共计 1673 个字符,预计需要花费 5 分钟才能阅读完成。
导读 | 加密挖矿是创建加密货币的过程。人们可以从挖掘加密货币获利,这一过程是合法的,但加密挖矿的犯罪行为通常利用劫持他人的计算机进行加密挖矿来获利。 |
冰岛因其廉价的电力而成为比特币开采的重要枢纽,人们的计算机也可能被网络犯罪分子劫持成为加密挖矿的理想场所。
加密挖矿是创建加密货币的过程。人们可以从挖掘加密货币获利,这一过程是合法的,但加密挖矿的犯罪行为通常利用劫持他人的计算机进行加密挖矿来获利。
当恶意行为者通过 Web 服务器和 Web 浏览器劫持计算机时,就会发生加密劫持。恶意 JavaScript 代码通常被注入或植入 Web 服务器,当用户访问网页时,他们的浏览器被感染,将他们的计算机变成加密挖矿的矿工。
那么是否能够检测并保护自己免受这一活动的影响呢? 绝对可以,人们可以从发现加密挖矿矿工的方法开始。
首先,检查网络上系统的性能。企业的员工如果注意到其计算机 CPU 使用率过高、温度上升或风扇速度加快,并将其报告给 IT 团队。这种情况可能是业务应用程序编码不当的征兆,也可能表明系统上存在隐藏的恶意软件。因此需要设置系统基准以更好地发现系统中的异常。
但不要仅仅依靠性能异常来识别受影响的系统。最近的事件表明,网络攻击者正在限制对系统的 CPU 需求以隐藏其影响。例如,微软公司最近发布的一份数字防御报告指出了越南网络犯罪组织 BISMUTH 的威胁活动,该组织主要针对的目标是法国和越南的私营部门和政府机构。微软公司在这份报告中指出,“由于加密挖矿矿工往往被安全系统视为优先级较低的威胁,因此 BISMUTH 能够利用由其恶意软件引起的较小警报配置文件潜入系统而不引起注意。BISMUTH 通过与正常网络活动的融合来避免检测。”
除了检测出现异常的计算机之外,如何检测此类隐蔽的恶意行为者? 查看防火墙和代理日志以了解它们正在建立的连接。应该确切知道企业资源有权连接到哪些网址和平台。如果这个过程过于繁琐,需要查看防火墙日志并阻止已知的加密矿工的位置。
Nextron 公司最近发表的一篇博客文章指出了他们在使用中看到的典型加密矿池。可以查看防火墙或 DNS 服务器以查看是否受到影响。查看包含 *xmr.**pool.com*pool.org 和 pool.* 的模式的日志,看看是否有人或任何东西在占用网络。如果企业有一个高度敏感的网络,需要将连接限制为网络所需的那些 IP 位置和地址。在这个云计算时代,这很难确定。即使跟踪微软公司使用的 IP 地址也很难跟上。例如,当微软公司为其 Azure 数据中心添加新范围时,可能需要调整授权 IP 地址列表。
一些浏览器扩展将监控并阻止加密矿工。例如,NoCoin 和 MinerBlocker 解决方案可以监控可疑活动并阻止网络攻击,这两者都有适用于 Chrome、Opera 和 Firefox 各种浏览器的扩展程序。或者可以阻止 JavaScript 在浏览器中运行,因为恶意 JavaScript 应用程序是通过横幅广告和其他网站操作技术传播的。调查是否可以阻止 JavaScript,因为它可能会对出于业务原因需要的某些网站产生不利影响。
边缘正在测试微软所谓的 Super-Duper 安全模式。它通过在 V8 JavaScript 引擎中禁用即时 (JIT) 编译来提高边缘的安全性。微软公司表示,现代浏览器中的 JavaScript 漏洞是网络攻击者最常见的载体。调研机构在 2019 年的调查表明,大约 45% 的 V8 攻击与 JIT 相关。
禁用 JIT 编译确实会影响性能,而 Microsoft 浏览器漏洞研究所进行的测试显示了一些倒退。Speedometer2.0 等 JavaScript 基准测试显示下降幅度高达 58%。尽管如此,微软公司表示,用户并没有注意到性能下降,他们很少注意在日常使用中的差异。
人们需要从外部和内部威胁的角度来看加密挖矿,检查这些选项,以主动保护自己免受潜在攻击。