由眾多安全業者組成的網絡威脅聯盟(Cyber Threat Alliance,CTA)於本週發表了《非法挖礦威脅》研究報告,指出今年偵測到挖礦惡意程式的數量比去年增加了459%,而且並未因為虛擬貨幣價格的下滑而趨緩,若說去年最嚴重的安全威脅是勒索軟件,那麼今年就是非法挖礦。
所謂的非法挖礦是黑客藉由入侵使用者的電腦、瀏覽器、物聯網裝置、移動裝置或網絡架構,在未經授權的狀態下偷偷植入挖礦程序,竊取這些裝置的運算資源來替黑客開挖虛擬貨幣。
研究顯示,未修補的安全漏洞是黑客入侵的主要管道之一,例如美國政府所打造的EternalBlue攻擊工具是開採了微軟Windows中用來共享檔案與打印機資源的SMB協定的安全漏洞,且微軟已於去年3月釋出MS17-010修補,然而,現在仍有不計其數的組織並未修補該漏洞,使得該漏洞迄今仍遭到Adylkuzz及Smominru兩款惡意採礦程序的利用。
此外,SMB協定漏洞還只是冰山的一角,其它還有更多年久失修的漏洞被惡意採礦程序成功攻陷。CTA認為這對企業來說是個警訊,假設黑客能夠潛入企業網絡並植入挖礦程序,那么也可能帶來更大的威脅。
研究還發現有許多新手黑客透過唾手可及的惡意程式或瀏覽器攻擊程序來竊取系統資源,由於缺乏經驗,不懂得限制挖礦軟件的能力,直接耗盡了CPU或GPU的資源,不僅損害了IT設備,也讓受害者察覺到它們的存在。
至於有經驗的老手則發展出更復雜的手法來隱藏這些惡意行為,以避免被識破,諸如將惡意行為藏匿在合法程序中的"離地攻擊"(living off the land),並限制挖礦程序所使用的運算資源,或是在偵測到鼠標移動時停止挖礦行為。根據Palo Alto Networks的調查,不少經驗老道的黑客只會竊取20%的CPU資源。
儘管挖礦的效率與裝置的性能有關,但許多黑客著眼於"聚沙成塔"的效果,使得不管是路由器、智慧電視、機上盒或監控主機等物聯網裝置被植入挖礦程序的數量都在增加中。
CTA也提醒大型企業要特別小心挖礦程序的存在,因為企業擁有大量的裝置、高運算能力的服務器,甚至是公有云系統,都讓它們成為黑客眼中的寶庫。
閱讀更多 數碼小強 的文章
