還在連公共Wi-Fi?一不留神你可能就成了黑客的挖礦工具

在未來,挖礦攻擊將越來越常見。

編者按:本文來自微信公眾號“極客公園”(ID:geekpark),36氪經授權發布。原題目《比特幣火了跟你無關?一不留神你可能就成了黑客的挖礦工具》

近日,比特幣再創新高,上週從每枚1.1 萬美元飆升至每枚1.75 萬美元。隨著「炒幣」行為越來越熱門,基於區塊鏈技術的虛擬幣不斷湧現。黑客看到了「挖礦」所帶來的巨大利益,各種手段防不勝防。

防不勝防的挖礦手段

近日,據軟件公司CEO Noah Dinkin 在推特爆料,他在阿根廷首都布宜諾斯艾利斯的一家星巴克喝咖啡時,發現店裡的公共Wi-Fi 暗藏惡意代碼。它不會盜取用戶的個人信息,也不會破壞電腦系統,而是劫持用戶的電腦生成一種名為「門羅幣」的虛擬幣。這種行為會佔用用戶的電腦處理能力,造成電腦卡頓。

星巴克通過調查表示,這次的問題在於服務提供商,而不是星巴克本身,這家店的Wi-Fi 不是星巴克提供的,並表示將與服務提供商緊密合作。

這次事件似乎告一段落,看上去關閉瀏覽器就能解決問題,但實際上並非如此。近日,安全專家發現一個新技術,即使關閉瀏覽器,也依然不能解決問題。

這個技術的特別之處在於,雖然可見的瀏覽器窗口已經被關閉,但仍有一個保持打開狀態的隱藏窗口。這是因為惡意代碼會創建一個瀏覽器窗口,並將其隱藏在任務欄右下角後面的彈出式下拉菜單裡。如果調整了Windows 主題允許任務欄透明,就可以發現這個窗口了。

圖| malwarebytes
圖| malwarebytes

此外,這個應用降低了CPU 的使用率。有些懂技術的用戶可能會打開任務管理器終止進程運行,但終止後任務欄仍然會顯示瀏覽器的圖標,並有一個不太明顯的突出顯示,這表明它仍在運行。

圖| malwarebytes
圖| malwarebytes

只有瀏覽器會中招嗎?事實上並非如此。11 月2 日,金山毒霸安全實驗室發現,從中國電信股份有限公司江蘇分公司網站下載的天翼校園客戶端存在暗刷流量,偷偷挖礦的行為,讓校園用戶淪為他們牟取利益的「肉雞」。「天翼校園客戶端」安裝包運行後,後門病毒即被植入電腦,實行惡意行為。

圖| 帶毒客戶端的數字簽名(來自金山毒霸安全實驗室)
圖| 帶毒客戶端的數字簽名(來自金山毒霸安全實驗室)

那麼,作為一個非常乖的用戶,不亂看網頁,不亂下載程序,也會中招嗎?答案是——是的。今年5 月,勒索病毒WannaCry 2.0 爆發席捲了全球,它利用了「永恆之藍」漏洞進行傳播。各大安全實驗室發現了很多挖礦木馬,和這個勒索病毒一樣,同樣使用「永恆之藍」漏洞傳播。

除了電腦,甚至連錄像機也不能倖免。SANS ISC 於2014 年發表了一篇文章,介紹了這樣一件事:惡意軟件入侵了海康威視的數字錄像機。這個惡意軟件還試圖感染網絡中的其它機器。此外,數字錄像機還被安裝了比特幣挖礦程序。值得注意的是,錄像機感染的是ARM 二進製程序,顯然這個病毒專門針對ARM 設備。

挖礦攻擊將越來越常見

在未來,攻擊者利用惡意軟件設備去挖礦會越來越常見。攻擊者會把精力集中在門羅幣(XMR)等匿名貨幣上。據極客公園了解,門羅幣受到黑客歡迎主要有以下兩點原因:一是門羅幣比比特幣更加匿名。二是不需要特定的設備就可以挖掘。

2015 年,Shen Noether 發表了一篇論文《RING CONFIDENTIAL TRANSACTIONS》,論文中提到了一種新的環形簽名加密技術,隱藏了交易金額、交易來源和交易目標。比特幣則不能隱藏加密金額。每筆比特幣交易都被記錄在案。任何人都能看見比特幣的去向。然而,如果任何交易所包含的地址能夠和一個身份相關聯,就有很大的可能性從該關聯出發,找出其他地址的所有者。這樣一來比特幣匿名性保護就岌岌可危了。所以,只要知道某人地址,既可以計算出他的比特幣資產餘額以及資金流動狀態。匿名幣對交易金額和交易雙方匿名(只有交易當事人能看到交易細節),從而徹底保護了參與者的隱私。

第二點,門羅幣利用了名為CryptoNight 的proof-of-work 的算法,不需要特定的挖掘硬件。今年9 月14 日,有作者發明了名為Coinhive 的挖礦服務代碼,當用戶訪問了加載代碼的網頁時,就開始為所有者挖掘門羅幣,消耗的是用戶自己的計算資源。

Coinhive 宣稱,網站站長加載這套代碼就能實現盈利,它只消耗訪問用戶的部分CPU,就能為網站所有者賺錢,維持網站發展,讓網站不用再添加廣告。如果站點每天保持10-20 個活躍礦工,當前難度下,每月能產生0.3 個門羅幣的收益。(基於今天的交易價格,折合為640 元人民幣)

這個想法得到了一些網站的支持和嘗試,全球知名的BT 下載網站The Pirate Bay 試運行後,發現這樣做損害了用戶的利益,選擇放棄。然而,許多網站發現有利可圖,紛紛加入到隊伍中。此外,也有很多黑客黑掉其他網站,加入這套惡意代碼,讓這些網站為自己「打工」。百度安全實驗室發布數據稱,2017 年10 月以來,檢出的挖礦站點數量呈現上漲趨勢,越來越多的站點被發現植入了挖礦腳本,因為被黑而被動參與挖礦的站點也在增多。

外媒報導,據Coinmarketcap 數據顯示,隨著以太幣和萊特幣在本週二創下歷史新高,加密貨幣的總市值達到了5060 億美元的歷史最高水平,比億萬富翁沃倫•巴菲特(Warren Buffett )的伯克希爾•哈撒韋公司(Berkshire Hathaway)市值還要高,後者目前估值約為4910 億美元。這是所有數字貨幣的總市值首次超過5000 億美元大關。同時,這個數字也高於美國花旗集團和富國銀行的市值總和,後兩者目前估值分別為2010 億美元和2970 億美元。

20171214 Bitfinex 網頁截圖
20171214 Bitfinex 網頁截圖

隨著虛擬幣價值的不斷攀升,黑客必然會為了利益,進行更多的攻擊。作為用戶唯一能做的,只有提高自己的安全意識,保護好自己,不要讓自己淪為黑客的工具。

轉載聯繫zhuanzai@geekpark.net

本文經授權發布,不代表36氪立場。如若轉載請註明出處。
來源出處:36氪