什么是挖矿恶意软件?

随着数字货币的崛起,挖矿恶意软件成为网络安全领域的一大挑战。当不法分子通过 Web 服务器和浏览器劫持系统时,就会发生加密劫持(挖矿)。恶意 JavaScript 通常被注入或植入 Web 服务器,当用户访问网页时,浏览器就会被感染,将他们的计算机变成矿工,从而为攻击者非法获取利润。

随着数字货币的崛起,挖矿恶意软件成为网络安全领域的一大挑战。当不法分子通过 Web 服务器和浏览器劫持系统时,就会发生加密劫持(挖矿)。恶意 JavaScript 通常被注入或植入 Web 服务器,当用户访问网页时,浏览器就会被感染,将他们的计算机变成矿工,从而为攻击者非法获取利润。本文将探讨挖矿恶意软件的定义、对个人和企业的影响,以及防范和应对这种威胁的方法。

什么是挖矿

“挖矿”是指对加密货币的开采。以开采比特币为例,每隔一段时间,比特币系统会生成一个面向全体矿工的“计算题”,互联网中所有计算机均可计算题目,第一个算出的矿工会得到相应的奖励,随即向世界广播,这个过程就是“挖矿”。

挖矿的形式

“挖矿”可以分为主动“挖矿”和被动“挖矿”。主动“挖矿”是指个人或团体通过在专业机器或普通电脑安装“挖矿”软件、超频工具等主动进行的“挖矿”行为。

被动“挖矿”是指攻击者通过各种手段将“挖矿”程序植入受害者的计算机中,在受害者不知情的情况下利用其计算机的算力进行“挖矿”,从而获取利益。

挖矿恶意软件的影响

个人用户的影响

  • 计算资源被占用:个人计算机被挖矿恶意软件感染后,计算资源被大量占用,导致电脑变得缓慢,甚至无法正常使用。
  • 电力费用增加:由于挖矿过程需要大量电力支持,受害者可能面临电力费用的不合理增加。
  • 隐私泄露风险:挖矿恶意软件可能还伴随其他恶意功能,导致个人隐私信息泄露的风险增加。

企业用户的影响

  • 业务受影响:企业内部计算资源被挖矿软件占用,影响正常的业务运行,可能导致服务中断和客户流失。
  • 数据泄露风险:挖矿恶意软件可能是企业内部数据泄露的前奏,给企业的数据安全带来极大威胁。
  • 声誉受损:客户发现企业系统被挖矿恶意软件感染,会损害企业的信誉和声誉

如何避免电脑成为“矿机”?

大家除了自己不“挖矿”之外,还应避免自己的电脑成为别人的“矿机”,需做到以下几点:

  • 更新和维护安全软件:定期更新操作系统和安全软件,确保受到最新的安全防护。
  • 网络安全教育:提高用户和员工的网络安全意识,避免点击可疑链接和下载不明文件。
  • 使用强密码:使用复杂、独特的密码,减少被破解的可能性。
  • 网络流量监控:企业可以通过监控网络流量,检测异常活动,及时发现并应对挖矿行为。
  • 端点安全解决方案:使用端点安全解决方案来检测和防范恶意软件的传播和活动。
  • 广告拦截器和恶意软件防护插件:使用广告拦截器和恶意软件防护插件,减少感染的机会。
  • 定期备份数据:定期备份重要数据,以防止数据丢失或被勒索软件攻击。
  • 网络防火墙:配置网络防火墙,限制不明连接,减少挖矿恶意软件的传播。

如何检测网络中的恶意挖矿软件?

监控网络性能

首先,企业安全团队需要检查系统性能。终端用户可能会注意到 CPU 使用率过高、温度变化或风扇速度加快,这可能是业务应用程序编码不当的征兆,但也可能表明系统上存在隐藏的恶意软件,企业可以设置安全基线以更好地发现系统中的异常。不过,仅仅依靠性能异常来识别系统是否受影响也并不是万全之策。

最近的事件表明,攻击者正在限制对系统 CPU 的需求以隐藏其影响。例如,近期微软数字防御报告就指出越南威胁组织 BISMUTH 针对法国和越南的私营部门和政府机构,正在通过“融入”正常网络活动来避免检测。因为加密货币矿工往往被安全系统视为优先级较低的威胁,所以 BISMUTH 能够在不被注意的情况下潜入系统。

查看未经授权连接的日志

除了检查表现异常的计算机之外,企业还应查看防火墙和代理日志,了解它们正在建立的连接,以检测隐蔽的恶意挖矿活动。企业最好能准确地获知有权连接的位置和IP地址,如果此过程过于繁琐,请至少查看防火墙日志并阻止已知的加密矿工服务器地址。近日 Nextron 的一篇博客文章分析了常见加密矿池,推荐查看防火墙或 DNS 服务器是否受到影响。

例如,查看是否有包含 *xmr.* *pool.com *pool.org 和 pool.* 的日志,看看是否有人正在滥用企业网络。如果企业有一个高度敏感的网络,可以设置白名单允许必要的IP地址访问,不过,在云计算时代,这种方法很难实现。举例说明,当微软为其 Azure 数据中心添加新范围时,微软客户就可能需要调整授权 IP 地址列表,这无疑给客户增加了负担。

使用浏览器扩展组件,阻止恶意挖矿软件

一些浏览器扩展组件能够监控并阻止恶意挖矿软件,例如NoCoin和MinerBlocker就能监控可疑活动,并阻止攻击,两者都是适用于 Chrome、Opera 和 Firefox 的扩展程序。企业还可以通过禁用浏览器 JavaScript 阻止恶意活动,因为恶意 JavaScript 应用程序通过横幅广告和其他网站操作技术传播。不过,在企业中禁用浏览器JavaScript需要提前确认核实,因为这么做可能会对网站业务功能产生不利影响。

启用Edge浏览器的 Super-Duper安全模式

微软正在测试Edge浏览器的Super-Duper安全模式,通过在 V8 JavaScript 引擎中禁用即时 JIT 编译来提高 Edge 的安全性。微软表示,现代浏览器中的 JavaScript 漏洞是攻击者最常用的载体。2019年 CVE 漏洞数据显示,大约有45%的 V8 攻击与 JIT 相关。不过,禁用 JIT 编译确实会影响性能,Microsoft Browser Vulnerability Research 进行的测试证实了这一点。在Speedometer 2.0 这样的JavaScript 基准测试中,其性能下降幅度高达58%。尽管如此,微软表示用户不会在意这种性能下降,因为用户在日常使用中很少会注意到这种性能下降。

总结

挖矿恶意软件是一个严重威胁个人和企业网络安全的问题。为了保护自身利益,个人用户和企业需要加强网络安全意识,采取切实可行的防范措施。同时,网络安全技术领域的专家也需要不断研究和改进安全技术,以适应不断演变的挖矿恶意软件威胁。通过共同的努力,我们可以更好地应对这一威胁,保护网络空间的安全与稳定。

相关文章

在当前日益复杂和严峻的网络安全威胁下,企业越来越倾向于采用零信任安全模型来保护其关键资产和数据。然而,随着对零信任模型的应用不断深入,投入过度的危害也日益显现。企业在追求完美安全的同时,往往会忽视关注主要风险,从而导致资源的浪费和效率的降低。本文将探讨企业如何避免零信任安全建设投入过度的危害,提出一些关键策略和实践建议。
在当今数字化时代,网络安全已成为企业和组织面临的一项重要挑战。随着网络攻击日益复杂和频繁,传统的网络安全模型已经不再足以保护组织的关键资产和数据。因此,越来越多的组织开始转向零信任安全模型,这种模型基于一个简单但强大的概念:不信任任何人或任何设备,即使它们在组织的网络内。