什么是cryptojacking？如何防止，检测和从中恢复

Cryptojacking是未经授权使用他人的计算机来窃取cryptocurrency。黑客通过让受害者单击电子邮件中的恶意链接来执行此操作，该电子邮件将加密代码加载到计算机上，或者通过使用JavaScript代码感染网站或在线广告，该代码在受害者的浏览器中加载后自动执行。

无论哪种方式，加密代码然后在后台工作，因为不知情的受害者正常使用他们的计算机。他们可能注意到的唯一迹象是性能下降或执行滞后。

为什么cryptojacking正在上升

没有人确切知道加密货币是通过密码劫持开采的，但毫无疑问这种做法是猖獗的。基于浏览器的密码劫持正在快速增长。去年11月，Adguard报告，浏览器内的加密技术增长率高达31％。研究发现有33,000个网站运行密码编写脚本。Adguard估计这些网站每月有十亿人次的游客。今年2月，“坏分组报告”发现了34,474个运行Coinhive的站点，Coinhive是最受欢迎的JavaScript矿工，也被用于合法的密码管理活动。

“加密正处于起步阶段。网络安全解决方案提供商WatchGuard Technologies的威胁分析师Marc Laliberte说：“我们有很多发展和演进的空间。他指出，Coinhive易于部署，并在第一个月内产生30万美元。“从那以后，它发展得很快。这真的很容易赚钱。“

今年1月份，研究人员发现了Smominru加密僵尸网络，这个僵尸网络感染了超过50万台机器，大部分在俄罗斯，印度和中国台湾。网络安全公司Proofpoint估计，这个僵尸网络的目标是在Windows服务器上挖掘Monero，截至1月底，它的价值已经高达360万美元。

Cryptojacking甚至不需要重要的技术技能。根据报告，新的淘金加密货币是欺诈的新的边界，从数字阴影，cryptojacking成套工具在黑暗的网上是可利用的为$ 30。

cryptojacking越来越受黑客欢迎的一个简单原因是风险更低，金钱更多。SecBI的CTO兼联合创始人Alex Vaystikh说：“黑客认为cryptojacking是勒索软件的更廉价，更有利可图的替代品。有了勒索软件，黑客可能会让三个人为每100台受感染的电脑付费，他解释说。用cryptojacking，所有这些被感染的机器都为黑客工作，以开发加密货币。“[黑客]可能会与三次勒索软件付款一样，但密码不断产生金钱，”他说。

被勒索和识别的风险也远低于勒索软件。密码代码秘密运行，可以长时间不被发现。一旦发现，很难追溯到源头，受害者没有什么动机去做，因为没有任何东西被盗或加密。黑客倾向于选择像Monero和Zcash这样的匿名加密货币来比较流行的比特币，因为更难追踪非法活动。

cryptojacking如何工作

黑客有两种主要方式让受害者的计算机秘密窃取加密货币。一种是欺骗受害者将密码代码加载到他们的计算机上。这是通过类似网络钓鱼的策略完成的：受害者收到一封合法的电子邮件，鼓励他们点击链接。该链接运行将密码合并脚本放置在计算机上的代码。脚本随后在受害者工作的背景下运行。

另一种方法是在传送到多个网站的网站或广告上注入脚本。一旦受害者访问该网站或被感染的广告在其浏览器中弹出，脚本将自动执行。没有代码存储在受害者的计算机上。无论使用哪种方法，代码都会在受害者的计算机上运行复杂的数学问题，并将结果发送给黑客控制的服务器。

黑客通常会使用这两种方法来最大化他们的回报。Vaystikh表示：“攻击使用旧的恶意软件技术，向受害者的计算机提供更可靠和持久的软件。” 例如，100个设备为黑客挖掘加密货币，其中10％可能通过受害者机器上的代码产生收入，90％则通过他们的网络浏览器实现。

与大多数其他类型的恶意软件不同，cryptojacking脚本不会损害计算机或受害者的数据。他们确实窃取了CPU处理资源。对于个人用户来说，较慢的电脑性能可能只是一个烦恼。拥有许多加密系统的组织可能会在帮助台和IT时间方面花费实际成本，这些时间用于追踪性能问题并更换组件或系统以解决问题。

如何防止密码劫持

请按照以下步骤将您的组织陷入危险的风险降至最低：

将cryptojacking威胁整合到您的安全意识培训中，着重于将钓鱼脚本加载到用户计算机上的钓鱼式尝试。Laliberte说：“当技术解决方案失败时，培训将有助于保护您。他认为网络钓鱼将继续成为传播各种恶意软件的主要手段。

员工培训不利于访问合法网站自动执行加密。Vaystikh说：“对于加密技术来说，培训效果不佳，因为你不能告诉用户哪些网站不应该去。

在Web浏览器上安装广告拦截或反密码扩展。由于加密脚本经常通过网络广告传递，因此安装广告拦截器可能是阻止它们的有效手段。Ad Blocker Plus等一些广告拦截器具有检测密码脚本的功能。Laliberte建议像No Coin和MinerBlock这样的扩展，这些扩展旨在检测和阻止加密文件。

让您的网页过滤工具保持最新。如果您确定提供加密脚本的网页，请确保您的用户被阻止再次访问。

维护浏览器扩展。一些攻击者正在使用恶意浏览器扩展或毒害合法扩展来执行加密脚本。

使用移动设备管理（MDM）解决方案更好地控制用户设备上的内容。自带设备（BYOD）策略对防止非法密码设置提出了挑战。“MDM可以长期保持BYOD安全，”Laliberte说。MDM解决方案可以帮助管理用户设备上的应用和扩展。MDM解决方案倾向于面向大型企业，而小型企业通常无法负担得起。然而，Laliberte指出，移动设备不像台式电脑和服务器那么危险。因为它们的处理能力往往较低，所以它们对黑客来说并不是很有利可图。

如何检测cryptojacking

就像勒索软件一样，尽管你尽最大的努力来阻止密码攻击，但它仍然会影响你的组织。检测它可能是困难的，特别是如果只有少数系统受到损害。不要指望现有的端点防护工具来阻止加密。Laliberte说：“加密代码可以隐藏基于签名的检测工具。“桌面防病毒工具不会看到他们。”这是什么工作：

训练您的服务台寻找密封的迹象。SecBI的Vaystikh表示，有时第一个迹象就是帮助台对电脑性能下降的抱怨。这应该引起进一步调查的红旗。

其他信号帮助台应该寻找可能是过热系统，这可能会导致CPU或冷却风扇故障，Laliberte说。他说：“由于CPU使用率过高造成的损害会导致设备的使用寿命缩短。对于平板电脑和智能手机等瘦身移动设备尤其如此。

部署网络监控解决方案。Vaystikh认为，企业网络中的加密攻击比在家中更容易检测，因为大多数消费者端点解决方案都无法检测到它。Cryptojacking很容易通过网络监控解决方案进行检测，而大多数企业组织都有网络监控工具。

然而，很少有网络驾驶工具和数据的组织拥有分析这些信息以准确检测的工具和功能。例如，SecBI开发了一个人工智能解决方案来分析网络数据并检测隐藏劫持和其他特定威胁。

Laliberte同意网络监测是检测密码活动的最佳选择。他说：“审查所有网络流量的网络周边监控有更好的机会检测密码管理员。许多监控解决方案将该活动深入到单个用户，以便确定哪些设备受到影响。

如何应对cryptojacking攻击

杀死并阻止网站发布的脚本。对于浏览器中的JavaScript攻击，一旦检测到密码检测，解决方案很简单：关闭运行脚本的浏览器选项卡。IT部门应该注意脚本源代码的网站URL，并更新公司的网页过滤器来封锁它。考虑部署反密码工具来防止未来的攻击。

更新并清除浏览器扩展。“如果一个扩展感染了浏览器，关闭标签将无济于事，”Laliberte说。“更新所有的扩展名，并删除那些不需要的或感染的。”

学习和适应。借助这些经验更好地了解攻击者是如何危害系统的。更新您的用户，帮助台和IT培训，以便他们能够更好地识别加密尝试并作出相应的响应。