什么是加密劫持？加密矿网站如何秘密使用您的CPU

加密劫持的兴起并没有使那些在加密与安全领域中的人感到意外。实际上，唯一令人惊讶的事情可能是恶意参与者使用加密劫持来挖掘加密货币所花费的时间.

随着2017年底加密货币的繁荣发展，加密货币的突然飙升也随之而来。 恶意加密劫持事件.

加密货币繁荣的惊人高峰早已一去不复返了；尽管仍然无法预测，但加密货币市场还是比较稳定的。价格下降是否与减少密码劫持事件有关？它们有关系吗？这是你需要知道的.

什么是加密劫持?

加密劫持是对恶意攻击的统称，在这种攻击中，毫无戒心的用户会劫持其系统硬件来挖掘加密货币。加密劫持浏览器攻击的基本前提是：

毫无戒心的用户登陆了被破坏的网页.
该网页上有一小段JavaScript，其中包含加密劫持代码.
加密劫持代码劫持了系统CPU，并使其使用挖矿加密货币，通常是Monero.
在某些情况下，JavaScript将打开一个最小化的隐藏浏览器窗口。当用户离开站点时，非法加密货币挖矿继续进行.
但是，大多数加密劫持攻击会在“网站”标签关闭时结束.

加密劫持不只是基于浏览器的。有几种类型的恶意软件会在感染您的系统后挖掘加密货币。大多数恶意软件都试图保持沉默，但与大多数相比，加密劫持恶意软件的沉默程度更高。密码劫持恶意软件变体可以保持沉默的时间越长，攻击者获得的潜在奖励就越大.

那么，加密劫持就是盗窃. 毫无戒心的用户并没有直接赔钱，但是他们正在丢失系统资源来为他人的财务收益提供动力。尽管加密劫持是恶意的，但即使在短时间内以最大或接近最大容量运行CPU，也不会对目标系统造成任何长期损害.

为什么加密劫持会使用系统资源?

加密货币不会在树上生长。不，它在服务器上增长，等待合适的矿工出现并发布。加密劫持脚本主要使用系统CPU来执行此操作.

加密网络通过区块链管理交易。每个网络事务都添加到一个块中。该区块被分发到连接的矿工网络以进行验证。每个矿工都有特定于加密货币的区块链的副本，并且可以验证和处理该网络的交易.

当新的区块到达时，矿工的系统会处理复杂的方程式以验证区块的内容。验证后，该区块将添加到区块链中，矿工将为他们的努力获得回报。对于比特币，奖励为12.5 BTC，由贡献者共享.

加密货币挖矿成功的关键是速度和处理能力。您的系统多快可以验证该区块内的交易？对于不使用专门的加密采矿硬件的任何人来说，比特币采矿基本上是没有用的。巨大的采矿能力只会淹没一台微型家用台式计算机.

如果不是比特币，他们在挖掘什么?

即使比特币价格从令人兴奋的19,000美元以上的价格回落到当前的高峰和低谷，也无法访问比特币挖矿。此外，以太坊和基于ERC-20的令牌使用GPU来挖掘加密货币。那么到底是什么加密货币劫机者试图挖矿?

在大多数情况下，浏览器加密劫持脚本和加密劫持恶意软件正在挖掘Monero。轻量级，隐私性和匿名性为重点的加密货币更容易被比特币所挖掘，并且从理论上讲为事实提供了保护。但不是所有的。当您进一步阅读本文时，一些高级加密劫持威胁会挖掘比特币.

但是，即使门罗币比比特币更容易开采，它仍然需要原始计算能力。原始计算能力需要对硬件的投资。让我们面对现实吧，如果采矿小偷可以用一小段JavaScript窃取硬件，为什么他们不尝试最大化利润呢？?

JavaScript加密劫持

第一个广泛使用的加密劫持JavaScript来自CoinHive，该公司希望改变我们与互联网的互动方式以及从根本上支撑一切发生的广告利润.

CoinHive的愿景是授权加密采矿来取代广告。网站仍然可以基于页面浏览量和在网站上花费的时间来赚钱，用户可以避免使用广告拦截器而感到厌烦（从而实质上是在抢夺内容创建者应得的报酬），从而避免广告.

臭名昭著的内容盗版和种子网站The Pirate Bay是最早使用CoinHive模型进行实验的网站之一.

不幸的是，不久之后，恶意行为者意识到他们可以轻松地将CoinHive的挖掘脚本重新用于更邪恶的手段。原始脚本具有CPU挖掘使用百分比命令。最初设置为30％，以便用户可以愉快地继续使用他们的浏览器，而密码劫持者将其在所有内核上提高到全部100％，从而在大多数用户徘徊于恶意登陆页面的短时间内最大程度地提高了利润。.

公平地说，他们意识到发生了什么，并发布了脚本的更新。名为AuthedMine的较新版本为用户提供了选择加入加密货币开采过程的机会，从而恢复了其作为广告替代品的原始目的。也就是说，选择退出仍然是选择退出。也就是说，网站所有者不必使用AuthedMine，也没有义务告知您正在吞噬CPU的原因。.

加密劫持的演变

加密劫持正在发展。像所有有利可图且基本上无风险的网络攻击一样，恶意参与者始终希望获得更大的投资收益，并准备将加密劫持向前推进.

在加密劫持的初期，增加利润的最简单方法之一就是使用重定向循环。毫不怀疑的受害者会先通过多个网页发送，然后才能登陆到安装了加密挖矿脚本的网页上.
另一个已经提到的技术是打开一个新的浏览器窗口，该窗口将最小化并隐藏在任务栏的后面。分钟的浏览器窗口隐藏在系统时钟后，然后可以“自由”运行，直到用户注意到即将发生的事情.
发现某些浏览器扩展隐藏了挖矿脚本，而没有通知用户。一些扩展从其开发人员那里被盗，注入了密码劫持脚本，然后被重新上传或更新到扩展存储中。（实际上，Google迅速禁止了所有使用加密劫持脚本的Chrome扩展程序。）

但这还不是全部。家庭用户拥有功率较低的计算机。那些进行加密劫持活动的人很快意识到，有更大的加密劫持鱼可以炒：拥有强大超级计算机的企业.

2018年2月，电动汽车制造商特斯拉宣布他们是加密劫持攻击的受害者。 RedLock云安全智能显露易受攻击的Kubernetes管理控制台暴露了特斯拉Amazon Web Service环境的登录凭据，黑客立即将强大的计算能力转向了加密挖掘。英国保险提供商英杰华（Aviva）和国际数字安全公司（金雅拓）也因相同的密码劫持漏洞而犯规.

其他报告表明，本已脆弱的Internet of Thing设备也是加密劫持的主要目标。这 Fortinet威胁态势报告 [PDF]发现有23％的受访者暴露于加密劫持恶意软件。物联网设备由于其安全性差，数量庞大且始终处于运行状态而成为有吸引力且容易实现的目标.

加密劫持并不是加密用户和攻击者唯一需要注意的攻击。 SIM卡交换攻击会将您的SIM卡切换到其他人的智能手机上，他们会在其中清除您的加密帐户。防止SIM卡交换攻击的方法如下.

加密劫持恶意软件爆炸

但是，其他安全漏洞也助长了加密劫持的局面。还记得2017年的大规模WannaCry勒索蠕虫吗？ WannaCry是NSA秘密开发并积累的，以前未知的零日漏洞的大量解放的直接结果。影子经纪人是一个与俄罗斯政府有联系的黑客组织，泄露了许多漏洞，包括EternalBlue（也称为ETERNALBLUE），这对于以如此快的速度传播WannaCry勒索病毒至关重要.

当工具造成这种破坏时，全世界的黑客就会注意到（仅由安全研究人员Marcus Hutchins，又名MalwareTech拯救，他现在在美国面临着一系列黑客指控）。将EternalBlue与挖矿加密货币和中提琴的恶意软件有效载荷结合在一起：突然我们有了WannaMine。 WannaMine最初是由Panda Security捡起的，就像其勒索表亲一样，非常难以检测和阻止.

民族国家加密劫持恶意软件活动

但是，不仅仅是使用加密劫持恶意软件的“常规”黑客。朝鲜政府资助的黑客组织Lazarus（索尼黑客臭名昭著）将一个加密劫持木马与多家知名银行机构进行了对抗。除了显着直接瞄准银行和金融组织外，Lazarus“ AppleJeus”还几乎针对唯一的macOS系统进行攻击，据说正在开发Linux漏洞。.

此外，由于大概是成功的AppleJeus攻击，Lazarus与Ryuk加密劫持恶意软件直接相关，在撰写本文时，该恶意软件窃取了60万美元。这不仅仅是怪异的猜测； Ryuk劫持恶意软件带有Lazarus集团爱马仕（Hermes）恶意软件变种的特征（该变种曾在台湾远东国际银行（Far Eastern International Bank）试图进行6000万美元的抢劫时用来分散安全服务）。 Ryuk恶意软件很有趣，因为目标似乎是手工挑选的。也就是说，每个赎金票据是不同的，提出不同的要求，依此类推。个人服务，几乎.

加密劫持会变得更糟吗?

就像您可能期望的那样，加密劫持率与加密货币的价格直接相关。 Fortinet威胁态势报告（上方链接）通过以下图表对此进行了说明：

随着比特币价格的下跌，加密劫持事件也发生了.

不过，其他报告并未提供相同的临界肯定信息。这 McAfee Labs威胁报告2018年6月 [PDF]指出“第一季度投币式矿工恶意软件总数增加了629％，超过290万个样本。”该报告进一步阐述，确认与“完善的网络犯罪活动（例如数据盗窃和勒索软件）相比，加密劫持更为简单，直接且风险较小”。

通过这种方式，您可以看到基于浏览器的加密劫持和加密劫持恶意软件变体的吸引力，尤其是与其他出于经济动机的攻击相比。勒索软件需要初期投资才能将感染传播给足够多的受害者，而受害者仍然可以选择忽略勒索而不付费，尤其是如果受害者经常进行系统备份时.

加密劫持无处不在。而且，如果加密货币的价格开始认真上涨，那么预计将会出现更多的恶意软件。.

加密劫持并不是唯一基于加密的骗局。这是您可以避免的另外五种加密货币骗局和欺诈.