加密货币使用称为“区块链”的分布式数据库进行操作。区块链会定期更新有关自上次更新以来发生的所有交易的信息。使用复杂的数学过程将每组最近的交易组合成一个“块”。
为了产生新的区块,加密货币依靠个人提供计算能力。加密货币奖励那些用加密货币提供计算能力的人。那些用计算资源换取货币的人被称为“矿工”。
较大的加密货币使用运行专用计算机设备的矿工团队来完成必要的数学计算。这项活动需要大量的电力——例如,比特币网络目前每年使用超过 73TWh 的能源。
Cryptojackers 和加密劫持的未来
这就是密码劫持的用武之地:密码劫持者是希望在不承担巨额成本的情况下从加密货币挖矿中获益的人。通过不支付昂贵的挖矿硬件或大笔电费,加密劫持允许黑客在没有大量开销的情况下挖掘加密货币。主要在个人计算机上开采的加密货币类型是门罗币,它对网络犯罪分子很有吸引力,因为它很难追踪。
关于加密劫持是在减少还是在增加,存在一些争论。加密劫持往往与加密货币的价值成正比,尤其是比特币和门罗币。但近年来,有两个因素对加密劫持产生了抑制作用:
执法部门的打击行动。
Coinhive 的关闭,这是处理加密矿工的领先网站。Coinhive 提供了 JavaScript 代码,网站可以合并这些代码来让访问者的计算机挖掘门罗币。Coinhive 的代码很快就被滥用了:黑客也可能在网站所有者不知情的情况下将挖矿脚本注入网站。该网站于 2019 年 3 月关闭,随之而来的是网站感染数量急剧下降。
加密劫持攻击背后的动机很简单:金钱。开采加密货币可能非常有利可图,但如果没有支付高额成本的手段,获利将是一项挑战。Cryptojacking 是加密采矿的犯罪表现,它提供了一种非法但有效且廉价的方式来开采有价值的硬币。
加密劫持如何运作?
网络罪犯侵入设备以安装加密劫持软件。该软件在后台运行,挖掘加密货币或从加密货币钱包中窃取。毫无戒心的受害者通常会使用他们的设备,尽管他们可能会注意到性能下降或滞后。
黑客有两种主要方法可以让受害者的设备秘密挖掘加密货币:
通过让受害者点击电子邮件中的恶意链接,该链接会在计算机上加载加密挖矿代码
通过在受害者浏览器中加载后自动执行的 JavaScript 代码感染网站或在线广告
黑客经常使用这两种方法来最大化他们的回报。在这两种情况下,代码都会将加密劫持脚本放置到设备上,该设备在受害者工作时在后台运行。无论使用哪种方法,脚本都会在受害者的设备上运行复杂的数学问题,并将结果发送到黑客控制的服务器。
与其他类型的恶意软件不同,加密劫持脚本不会损坏计算机或受害者的数据。但是,它们确实会窃取计算机处理资源。对于个人用户来说,较慢的计算机性能可能只是一种烦恼。但加密劫持对企业来说是一个问题,因为拥有许多加密劫持系统的组织会产生实际成本。例如:
帮助台的使用和 IT 时间花在跟踪性能问题和更换组件或系统上,以期解决问题。
电费增加。
一些加密挖矿脚本具有蠕虫功能,允许它们感染网络上的其他设备和服务器。这使它们更难识别和移除。这些脚本还可以检查设备是否已被竞争的加密挖矿恶意软件感染。如果检测到另一个 cryptominer,脚本将禁用它。
dev-crypto.com
在早期的加密货币挖矿实例中,一些网络发布者试图通过请求访问者允许在他们的网站上挖掘加密货币来从他们的流量中获利。他们将其定位为公平交换:访问者将获得免费内容,而网站将使用他们的计算机进行挖矿。例如,在游戏网站上,当 JavaScript 代码挖掘硬币时,用户可能会在页面上停留一段时间。然后当他们离开网站时,加密挖矿就会结束。如果站点对其所做的事情透明,则此方法可行。用户的困难在于了解网站是否诚实。
恶意版本的加密挖矿(即加密劫持)不会请求许可,并在您离开初始站点后继续运行很长时间。这是可疑网站的所有者或入侵合法网站的黑客使用的一种技术。用户不知道他们访问的网站一直在使用他们的计算机来挖掘加密货币。该代码使用足够的系统资源以保持不被注意。尽管用户认为可见的浏览器窗口已关闭,但隐藏的窗口仍保持打开状态。它通常可以是弹出式窗口,其大小适合任务栏下方或时钟后面。
Cryptojacking 甚至可以使用针对台式机的相同方法感染Android 移动设备。一些攻击是通过隐藏在下载的应用程序中的特洛伊木马程序发生的。或者,用户的电话可能会被重定向到受感染的站点,从而留下持久的弹出式窗口。虽然单个手机的处理能力相对有限,但当攻击大量发生时,它们提供了足够的集体力量来证明密码劫持者的努力是正确的。
Cryptojacking 恶意软件的风险和危险
加密劫持攻击——示例
引人注目的加密劫持示例包括:
2019 年,八个独立的应用程序被从 Microsoft Store中移除,这些应用程序使用下载者的资源秘密开采加密货币。据推测,这些应用程序来自三个不同的开发人员,尽管他们怀疑背后是同一个人或组织。潜在目标可能会通过 Microsoft Store 中的关键字搜索以及顶级免费应用程序列表中的关键字搜索来遇到加密劫持应用程序。当用户下载并启动其中一个应用程序时,他们会无意中下载加密劫持 JavaScript 代码。矿工将激活并开始寻找 Monero,耗尽设备的大量资源并因此减慢速度。
2018 年,加密劫持代码被发现隐藏在洛杉矶时报的凶杀案报道页面中。当访问者访问凶杀案报告页面时,他们的设备被用来挖掘一种名为 Monero 的流行加密货币。由于脚本使用的计算能力极小,因此有一段时间没有检测到威胁,因此许多用户无法检测到他们的设备已被入侵。
2018 年,加密劫持者针对欧洲水务公司控制系统的运营技术网络,严重影响了运营商管理公用事业厂的能力。这是已知的第一个针对工业控制系统的加密劫持攻击实例。与洛杉矶时报黑客攻击类似,该矿工正在生成门罗币。
2018 年初,CoinHive 矿工被发现通过谷歌的 DoubleClick 平台在 YouTube 上投放广告。
2018 年 7 月和 8 月期间,一场加密劫持攻击感染了巴西超过 200,000 台 MikroTik 路由器,在大量网络流量中注入了 CoinHive 代码。
如何检测加密劫持
Cryptojacking 检测可能很困难,因为该过程通常是隐藏的,或者看起来像是您设备上的善意活动。但是,需要注意以下三个迹象:
Cryptojacking 检测——需要注意的 3 件事
性能
下降 加密劫持的主要症状之一是计算设备的性能下降。较慢的系统可能是第一个需要注意的迹象,因此请注意您的设备运行缓慢、崩溃或表现出异常糟糕的性能。您的电池比平时消耗得更快是另一个潜在指标。
过热 Cryptojacking 是一个资源密集型过程,会导致计算设备过热。这可能会导致计算机损坏或缩短其使用寿命。如果您的笔记本电脑或计算机的风扇运行速度比平时快,这可能表明加密劫持脚本或网站正在导致设备升温,并且您的风扇正在运行以防止熔化或起火。
中央处理器 (CPU) 使用率:
如果您在访问媒体内容很少或没有媒体内容的网站时发现 CPU 使用率增加,则可能表明加密劫持脚本可能正在运行。一个好的加密劫持测试是使用活动监视器或任务管理器检查设备的中央处理器 (CPU) 使用情况。但是,请记住,进程可能会隐藏自己或伪装成合法的东西来阻止您停止滥用。此外,当您的计算机以最大容量运行时,它会运行得很慢,因此更难排除故障。
如何保护自己免受加密劫持
使用一个好的网络安全程序:
卡巴斯基全方位安全软件等全面的网络安全程序将有助于全面检测威胁,并可以提供加密劫持恶意软件保护。与所有其他恶意软件预防措施一样,最好在成为受害者之前安装安全软件。为您的操作系统和所有应用程序安装最新的软件更新和补丁也是一种很好的做法——尤其是那些与网络浏览器有关的应用程序。
警惕最新的加密劫持趋势:
网络罪犯不断修改代码并想出新的交付方法,将更新的脚本嵌入到您的计算机系统中。积极主动并掌握最新的网络安全威胁可以帮助您检测网络和设备上的加密劫持并避免其他类型的网络安全威胁。
使用旨在阻止加密劫持的浏览器扩展:
Cryptojacking 脚本通常部署在 Web 浏览器中。您可以使用专门的浏览器扩展来阻止网络上的加密劫持者,例如 minerBlock、No Coin 和 Anti Miner。它们作为扩展安装在一些流行的浏览器中。
使用广告拦截器:
由于加密劫持脚本通常通过在线广告传播,因此安装广告拦截器可能是阻止它们的有效方法。使用像 Ad Blocker Plus 这样的广告拦截器既可以检测也可以拦截恶意的加密劫持代码。
禁用 JavaScript:
在线浏览时,禁用 JavaScript 可以防止加密劫持代码感染您的计算机。然而,尽管这会中断偷渡式加密劫持,但这也可能会阻止您使用所需的功能。
阻止已知传递加密劫持脚本的页面:
为了在访问网站时防止加密劫持,请确保您访问的每个网站都在经过仔细审查的白名单中。您还可以将已知的加密劫持网站列入黑名单,但这仍可能使您的设备或网络暴露于新的加密劫持页面。
Cryptojacking 似乎是一种相对无害的犯罪,因为唯一“被盗”的是受害者计算机的功能。但是,为这种犯罪目的使用计算能力是在受害者不知情或不同意的情况下进行的,目的是为了非法创造货币的犯罪分子的利益。我们建议遵循良好的网络安全实践,以最大限度地降低风险,并在您的所有设备上安装受信任的网络安全或互联网安全。
dev-crypto.com
卡巴斯基安全软件因 2021 年互联网安全产品的最佳性能和保护而获得两项 AV-TEST 奖。在所有测试中,卡巴斯基安全软件都展示了出色的性能和对网络威胁的保护。