2017年勒索軟件賺足了眼球。在2018年中，眾多水平高超的黑客則轉向以非法方式進行加密貨幣挖礦，以獲取可觀的經濟收益。

由于美國國家安全局（NSA）黑客武器外泄、加密貨幣的盛行以及加密貨幣交易處理（又稱‘挖礦’）無需通過命令與控制鏈以返回至攻擊者處，這幾項因素的疊加使得惡意黑客活動又呈現出新的面貌。面對數十億對此幾乎毫無戒心的普通互聯網用戶目標，非法加密貨幣挖礦已經成為最有利可圖的攻擊手段。全球范圍內的犯罪分子因此而振奮不已。甚至開始對這種自動運作的“搖錢樹”產生一絲懷疑。

拼湊出“完美犯罪”中的每一塊圖形

在2017年年初，某黑客組織曾公布了一系列由美國國家安全局（NSA）打造的黑客武器，其中包括“永恒之藍”安全漏洞。這項漏洞使得攻擊者能夠輕松入侵各類開放微軟 Windows 計算機。

與此同時，加密貨幣提出的價值主張以及比物幣稀缺的現狀催生出了匿名程度更高的新幣種——門羅幣，其能夠更好地隱藏整個交易過程，也因此受到了“特定群體”的青睞。

挖礦程序

而作為這套惡意體系的第三大推動因素，所有利用這類分布式交易處理程序的、基于區塊鏈技術的系統，都被稱為挖礦程序。其能夠持續為選定的加密貨幣幣種提供計算資源，并自動收取相應的代幣作為報酬。黑客能夠在世界各地毫無防備的計算機上悄悄安裝非法門羅幣挖礦程序。

Windows 服務器、筆記本電腦、Android 設備甚至是物聯網（IoT）端點，這一切都在每時每刻、每分每秒為惡意人士創造價值—，福布斯（forbes）報道稱這些壞家伙主要來自俄羅斯與中國的有組織網絡犯罪集團。

除了偶爾出現的設備性能下降、電費上漲之外，用戶基本沒有發覺自己已經遭遇黑客入侵。在既沒有沒有勒索信息、又沒有泄露密碼或信用卡號碼的情況下，用戶往往不認為自己已經被入侵。

多方研究人員關注加密貨幣挖礦

非法加密貨幣挖礦的最大危害，在于受害者幾乎無法發現相關跡象。來自思科系統公司 Talos 威脅情報部門的外聯工程師尼克·比阿西尼、威脅研究員艾德蒙德·布魯馬金、技術負責人沃倫·莫瑟、信息安全分析師喬什·雷諾伊德、高級威脅情報分析師阿茲姆·霍迪貝夫以及高級威脅分析師大衛·里貝伯格指出，在這種全新商業模式下，攻擊者不再需要引導受害者打開附件或進行系統支持以運行惡意腳本以勒索贖金。如今攻擊者正在積極利用受感染系統的計算資源進行加密貨幣挖礦——這一攻擊向量既有利可圖，又易于實現。

CrowdStrike公司的高級顧問雷安·邁庫姆斯、高級顧問杰森·巴恩斯、高級安全研究員卡倫·蘇德以及顧問易安·巴頓指出，加密貨幣的旺盛購買需求與流動性推動其估值一路走高，漲幅令人驚訝。有利潤的地方自然就有犯罪分子的身影。

也正因為如此，再加上網絡安全廠商持續向市場投放勒索軟件保護方案，非法加密貨幣挖礦程序開始迅速取代勒索軟件成為攻擊者的首選方案。Palo Alto Networks 公司情報總監雷安·奧爾森解釋稱，從近期以及潛在的長遠角度來看，采用相對老舊 CPU 配置的普通計算機所能帶來的實際價值，主要在于悄然運行加密貨幣挖礦器，畢竟這類設備使用量不大，攻擊者已經很難通過勒索軟件或其它感染軟件從中提取到真正有價值的信息。

建立僵尸網絡進行挖礦

作為另一種常見黑客工具，攻擊者還經常將大量受感染系統組合起來構建起一套能夠協同運作的體系，也就是僵尸網絡。利用這套網絡，攻擊者將能夠執行分布式拒絕服務（DDoS）攻擊或者其它需要大量協調處理的攻擊活動。然而，在非法加密貨幣挖礦場景下，各個節點將獨立于其它節點保持運作。犯罪分子只需要安裝大量挖礦程序，即可坐收每個礦工節點所帶來的相對少量收益。Talos 團隊解釋稱：“根據我們的觀察，目前已經出現由數百萬套受感染系統組成的僵尸網絡，理論上此類系統在每年能夠產生超過1億美元的收益。更重要的是，攻擊者只需要投入極小的努力即可完成初步感染，而后即可在幾乎不可能被發現的前提下讓這條收入流長期持續下去。”

目前存在多種能夠建立起不同僵尸網絡家族的安全漏洞，其中危害最大的當數 Smominru。以 Kafeine 為筆名的 Proofpoint 公司網絡安全研究員桑迪福德·奧利弗表示，Proofpoint 研究人員一直在追蹤大規模 Smominru 僵尸網絡，他們發現此類網絡的計算能力已經為其幕后操縱者帶來數百萬美元的收益。考慮僵尸網絡操縱者易獲得巨額利潤及其基礎設施的巨大彈性，預計此類惡意活動及其對受感染節點造成的潛在影響還將持續。

Smominru 僵尸網絡利用的是來自美國國家安全局（NSA）的“永恒之藍”安全漏洞。該項漏洞以 Windows Management Infrastructure（簡稱WMI，Windows 管理規范，用戶可以使用 WMI 管理本地和遠程計算機）為目標。攻擊者通常會利用釣魚攻擊傳播惡意微軟 Word 文件附件。一旦目標下載該文件，此附件就會運行一套 Word 宏，進而執行對應 Visual Basic 腳本以運行微軟 PowerShell 腳本，最終完成挖礦程序可執行文件的下載與安裝。

這是另一種利用 WMI 安全缺陷的流行加密挖礦蠕蟲病毒。CrowdStrike 團隊表示，目前已經出現越來越多基于 WannaMine 加密挖礦蠕蟲病毒的高復雜性攻擊手段。其無文件特性以及對 WMI 與 PowerShell 等合法系統軟件的利用，使得受害者很難、甚至不可能在缺少下一代反病毒方案的情況下對其進行屏蔽。”

除了 WMI 之外，亦有部分研究人員報告稱攻擊者曾利用微軟 SQL Server （數據庫管理系統）以及甲骨文WebLogic等方案實施攻擊。就在上個月，研究人員還發現攻擊者開始掃描各開放調試端口，希望借此攻擊谷歌Android設備。

門羅幣越來越流行

把各類惡意挖礦活動聯系起來的關鍵，正是匿名加密貨幣“門羅幣”。奧利弗表示，以門羅幣以及以太幣為代表的比特幣替代品在價值方面繼續保持著整體上升趨勢。對于希望快速獲得并進行匿名交易的惡意攻擊者而言，這些都是極具吸引力的價值載體。

盡管其它加密貨幣也起到了一定推動作用，但門羅幣正快速成為最受歡迎的幣種。Proofpoint 公司威脅運營中心副總裁凱文·易普斯坦指出，“門羅幣挖礦僵尸網絡的規模極為龐大，且主要由遍布全球的微軟 Windows 服務器構成。長久以來，惡意攻擊者一直在‘追隨金錢的腳步’，從過去幾個月的形勢來看，他們的注意力已經集中在加密貨幣層面，包括利用各種非法手段以獲取比特幣及其它替代性幣種。”奧利弗進表示，2017年已經觀察到獨立加密貨幣挖礦器與代幣挖礦模塊開始在現有惡意軟件當中迅速擴散。由于比特幣的挖掘對資源密集性的需求日益提升，因此在專用挖礦農場之外，門羅幣成為更受歡迎的替代性選項。”

簡單易行的僵尸網絡與匿名加密貨幣相結合，引發了非法活動的爆發式增長。Talos 團隊補充稱，“加密貨幣挖礦器 payload 可能已經成為攻擊者能夠選擇的最為簡單的收入來源，出于經濟性動機的攻擊者越來越多地選擇這種獲利方式——而不再采取入侵主機以竊取文檔、密碼、錢包乃至私鑰的傳統獲利手段。”

挖礦從影響設備性能、耗電到企業服務中斷

與利用勒索軟件實施的直接攻擊相比，非法加密貨幣挖礦系統更為“良性”。Talos 團隊表示，“大多數用戶都沒有注意到自身受到感染。其無需任何命令與控制活動，且能夠在被刪除之前持續產生收益。”

所謂命令與控制（C&C），是指黑客在發現目標并順利完成入侵之后，必須將提取到的信息發送回自己手中。但是非法加密貨幣挖礦則完全無需這類步驟，挖礦軟件只需要包含代表攻擊者加密貨幣錢包的匿名代碼即可。

那么，攻擊者到底竊取了什么？Talos團隊表示，攻擊者所竊取到的實際只是受害者的計算資源，而且挖礦軟件從技術層面講也不屬于真正的惡意軟件。因此從理論角度出發，只要攻擊者愿意，受害者將始終作為僵尸網絡的組成部分存在。然而，竊取計算資源（及其相應的電力消費）也并不完全無害。CrowdStrike 團隊表示，加密貨幣挖礦通常只被視為一種“騷擾”活動，但最近他們已經發現了一些因挖礦活動影響商業運營的安全，部分企業甚至遭遇長達數天甚至數周的服務中斷。”這類僵尸網絡中的大部分節點似乎都屬于 Windows 服務器，其很有可能給關鍵業務基礎設施的性能造成極高的潛在影響，而服務器電力消耗量的提升也可能給企業造成巨大的成本支出。

加密貨幣最終可能被各大政府叫停

此類網絡攻擊活動確實很難被發現，而這也正是其危險性的最大體現。與傳統勒索軟件不同，企業需要要求軟件供應商提供快速緩解技術，同時高度關注非法加密貨幣挖礦所引發的快速擴散問題。

隨著時間的推移，預計受感染系統的數量將無法滿足犯罪分子難填的欲壑。到那個時候，犯罪分子之間將爆發日益升級的彼此對抗——即多個惡意攻擊者爭相感染同一套系統。

未來，全球計算基礎設施甚至有可能因眾多僵尸網絡的“吸血”而逐漸萎縮，最終無力供應這種無休無止的資源需求，軟件緩解技術可能根本不足以阻止其快速傳播，最終理想的處理辦法很可能是各國政府一勞永逸地叫停加密貨幣。