请点击此处输入图片描述
加密货币的价值不断上升无疑引诱了大批人群投资于风险资产类别,技术知情人员将先行一步建立他们自己的“采矿工具”。然而,黑客并不遥远,并且经常渗透计算系统为自己挖掘加密货币。
浏览器挖掘后,黑客瞄准矿工钻机
为了大大增加他们虚假获得的加密货币控股权,黑客将目标定位在全球范围内的以太坊矿工。可以理解的是,由于前者的处理能力较高,接管矿工对于黑客来说是一项重要的经济优势。
根据关于Bleeping Computers的报告,多名网络安全研究人员于2018年5月12日发现了一个以太坊矿工扫描Satori僵尸网络。该报告包括几条证据,表明成千上万物联网设备成为大规模攻击的受害者。
请点击此处输入图片描述
使用端口3333漏洞,黑客能够远程控制受害者的采矿设备。这个特定的端口允许矿工远程管理他们的设备。在2018年5月11日,Netlab的研究人员将端口漏洞与Satori僵尸网络联系起来,并通过推特告诫人们,声明:
你看到端口3333扫描流量增加吗? Satori僵尸网络现在正在扫描它,请参阅我们的Scanmon趋势https://t.co/TyrL4ryt6J,并尝试使用它现在使用的控制域之一的dns查找,挖掘任...
- 360 Netlab(@ 360Netlab)2018年5月11日
2018年5月12日不久之后,伦敦的GreyNoise Intelligence公布了他们的研究结果,显示只有Claymore的以太坊矿工受到影响,清除了受影响矿工程度的担忧。据公司证实,运行其他软件的矿工不受影响。
请点击此处输入图片描述
GreyNoise今天观察到TCP端口3333扫描流量的大幅增长。这是“Claymore”以太坊/ Decred加密货币矿工的默认端口。
- GreyNoise Intelligence(@GreyNoiseIO)2018年5月11日
Claymore广泛流行的采矿软件
他选择的挖掘软件黑客瞄准的是一个深思熟虑的决定,因为个人和企业都在使用Claymore双重挖掘软件来同时挖掘像以太币(ETH)和Decred这样的加密货币。
正如GreyNoise所述:
“一旦攻击者识别出运行Claymore软件的服务器,他们会按照指示重新配置设备,以加入”矮人“采矿池并使用攻击者的ETH钱包。”
正因为如此,黑客能够将矿工钱包的所有利润提取到他们的钱包中。然而,一位有经验的矿工可能会注意到这个谬误,并立即纠正这个问题。
墨西哥IP地址被追查为攻击来源
经过进一步调查,GreyNoise将袭击的起源追溯到特定的IP地址,所有这些地址都源自墨西哥。在僵尸网络攻击前几天,这些地址被报告为欺诈访问,这大概是为了让僵尸网络能够控制GPON路由器。 Netlab证实了这一说法:
“这个3333端口扫描的来源是大约17k个独立IP地址,主要来自位于墨西哥的Uninet SA de CV,telmex.com。”
这个消息通过论坛和社交媒体迅速传播,用户迅速加入搜索攻击者的行列。互联网风暴中心的研究人员Johannes Ullrich发现了受影响程序的具体细节,并发现使用Nanopool版本的Claymore软件来开发网络
领取专属 10元无门槛券
私享最新 技术干货