網路威脅聯盟:今年非法挖礦行為成長459%

由眾多資安業者組成的網路威脅聯盟(Cyber Threat Alliance,CTA)於本周發表了《非法挖礦威脅》研究報告,指出今年偵測到挖礦惡意程式的數量比去年增加了459%,而且並未因為加密貨幣價格的下滑而趨緩,若說去年最嚴重的資安威脅是勒索軟體,那麼今年就是非法挖礦。

所謂的非法挖礦是駭客藉由入侵使用者的電腦、瀏覽器、物聯網裝置、行動裝置或網路架構,在未經授權的狀態下偷偷植入挖礦程式,竊取這些裝置的運算資源來替駭客開挖加密貨幣。

研究顯示,未修補的安全漏洞是駭客入侵的主要管道之一,例如美國政府所打造的EternalBlue攻擊工具是開採了微軟Windows中用來共享檔案與印表機資源的SMB協定的安全漏洞,且微軟已於去年3月釋出MS17-010修補,然而,現在仍有不計其數的組織並未修補該漏洞,使得該漏洞迄今仍遭到Adylkuzz及Smominru兩款惡意採礦程式的利用。

此外,SMB協定漏洞還只是冰山的一角,其它還有更多年久失修的漏洞被惡意採礦程式成功攻陷。CTA認為這對企業來說是個警訊,假設駭客能夠潛入企業網路並植入挖礦程式,那麼也可能帶來更大的威脅。

研究還發現有許多新手駭客透過唾手可及的惡意程式或瀏覽器攻擊程式來竊取系統資源,由於缺乏經驗,不懂得限制挖礦軟體的能力,直接耗盡了CPU或GPU的資源,不僅損害了IT設備,也讓受害者察覺到它們的存在。

至於有經驗的老手則發展出更複雜的手法來隱藏這些惡意行為,以避免被識破,諸如將惡意行為藏匿在合法程序中的「離地攻擊」(living off the land),並限制挖礦程式所使用的運算資源,或是在偵測到滑鼠移動時停止挖礦行為。根據Palo Alto Networks的調查,不少經驗老道的駭客只會竊取20%的CPU資源。

儘管挖礦的效率與裝置的效能有關,但許多駭客著眼於「聚沙成塔」的效果,使得不管是路由器、智慧電視、機上盒或監控主機等物聯網裝置被植入挖礦程式的數量都在增加中。

CTA也提醒大型企業要特別小心挖礦程式的存在,因為企業擁有大量的裝置、高運算能力的伺服器,甚至是公有雲系統,都讓它們成為駭客眼中的寶庫。

原文來自 iThome Online