什么是加密采矿？

加密货币挖矿是一种发展速度极快的网络威胁。在2023-24年期间，相关案例数量增加了659%。由于犯罪分子寻求低风险的替代方案来实施勒索软件攻击，而无需使用传统的文件攻击手段，因此这种威胁变得更加普遍了。随着相关案例的不断增加，企业必须尽快采取预防措施来应对这一威胁。

这篇文章解释了什么是“加密挖矿”行为，以及这种攻击是如何进行的。在讨论如何阻止加密挖矿行为并保护网络资产之前，我们将介绍一些实际案例和检测技巧。

“加密货币挖矿劫掠”的含义是：通过未经授权的方式，利用他人的计算机资源来挖掘加密货币。这种行为属于一种违法行为，因为这种行为侵犯了他人的财产权。

加密货币挖矿攻击是一种网络攻击形式。它能够控制各种设备，并部署嵌入式脚本来挖掘加密货币。加密货币挖矿行为是在后台进行的，它会消耗目标设备的资源。攻击者通过这种方式获得收益，而受害者则面临着性能问题，甚至在某些情况下会导致系统崩溃。

背景：什么是加密货币？

要理解“加密采矿”现象，就需要先了解加密货币的基础知识。加密货币是一种基于区块链技术而创建的数字资产，可以被交易使用。

区块链是一种全球性的账本，它记录了所有现有的加密货币资产的信息。除了记录交易或添加新的代币之外，货币持有者无法修改区块链上的数据。外部人员可以查看链上发生的每一笔交易，但参与者的身份仍然保持私密状态。

加密货币并非凭空产生的。它们是由某种机制或过程生成的。解码复杂的哈希块如果矿工成功“破解”了某个哈希块，那么这个哈希块就会被添加到全球区块链中。这样，矿工实际上就获得了某种加密货币代币，他们可以将这些代币用于购买现实世界中的商品，或者将其存储在加密钱包中。

加密货币挖矿是一种……效率低下处理一个哈希块大约需要155,000千瓦时的电力消耗（作为参考，普通美国家庭每月的电力消耗不到1,000千瓦时）。

很少有人能够拥有如此规模的计算资源。为了应对这一情况，犯罪分子们找到了各种方法来控制他人的设备。通过劫持这些设备，他们可以无需承担任何计算成本就能进行挖矿活动。

加密挖矿是如何运作的？

加密货币挖矿是一种解决现实问题的非法手段。进行加密货币挖矿需要大量的资金和时间投入。矿工们需要使用先进的GPU来构建强大的挖矿设备，同时还需要安装冷却系统以确保设备的稳定运行。而加密货币挖矿则避免了这些成本，因此使得加密货币挖矿变得更加经济实惠。

这些“加密货币挖矿者”利用数百甚至数千个中央处理器来汇集计算资源。他们通过多种恶意手段来控制目标设备来实现这一目标。

• 恶意软件 或者，通过“drive-by cryptojacking”方式来实施恶意行为。黑客会在受害者的设备上植入恶意代码，以进行挖矿活动。这些挖矿代码会深入系统内部，在后台运行，从而占用CPU资源来进行挖矿操作。攻击者通常会通过钓鱼邮件或恶意链接来部署这些挖矿脚本，而受害者往往并没有意识到这一点。
• 浏览器内的加密挖矿行为。这些攻击是通过恶意PHP或JavaScript代码在网页浏览器中发起的。攻击者还可以通过受感染的浏览器扩展程序，或者通过下载受感染的Java库来植入恶意代码。由于浏览器加密劫持行为并不需要单独安装恶意软件，因此很难被检测到。
• 网络应用程序攻击。加密货币挖矿者可以通过不安全的端口以及网络应用程序的入口来访问网络设备。攻击者可以利用像WordPress这样的网络应用程序，将挖矿脚本植入目标网站中。此外，他们还可以利用跨站脚本攻击来破坏那些不安全的在线表单功能。
• 基于蠕虫的加密货币挖矿攻击。攻击者利用自我传播的蠕虫来传播加密挖矿代码，从而自动扩展他们的攻击范围。例如，Graboid蠕虫就是通过数据容器来传播的，因此能够轻易避开终端检测系统。这些蠕虫可以在网络中迅速扩散，从而形成一个个独立的挖矿节点。这会严重损害网络的性能。
• 云层跳跃。攻击者通过被入侵的云账户和被盗用的API密钥来劫持虚拟机器。目标的云环境因此被用于加密货币挖矿操作，最终导致合法用户需要支付高昂的服务费用。
• 无文件加密的加密货币劫取行为这些加密挖矿攻击利用无文件技术来隐藏自己，从而逃避检测。这些脚本会加载到目标设备的内存或引导扇区中。并不需要专门设计用于加密挖矿的恶意软件。这种攻击方式很难被检测到，而且留给安全分析师分析的证据也非常少。
• 内部威胁并非所有的加密挖矿攻击都涉及远程传播恶意软件或采用无文件形式的攻击方式。内部人员也可以通过未经授权的硬件来运行加密挖矿代码，或者向恶意攻击者泄露相关凭据。

上述各种攻击方式在如何感染网络和设备方面有所不同。不过，加密挖矿攻击通常都遵循某种固定的模式或策略来实施。

• 攻击通常以某种方式开始。妥协受害者会点击那些虚假网站的链接，从而下载恶意软件。或者，他们可能会下载一些看似无害的电子邮件附件。
• 当受害者们……可以下载该附件，或者访问那个假冒的网站。这些加密挖矿软件会被下载到用户的设备上（或浏览器中）。这些程序会立即被执行，从而启动加密挖矿脚本，这些脚本会将设备连接到攻击者的僵尸网络上。
• 加密挖矿代码劫持受害者的设备从背景中的位置来看，这种挖矿应用程序会寻找计算资源，并将其用于自己的目的。
• 与此同时，“Cryptojackers”负责监控这一过程。通过那些能够监控所有连接设备的指挥控制中心来实现这一点。他们会将已破解的哈希值存储到自己的加密钱包中，同时管理网络，以最大限度地降低被发现的风险。

如何检测加密货币挖矿行为

加密货币挖矿是一种严重的网络安全和运营威胁。一旦某个设备被感染，该设备就会无法正常运作，从而影响到个人的工作效率。而受感染的网络则有可能崩溃，导致关键系统无法正常运行。

企业需要通过早期检测来避免这种情况。幸运的是，有几种方法可以识别加密挖矿行为，并采取措施加以应对。

• 无法解释的设备运行速度下降现象笔记本电脑和工作站的运行速度明显比平时慢了很多，尽管它们仍然在运行着相同的应用程序。
• 系统可靠性问题由于内存或散热问题，这些设备可能会开始频繁出现故障。
• 电池性能不佳随着这些设备为了应对加密挖矿攻击而不断加大负担，它们的电池资源往往会比正常情况下更快地耗尽。
• 可疑设备正在发热。当设备在其规格的极限状态下运行时，它们往往会迅速升温。无法解释的高温现象或风扇性能异常，都可能表明正在发生加密货币挖矿行为。

单独来看，这些症状可能并不表明存在持续的加密劫持攻击。设备可能会出现故障，软件配置问题也可能导致性能问题。不过，如果您发现以下情况的话……上述症状的合并表现很可能，这就是导致问题的原因——加密挖矿行为。

加密货币挖矿劫掠的实例

自比特币在2009年问世以来，挖矿行为就一直存在。不过，所谓的“加密货币劫掠”现象则出现得比较晚。最早的加密货币劫掠攻击发生在2017年。从那时起，攻击者变得越来越狡猾，也变得更难以被检测出来，因此他们对现代商业网络构成了持续的威胁。

CoinHive（2017年）

早期的加密货币挖矿脚本依赖于恶意广告来操控计算资源。而CoinHive则采取了不同的方式，它作为一种合法的附加程序被安装在下载的应用程序中。这些整合后的脚本会占用用户计算机上的一小部分CPU资源来进行加密货币挖矿。不过，犯罪分子很快学会了如何利用CoinHive来实现一些非法的目的。

攻击者通过在用户不知情的情况下，将CoinHive整合到网站中，从而利用它进行攻击。通过嵌入恶意代码，攻击者可以轻易地控制这些网站，并传播恶意软件。很快，犯罪分子就学会了如何将挖矿工具嵌入到各种扩展程序、网络应用程序以及广告中。

柠檬鸭（2019年）

Lemon Duck利用加密货币挖矿技术来挖掘Monero代币。Monero是一种非常受欢迎的加密货币挖矿选择，因为其操作所需的時間和計算能力都相对较少。像Lemon Duck这样的工具还能实现快速传播，同时降低被检测到的风险。

犯罪分子还可以通过Lemon Duck自动连接数百个机器人程序。这种病毒像蠕虫一样在网络中扩散，一旦开始传播后就很难被检测出来。这种无文件形式的病毒还利用了PowerShell命令以及CVE-2017-0144漏洞，因此很难被识别出来。

被感染的 Chrome 和 Edge 浏览器扩展程序（2019年）

在2019年，安全研究人员发现了一种新的攻击手段：将加密挖矿代码嵌入到Chrome应用商店中常见的浏览器扩展程序中。有分析人士发现，有一种名为“2048数学游戏”的软件被感染了这种恶意代码。另一个例子则涉及一个看似无害的MP3下载工具，该工具也感染了这种恶意代码。这两种情况都使用了复杂的脚本来伪装成Google Analytics，从而暗中加载加密挖矿工具。

特斯拉：加密货币挖矿行为已蔓延至云端（2018年）

在2018年，特斯拉报告称，其亚马逊网络服务部署中的Kubernetes集群遭到了加密挖掘攻击。简单的Kubernetes配置错误使得攻击者能够突破特斯拉的云环境，进而部署XMrig这种用于进行门罗币加密挖掘的脚本。

如何防止加密货币劫掠行为

加密货币挖矿行为不仅仅是一种麻烦。从个人层面来看，那些进行加密货币挖矿的黑客所要求的处理能力会损坏设备，导致数据丢失。被感染的公司网络也常常会出现性能问题，此外，受影响的网站或应用程序也会出现问题。

预防工作至关重要。以下是一些在恶意软件造成破坏之前检测和消除它的最佳方法：

• 培训员工，以降低网络钓鱼攻击的风险许多加密货币勒索攻击的起因，都是因为用户打开了被感染的附件。因此，需要培训员工能够识别可疑的电子邮件、附件以及链接。此外，还需要定期更新针对网络钓鱼行为的培训内容，确保用户了解维护电子邮件安全的重要性。同时，还应包括有关安全文件共享和网页浏览方面的培训内容，以涵盖所有主要的加密货币勒索攻击手段。
• 实施EDR技术，以保护网络资产的安全。端点检测与响应（EDR）可以帮助您阻止那些利用计算机进行挖矿行为的攻击者。例如，EDR工具能够检测到与潜在挖矿网络相关的连接行为，或者可疑的流量峰值现象。自动化的响应机制可以阻止这些危险的连接，同时向安全团队发出警报，从而让您有时间来评估当前的情况。
• 使用CDR来保护云部署环境。云检测与响应技术能够将加密挖矿行为的预防范围扩展到云端。该技术能够监控AWS或Azure环境中的活动，以发现加密挖矿攻击的迹象。例如，CDR可以识别出云计算成本中的异常波动，而这些异常波动可能会被EDR所忽视。结合使用这两种工具，就能实现全面的保护。
• 在网络设备上禁用JavaScript功能JavaScript是最常见的用于传播恶意软件的载体之一。员工应使用安全的网络浏览器，并禁用JavaScript功能。这样就能阻止那些来自受感染网站的恶意脚本的入侵，从而有效防止犯罪分子进入您的网络。如果必要的话，可以在隔离的环境中运行Java程序。
• 使用VPN来保护API和Web应用程序的安全。虚拟私人网络可以通过添加一层加密保护来防止“挖矿攻击”。此外，虚拟私人网络还能帮助保护通过公共Wi-Fi进行远程连接时的安全性，因为公共Wi-Fi是导致挖矿攻击的常见途径。
• 定期更新网络应用程序。“Cryptojackers”会寻找那些与恶意攻击相关的过时软件版本。因此，将面向互联网的应用程序更新到最新版本是非常重要的。通过更新这些应用程序，可以消除那些容易被利用的漏洞，从而有效防止“cryptojacking”行为的发生。不过，这样做也会让“Cryptojackers”不得不采用更危险、更复杂的策略来实施他们的攻击行为。
• 使用系统监控工具先进的硬件监控功能可以帮助您在加密挖矿攻击对网络性能造成损害之前及时发现这些攻击。网络监控工具能够跟踪网络中的CPU使用率和流量，并利用机器学习技术来检测与正常状态的轻微偏差。这种监控方式可以很好地补充EDR和CDR的功能，从而让检测工作变得更加容易。
• 防止未经授权的横向移动遵循“最小权限原则”，在没有合法业务需求的情况下，阻止对网络资源的访问。使用零信任安全工具来验证网络中的身份信息。这样可以限制攻击者的横向移动，从而有效遏制加密货币劫掠行为的发生。

需要阻止那些利用加密货币挖掘来制造威胁的行为，以避免出现性能问题。

加密货币挖矿攻击控制这些目标设备，并将其整合到大规模的加密货币挖矿网络中。这些恶意程序会迫使被感染的设备满足他们的需求，从而将CPU的运算能力以及GPU的资源转移到犯罪目的上。其结果可能是设备的运行速度变慢，甚至导致设备完全无法正常运行，还会引发整个网络的性能问题。

避免成为加密挖矿行为的受害者。使用EDR、CDR以及网络监控工具，以便尽早发现加密挖矿行为。培训员工，让他们尽量减少遭遇网络钓鱼攻击的风险。同时，及时更新应用程序，以在攻击发生之前阻止相关漏洞的利用。