来自帕洛阿尔托网络公司Unit 42威胁研究团队的Josh Grunzweig周一(6月11日)在一篇题为《加密货币矿工的崛起(The Rise of the Cryptocurrency Miners)》的博客文章中指出,从该公司WildFire平台收集的数据来看,自2017年以来,加密货币挖掘恶意软件样本的数量一直在快速上升。这意味着非法加密货币挖掘正在成为一种新的网络威胁,越来越多的网络攻击开始倾向于传递加密货币来挖掘恶意软件。
下图显示了随着时间的推移,已识别出多少新的加密货币挖掘恶意软件样本。然而,值得一提的是,这些数据并不代表全部情况,包括JavaScript或基于web的恶意挖掘活动,这些活动也继续困扰着每个互联网用户。
图1:新加密货币挖掘恶意软件样本的数量
Grunzweig希望通过分析整个数据集来回答以下两个问题:
什么加密货币被挖掘的最多?攻击者赚了多少钱?自2017年6月以来,比特币和其他热门加密货币的价格大幅上涨,越来越多的人试图投资,最终推动价格越来越高。无独有偶,2017年6月,Unit 42团队也见证了野火平台中加密货币挖矿恶意软件数量的激增。
图2:比特币价格表(美元)
这种价格的大幅上涨在2017年12月达到顶峰,当时比特币的价格涨到了近2万美元。现在,它的价格已经降到了8000美元左右。
总体统计到目前为止,已经确认了约47万个独特的样本。根据野火报告和相关的PCAP数据,Grunzweig分析了样本的以下信息:
当挖掘的目标货币连接到挖掘池时使用的电子钱包和电子邮件地址。Grunzweig从采矿池收集的最终数据如下:
29,126个样本3,773个用于连接矿池的电子邮件地址2,995个矿池地址2,341个门罗币(XMR)钱包981个比特币(BTC)钱包131个ETN钱包44个以太坊(ETH)钱包Grunzweig表示,网络攻击传递的大多数加密货币挖掘恶意软件都以门罗币为目标(约
图3:加密货币挖掘恶意软件针对的货币类型
门罗硬币统计如上所述,Grunzweig从分析的样本集中提取了2341个门罗硬币钱包。与其他一些加密货币不同,Grunzweig表示,在没有所有者密码的情况下,无法通过查询门罗币区块链来提取单个钱包的当前余额,这种密码来自门罗币的原始设计(更强大的隐蔽性)。
因此,Grunzweig采用了一种不同的方法,根据采矿作业中使用的采矿池来确定攻击者赚了多少钱——。通过查看恶意软件使用的前十大挖掘池,Grunzweig表示,除了一个以外,所有挖掘池都允许匿名查看基于钱包作为标识符的统计数据。
图4:匿名查询挖掘池以获取Monroe钱包信息的示例
Grunzweig最后询问了所有2341枚门罗硬币钱包使用的前八大矿池。由于查询的是矿池本身(而不是区块链),这使他能够准确地确定历史上有多少门罗币被开采,而不用担心数据会被其他来源污染(例如,发送到这些钱包的付款)。
研究中使用了以下采矿池地址:
Moneopool.] Commonerosh.] com加密池[.] FRXMRPool [.] EUC1D2 [.] Comdwarfpool [.]comnanopol[.] OrgSupportXMR [.] com通过在这些矿池中进行查询,Grunzweig目前已经获得了以下关于
图5:十大矿池的收入
结论到目前为止,非法加密货币挖掘活动的受欢迎程度持续飙升。这类活动的暴涨可以说是之前加密货币价格大幅上涨的直接结果,目前的价格走势正在下跌并趋于稳定。在这种趋势下,只有时间才能证明加密货币挖掘恶意软件是否会继续流行。显然,对于那些长期利用恶意技术来剥削加密货币的个人或团体来说,这样的活动是非常有利可图的。历史上,被恶意软件开采的门罗币总价值达到1.75亿美元,占目前市场上流通的所有门罗币的5%。
通过网络攻击完全阻断加密货币的交付来挖掘恶意软件是一项非常困难的任务,因为许多恶意软件开发者会限制CPU的使用,或者确保挖掘操作只在一天中的特定时间或者用户不活跃的时候进行。此外,恶意软件本身也通过大量不同的方法进行传播,这需要防御方对安全有更深入的了解。
本文由黑客视界综合网整理,图片均来自网络;请注明“来自黑客视界”,并附上链接。