡更容易檢測，因為大多數消費者端點解決方案都無法檢測到它。挖礦劫持很容易通過網絡監控解決方案進行檢測，而大多數企業都有網絡監控工具。

不過，即便擁有網絡監控工具和數據，很少有企業可以有工具和能力來分析這些信息，從而進行準確的檢測。例如，SecBI開發了一個AI解決方案來分析網絡數據，並檢測挖礦劫持和其他特定威脅。

Laliberte認為，網絡監測是檢測挖礦劫持的最佳選擇。審查所有網絡流量的網絡周邊監控方案，更有可能檢測出挖礦行為。許多監控解決方案將深入檢測每一個用戶，以便確定哪些設備受到影響。

Farral表示，如果企業服務器配備了靠譜的過濾器來監控出口端點的網絡連接請求，那麼可以很好地檢測出惡意挖礦軟件。不過，他警告說，挖礦軟件的編程者有能力改寫惡意軟件，來規避這個檢測方法。

監控自己的網站是否被植入挖礦劫持代碼

Farral警告說，挖礦劫持者正設法在Web服務器上植入一些Javascript代碼。服務器本身並不是其攻擊目標，但是任何訪問該網站的人都有感染的風險。他建議企業定期監視Web服務器上的文件更改情況或者自行更改頁面。

隨時瞭解挖礦劫持的發展趨勢

挖礦劫持的傳播方式和挖礦代碼本身在不斷髮展。Farral表示，瞭解挖礦劫持軟件和劫持行為可以幫助企業檢測挖礦劫持。一個精明的企業會跟進事情的最新進展。如果掌握了挖礦劫持的傳播機制，就知道某個特定的開發工具包正在發送挖礦代碼。保護開發工具包，也將成為預防挖礦劫持的措施。

六、如何應對挖礦劫持攻擊？

關閉並攔截網站發送的惡意腳本

對於瀏覽器內的JavaScript劫持攻擊，一旦檢測到挖礦劫持，就應該關閉運行惡意腳本的瀏覽器標籤頁。IT部門應該注意發送腳本的網站URL，並更新企業的網頁過濾器進行攔截。企業可以考慮部署反挖礦工具，幫助防止未來的攻擊。

更新並清理瀏覽器插件

Laliberte表示，如果一個插件感染了瀏覽器，關閉標籤頁將無濟於事。這時應該更新所有插件，並刪除不需要或已經感染的插件。

學習並適應

藉助這些經驗更好地瞭解攻擊者是如何危害系統的。更新企業的用戶、服務檯和IT培訓內容，以便他們更好地識別挖礦劫持並採取相應的行動。