關貿：門羅幣挖礦風暴襲捲企業

資安防護受企業高度關注，並在內部建立許多主機與網路防護網，最近關貿網路資安團隊發現多起駭客已轉而利用難以防守、以人性弱點為攻擊重點的社交工程，做為入侵企業內部的開端，讓受害企業在不知不覺的情況下，被攻擊者潛入內部佔用或竊取企業資源。 處理過多起類似案例的關貿網路資安團隊指出，受害企業發現時，往往攻擊者多已入侵至伺服器區，感染多台伺服器或幾乎影響正常對外營運。特別嚴重的一起案例，是企業資訊部門發現伺服器運作緩慢且無法緩解，懷疑可能是遭到駭客入侵或中毒，特別請關貿資安顧問到場調查。 經資安顧問針對問題主機分析記錄檔、執行主機惡意程式檢測與數位鑑識後，發現主機被植入門羅幣（Monero）挖礦腳本，進一步調查整個環境後，發現攻擊者一開始是透過社交郵件取得企業內部辦公區權限，而後遊走於辦公區蒐集資訊，取得內部AD（Active Directory）管理者權限，利用高權限遊走於伺服器區探索主機蒐集資訊，最後利用有高網路存取權限的WSUS主機作為內部中繼站，再透過WSUS對內大量撒挖礦機腳本至所有主機，同時對外進行連線獲取門羅幣。 關貿資安團隊表示，現在新形態資安攻擊，已不再是傳統單一防禦模式就能有效阻擋。在資安事故處理時，除了調查問題主機外，同時也會蒐集資訊掌握整個攻擊事件根因，並協助採集樣本進行分析與處理，後續再調查攻擊者進入點，提供架構強化與監控措施建議。因門羅幣本身是利用區塊鏈運算原理，進行發放的虛擬貨幣，獲得門羅幣的其中一個方式，是提供運算資源供門羅幣演算法進行計算，亦即挖礦，但要做到這點需要許多龐大資源。例如要有穩定高效的伺服器群、網路頻寬等，成本不小，加上資安意識高漲，各企業於主機與網路層面多半擁有許多資安防護。因此攻擊者改以利用社交工程中的釣魚郵件，以客製化信件內容，誘導企業員工或主管點擊下載惡意程式，同時瞄準企業擁有穩定的伺服器主機及廣大頻寬的特性，讓受害企業在不知情的情況下，讓主機被攻擊者利用作為雲端挖礦機，進行挖礦獲取大量門羅幣，大做低成本高報酬利潤的地下生意。