成也萧何,败也萧何?加密技术被恶意利用成为2019年最恶劣的攻击软件之一!...
来源 | Bitcoinmagazine
编译 | 火火酱
责编 | Maozz、Carol
出品 | 区块链大本营(blockchain_camp)
老祖宗给我们留下过很多智慧结晶,比如一些流传甚广的句子:“成也萧何、败也萧何”、“水可载舟,亦可覆舟”、“祸兮福所倚,福兮祸所伏”等等。
这些话放到现在来看,依旧是适用的。用“加密”这个技术来打比方,在今天无论是加密货币还是加密信息,“加密”都是为了“保护”某一样事物。虽有“技术本无罪”的说法,但技术如何使用、用在什么地方却是显得尤为重要了。
接下来我们就来聊一聊,加密技术若被作为恶意攻击的手段,会造成什么样的局面?
它可以通过加密的方式来隐藏信息;
它也可以借助正确的信息来追踪数据。当人们把透明度作为加密货币或者比特币的主要价值时,他们谈论的就是这第二种工作方式。
2019年恶意软件列表:
https://community.webroot.com/news-announcements-3/nastiest-malware-2019-340824
Webroot报告中的研究数据来自他们每天保护的数十亿网络和设备。通过机器学习算法,Webroot每天为超过7500亿个URL和超过4.5亿个域评分。
为了更好的了解Webroot当前遇到的恶意软件威胁级别(特别是2019年发生了多少起加密挖矿和加密劫持事件),有媒体采访了Webroot的安全分析师Tyler Moffitt。
勒索软件是最大的威胁
除了在Webroot的工作以外,Moffitt还是一名加密货币倡导者。自2017年12月比特币创下历史新高20000美元前,他就一直在自家地下室里开采加密货币了。Moffitt挖矿时使用的是太阳能电池板,“幸好电费还不算太高。”他笑着说。
Tyler Moffitt
把Webroot 2019年的报告和前一年的报告相比,总体的威胁水平看起来变化不大。随着比特币的整体价格从2017年底的历史最高点下跌,加密挖矿和加密劫持威胁也呈下降趋势。
这导致由伊朗黑客组织SamSam推广的远程桌面协议(RDP)勒索软件攻击开始复苏。去年年底,SamSam曾试图在一家加密货币交易所将比特币赎金兑换成伊朗里亚尔,随后便遭到了追踪和起诉。现在,RDP漏洞是中小型企业面对的最大攻击媒介。
Emotet
GandCrab
在SamSam被抓后,GandCrab凭借其联盟计划(该计划最近已终止),成为了使 用最广泛、经济上最成功的勒索软件即服务(ransomware-as-a-service, RaaS)示例。据称,该计划已经从其受害者那里获得了超过20亿美元的勒索。与大多数基于勒索软件的攻击一样,GandCrab先感染计算机,然后将其文件作为人质进行加密,直到受害者同意支付赎金。
RAAS的概念主要源于俄罗斯的网络犯罪团伙——商业俱乐部(Business Club)。从技术层面来讲,这种模式并不会感染任何人。相反,它为有效载荷(在本例中指的是GandCrab,而不是TOR)提供服务,客户可以设置自己的标准并生成自己的变体勒索软件,以根据其规范进行部署。
与实际业务不同,RaaS模型依赖于具有内置规范的脚本,该脚本会自动将受害者赎金的30%返还给服务提供商。如果用户每月都能感染一定数量的计算机的话,那么GandCrabde 就会削减其赎金比例,而GandCrabde的成功也依赖于此。Sodinokibi/REvil是自GandCrab退休以来于2019年出现的另一种勒索软件变体。
加密挖矿和加密劫持威胁目前呈消退趋势
尽管来自加密挖矿和加密劫持的威胁很可能永远都不会消失,但其在2019年已经呈现出消退趋势。这主要是由比特币自2017年底和2018年初以来价格不断下跌导致的。据报道,自比特币价格从2018年峰值开始下跌以来,这一威胁已开始消退,环比下降约5%。
Moffitt说:“这是真的,当比特币价格飙升至两万美元时,我们看到加密劫持和加密挖矿有效载荷飙升至顶点。其在一月份价格暴跌,但随后在6月份又迅速回升。”
这两种加密货币挖矿攻击的区别在于:当用户使用部署了加密货币挖掘cookie的脚本访问网站时,浏览器选项卡上就会发生加密劫持。而加密攻击是计算机上用户本无意下载或启用的可执行有效载荷。
与勒索软件攻击相比,这两种基于加密挖矿的黑客攻击都在具有高质量硬件的计算机环境中十分流行,而被黑客攻击的受害者不太可能会支付赎金。同样地,这些攻击更有可能会带来即时地(尽管规模较小)经济回报。它们十分隐蔽,不需要受害者的许可和知晓就可以发起攻击。正如Moffitt所指出,“众所周知,在使用加密货币付款时,没人会投诉或抱怨什么。”
有人可能没有注意到他们的计算机正在被黑客劫持来挖掘加密货币,以为黑客并不会存在于现实生活中。计算机一旦受到感染,速度会减慢,并且其CPU使用率也会激增。但黑客们找到了解决此问题的方法,他们根据受害人是否在使用受感染的电脑来扩展加密货币挖掘。如果计算机正在接收鼠标或者键盘输入,那么这意味着有人在使用它,那么挖掘程序就会缩减,以减少对计算机整体CPU的占比。然后,当用户停止了计算机工作时,它将恢复为100%容量。
Monero
迄今为止,monero (XMR)是挖矿和加密劫持攻击中最流行的加密货币。根据Moffitt的说法,这主要不是因为monero是一种只有发送方和接收方可以查看交易分类账簿的隐私币(当然,这仍是一个优点),而是因为monero的挖掘算法具有抗ASIC的特性。
monero的开发团队将其作为一种削弱大型挖矿公司(比如Bitmain和Dragonmint)的方法。这些公司通常会使用专门的高性能挖矿硬件来主导或垄断其他硬币的hash率市场份额。Monero定期软分叉能够更改其算法,使专门制造的微芯片比消费级硬件(包括笔记本、台式机和显卡)更快失效或无效。
“Monero开发团队十分讨厌这一事实,即某些制造商或供应商会垄断采矿池中的硬件类型(基本上每个开采比特币的人都会使用其中一家公司生产的特定硬件)。因此Monero每几个月就会通过软分叉来更改一次算法,这样就没人能开发出特定的芯片进行有效的monero挖掘。”
为使用消费级硬件的矿工创造大量机会的同时,也带来了一个意外的结果——monero也创造了一个黑客梦。这意味着黑客可以从挖矿中获利,而不需要负担除了部署有效载荷以外的成本,无论如何他们也都已经装备齐全了。
The Coinhive Debacle
黑客在monero的挖矿算法中发现机会的最著名例子之一来自Coinhive的加密劫持脚本。目前没有证据能够证明Coinhive设计了供黑客用作恶意软件的加密采矿脚本。假设这是真的的话,Coinhive设计了用于网站的加密劫持脚本,能够合法地通过在打开的浏览器标签页上代替在线广告进行加密货币挖掘,从而产生收入。
Coinhive设计了用于网站的加密劫持脚本:
https://bitcoinmagazine.com/articles/unicefs-hope-page-mines-cryptocurrency-through-visitors-computers
Moffitt说:“它在2017年9月爆掉了。我敢说,在所有运行Coinhive脚本的账户或活动中,有95%到98%都是犯罪分子,他们黑进并闯入了不属于他们的网页,并托管了该脚本,然后Coinhive从中获得30%利润。”
当Coinhive被告知其脚本正在被人非法使用时,他们立即封掉了一名黑客的账户。但是直到收到来自被感染网站的管理员通知时,他们才停止运行其脚本。这或许是因为Coinhive无法区分感染其脚本的网站和自愿使用其服务的网站。但当时媒体舆论实在太糟了,而他们的解释又没起什么效果,因此他们在2019年3月关闭了。整个加密货币市场,特别是monero,都处于年度低谷。
自从Coinhive被关闭以来,出现了很多模仿者,比如Cryptoloot和Coinlmp,大多也部署挖掘monero的脚本。
Coinhive被关闭:
https://www.webroot.com/blog/2019/03/15/post-coinhive-whats-next-for-cryptojacking/
虽然加密挖矿攻击可能正在减少,但Moffitt坚称其仍是一个很大的威胁,“我们已经阻止了超过100万次的尝试企图,仍有8万个URL正在运行加密劫持攻击。”
现在,这些攻击更多地集中在免费的在线流媒体服务平台和色情网站上,访问者在这些网站的单个网页上的停留时间比平均访问时间要长得多。
此外,任何对云计算巨大资源的访问也为想要挖掘加密货币的黑客提供了难得的机会。媒体记录的最近一次尝试是在本月早些时候发生的,当时黑客冒充游戏开发人员,构建了一个庞大的AWS账户网络来挖掘加密货币。以下是2019年流行的另外两种加密挖矿攻击:
Hidden Bee:Hidden Bee是一个提供加密挖矿有效载荷的漏洞,开始于去年的IE漏洞,现已通过stenography速记技术和WAV媒体格式闪存漏洞演变成在JPEG 和PNG图像内的有效载荷。
Retadup:Retadup是一种具有超过850,000次感染的加密采矿蠕虫,在其控制了恶意软件的命令和控制服务器之后,于八月被法国国家宪兵队的网络犯罪战斗中心(C3N)删除。
媒体记录的最近一次攻击:
未来的危机
虽然加密劫持似乎已不再处于鼎盛期,并且也变得相对容易阻止,但对于不想处理勒索软件的黑客来说,加密挖矿有效载荷仍然是一个绝佳的机会。
Moffitt说:“这些攻击是无法追踪的,也无法阻止付款进行,当你从采矿池中取得加密货币时,它基本上就已经被洗过了。”
此外,他认为加密挖矿作为一种有效载荷,可以应用于任何有Wi-Fi的智能设备,这一点吸引了全世界的目光。
大规模IOT感染(比如2018年由受感染的MikroTick路由器引起的那次)是一种攻击媒介,而他认为这类感染将会增多,并且会随着价格的上涨呈现出滚雪球一般的增长趋势。
成也萧何,败也萧何?加密技术被恶意利用成为2019年最恶劣的攻击软件之一!...相关推荐
- Linux中基于eBPF的恶意利用与检测机制(rootkit、驱动)
目录 前言 现状分析 海外资料 国内资料 eBPF技术恶意利用的攻击原理 网络层恶意利用 Linux系统运行时恶意利用 综述 检测防御 运行前 运行时 运行后 防御 工程实现 系统兼容性 CO-RE ...
- 【Android 插件化】多开原理 | 使用插件化技术的恶意应用 | 插件化的其它风险 | 应用开发推荐方案
文章目录 一.多开原理 二.使用插件化技术的恶意应用 三.插件化的其它风险 四.应用开发推荐方案 一.多开原理 插件化的优点就是可以实现应用的多开 , 利用该多开虚拟化引擎 , 用户可以同时登录多个 ...
- [数据加密]GIS空间数据水印信息隐藏与加密技术方法[转]
到目前为止,国内外数字水印技术的研究主要集中在图像.视频和声音等多媒体信息的版权保护上,在GIS空间数据中,通过隐藏水印信息并对其加密.压缩以实现其安全保护的研究还很少,这是数字水印技术应用的一个新领 ...
- 数据自治开放的加密技术挑战
数据自治开放的加密技术挑战 黄霖1,2, 黎源1,2, 汪星辰1,2, 赵运磊1,2 1. 复旦大学计算机科学技术学院,上海 201203 2. 上海市数据科学重点实验室,上海 201203 摘要:数 ...
- 破碎的互联网下,加密技术正在恢复数据主权!
[CSDN编者按]超过45亿人(占全球人口的59%)每天都在使用互联网.互联网是我们交流.交易和消费信息的地方,也是我们许多人存储个人数据和财务信息的地方.在短短的二十五年中,互联网已成为人们日常生活 ...
- PGP加密技术应用(含安装包)
目录 1.安全威胁分析 2.解决方法 3.应用与测试 3.1 pgp软件的安装 3.1.1 安装PGP软件 3.1.2 利用汉化PGP软件 3.2 PGP加密软件应用 3.2.1交换公钥 3.2.2文 ...
- 软件加密技术及实现(转载)
标题 软件加密技术及实现 选择自 whinah 的 Blog 关键字 encrypt 软件加密 保护 散列 数字签名 出处 软件加密技术及实现 雷 鹏 ( 桂林电子工业学院 计算 ...
- 分布式基础-常见攻击技术与加密技术
文章目录 一.Web攻击技术 1.DDos攻击 2.XSS攻击 3.SQL注入攻击 4.CSRF攻击 二.信息加密技术 1.单向散列加密 2.对称加密 3.非对称加密 4.密钥管理 5.加密技术在HT ...
- 面向医疗应用场景的区块链与可搜索加密技术
原文来自:Chen et al. - 2019 - Blockchain based searchable encryption for electronic health record sharin ...
最新文章
- 使用自定义材质球,实现NGUI屏幕溶解和灰显
- jdbc动态查询语句_Java修行第037天--JDBC技术
- 第一篇:Entity Framework 简介
- 如何正确使用工业级交换机?
- Vue刷新当前页面几种方式
- ssh源码编译安装mysql_总结源码编译安装mysql
- EDG夺冠!每个队员获赠一套房:背后老板成最大赢家
- rootfs 制作ubuntu_制作ubuntu rootfs
- linux 图片处理工具,linux的convert图片处理工具
- android 农信易扫app源码,农信易扫 · 全自动 上码教程 · 看云
- 左室短轴切面_心脏超声常用切面与解剖.pptx
- 出现—passwd:Authentication token manipulation error—错误的解决办法
- VC++ 操作Word(使用微软office控件)
- TFT_LCD 驱动芯片 SSD1963QL9
- 西门菲莎大学计算机专业排名,2019-2020西门菲莎大学世界排名多少【QS最新第314名】...
- vue获取div高度
- CA认证的原理和流程以及https完整通信过程
- Clickhouse 生成日历表
- java怎么通过坐标定位控件_[已解决] 可以定位到控件, 但每次执行 click () 方法会报空指针错误 java.lang.NullPointerException...
- vim编辑器显示与取消行号