2017是加密货币劫持( cryptojacking)非常活跃的一年。据Symantec发布的数据显示,加密货币劫持增加了8500%。2018年挖矿恶意软件似乎更加普遍,Cyber Threat Alliance9月的报告显示,自今年1月1日起,加密货币劫持仍有500%的增长空间。
然而,在单纯的增长背后,情况其实更为复杂。尽管有些机构的季报显示,2018年前两个季度检测到的挖矿恶意软件数有所增加,而其他报告则显示这一数量实际上已经减少了。
虽然自去年以来加密货币价格持续波动以及软件漏洞推动了挖矿恶意软件的增长,但也存在一些其他因素,例如业余加密货币劫持者的入场,以及合法挖矿成本的影响。
业余加密货币劫持者
如果谈到加密货币劫持业的最主要趋势,就要提到针对门罗币的挖矿恶意软件。实际上,Palo Alto Networks于7月报告显示,在所有检测到的恶意软件中,针对门罗币的软件占比高达84.5%,相比之下针对比特币的恶意软件占8%,其他加密货币占约7%。
原因很简单: 门罗币 (XMR) 不仅是一种隐私币(privacy coin),也是市值最具价值的隐私币,其市值总排名为第10。门罗币使用Cryptonight工作量证明(PoW)算法,其将用户的输入与其他用户的输入混合,还使用“环保密交易(ring confidential transactions)”来模糊正在交易中的XMR数量。因此,它是网络犯罪者的理想选择。
门罗币在2017年已成为最受欢迎的加密货币之一,而2018年出现了许多与前期不同的发展。最值得注意的是,加密货币劫持逐渐成为业余“黑客”的聚集地,他们被廉价的挖矿恶意软件和显著的经济回报所吸引,加入到网络非法活动中。据俄罗斯网络安全公司Group-IB表示,黑市网络中“充斥着廉价的挖矿软件”,价格低至0.50美元。
目前此类软件数量暴增,2017年,Group-IB发现,地下论坛上发布了99条待售加密货币劫持软件的公告,而在2018年,这一数量为477,增加了381.8%。该公司在其报告中指出:
"挖矿市场的低门槛导致人们不需要专业技术和黑客经验,就能轻松进行恶意挖矿。"
持续增长
换句话说,加密货币劫持已成为一些犯罪者的业余爱好,数千名业余黑客蜂拥而入。这也许可以解释今年的检测数量显着增加的原因,卡巴斯基实验室(Kaspersky Labs)向Cointelegraph表示,PC加密货币劫持受害者数从2016/17年的190万增加到2017/18年的270万。卡巴斯基实验室的恶意软件分析师Evgeny Lopatin表示:
“挖矿模型 […] 比起其他攻击矢量来说更为稳定、更易激活。通过对受害者发起攻击,用他们的CPU或GPU算力来挖掘加密货币,再通过合法交易所和交易将其转化为一般货币。”
当然,每当各种“检测”出现时,很有可能是由于检测方法的改进,导致检测值的增加。 “不过,这不是主要推动因素,因为我们确实看到了加密货币劫持的实际增长,”Lopatin表示。
“我们的分析表明,全球范围内,越来越多的犯罪者开始使用加密货币挖矿恶意软件。”
McAfee在4月的一份报告中指出,在检测到的软件中CoinMiner占比最高,CoinMiner是一种恶意软件,它秘密地将从CoinHive XMR挖掘算法中获取的代码插入到受害者的计算机中。当受害者从网上下载受感染的文件时,这种情况就会发生,而2018年这样的漏洞现在也开始对Apple Mac造成影响,而Mac一直被认为比Windows系统更安全。
美国安全公司Malwarebytes首先指出这一现象, 该公司在5月的一篇博文中报道了一项全新加密货币挖矿恶意软件,该软件利用了合法XMRig挖矿软件。该公司Mac和移动总监Thomas Reed表示:
"通常,Mac恶意软件是在用户从私人网站下载和安装假冒Adobe Flash Player等软件,同时通过一些诱导文件使用户打开下载的程序时入侵Mac系统。"
事实上,这并不是首个被发现的Mac挖矿恶意软件,Reed表示这些软件的出现是在“例如Pwnet、CpuMeaner和CreativeUpdate等macOS加密货币挖矿软件出现之后被开发的。”
EternalBlue
不过,虽然许多业余黑客加入密货币劫持,但今年出现的许多攻击仍然来自许多“精英”黑客机构。网络安全公司Proofpoint在1月底报告称,加密货币僵尸软件Smominru已经传播至超过50万台计算机,而主要归结于美国国家安全局(National Security Agency)在网上泄露的称为EternalBlue的Windows漏洞。
2017年五月,WannaCry对这一名为EternalBlue的漏洞发起了攻击。据Cyber Threat Alliance (CTA)称这也是今年加密货币劫持增长459%的主要原因之一。
Worryin让人担忧的是,CTA的报告显示,只有在加密货币劫持成功率更高、收益更高的情况下,其才会出现增长:
"当加密货币劫持黑客资金充足时,这些组织将在未来作出更复杂的攻击。例如,几个大型僵尸软件(Smominru、Jenkins Miner、 Adylkuzz) 已经获取了几百万美元。"
而目前情况已经很糟了,CTA表示,受到挖矿恶意软件感染后,受害者的损失将不可估量。
"总的来说,当黑客们将加密货币挖矿软件植入大型企业网络中后,后者将出现能耗增加、运营效率减退、停工、修理硬件损害等等麻烦,与相对较小规模的加密货币攻击相比,大企业付出的代价实在太大。 "
成本
当谈到加密货币劫持,就不得不提到其成本,不仅是受攻击者会付出的代价,也有黑客们的相关成本。加密货币劫持主要是窃取电力和CPU, 这也就意味着,其普遍性不仅是在门罗币和其他加密货币保持其价值的情况下会出现,只要挖掘XMR和其他加密货币保持高成本的情况下,加密货币劫持都会存续下去。
据CryptoCompare的门罗币盈利能力计算器计算结果显示,使用具有600 H / s哈希率的显卡(如Nvidia GTX 1080)以及100W电力(非常保守的估计)的美国个体矿工,每月盈利仅有0.8033美元。显然,看上去并没那么诱人,这也是很多业余爱人士转向加密货币劫持的一个重要原因,因为如果不是大型矿业公司,个人在挖掘XMR的同时自行支付电费,挖矿的性价比其实并不高。
然而,最近有迹象显示,门罗币挖矿利润在上升,即使对于小规模矿工也是如此。这一趋势是在今年4月6日的硬分叉之后发生的,这一分叉改变了其的PoW协议,使其与ASIC矿工不再兼容,ASIC在挖矿业(特别是比特币挖矿)占主导地位。
BitInfoCharts显示,当这一硬分叉完成后,门罗币的reddit页面报告显示,门罗币挖矿利润增加了300%至500%,尽管这一现象在几周后就结束了。
同样,在承诺永远抵制ASIC挖矿设备上,门罗币也非常谨慎。开发人员dEBRYUNE和dnaleor在二月份的博文中谈到:“人们认识到ASIC可能在任何基于工作量证明(的加密货币)发展中都是不可避免的....我们也承认ASIC可能是不可避免的,但我们认为,任何向ASIC主导网络的过渡都需要尽可能实现平等,才能推进去中心化。”
下降?
假设合法挖掘XMR收益增加,这就解释了一些网络安全公司观察到的加密劫持增长趋于平缓的现象。 Malwarebytes在其2018年二季度报告中透露,恶意挖矿软件检测数从3月初的500万高峰下降到6月初的150万低点。这一下降趋势可能与其他分析师所报道的情况相冲突,但由于Malwarebytes的研究是最新公布的,也可以说是最具权威性的。
至于这一下降现象是合法挖掘门罗币的收益上涨、企业和个人对加密货币抢劫威胁更加警惕,还是加密货币价值普遍下降的结果,暂不得而知。不过,Malwarebytes预测称,在未来,“加密货币恶意挖矿会淡出舞台。 “当然,我们仍会看到很多加密货币恶意挖矿的存在,但目前来看这一行为已经过了高峰期了。”