沐鸣平台给您解说什么是密码劫持?如何预防、检测和恢复 - 行业动态 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司

全国统一热线:0755-29925678

沐鸣娱乐新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

沐鸣平台给您解说什么是密码劫持?如何预防、检测和恢复

浏览次数:378日期:2019-05-15小编:颐生堂

欢迎访问沐鸣娱乐登录网址www.huayu21.com,密码窃取是指未经授权使用他人的计算机来挖掘加密货币。黑客通过让受害者点击一封电子邮件中的恶意链接来实现这一点,该邮件在计算机上加载加密挖掘代码,或者通过感染一个网站或在线广告的javascript代码来实现这一点,该代码一旦加载到受害者的浏览器中,就会自动执行。



不管怎样,加密挖掘代码都会在后台工作,因为毫无戒心的受害者通常会使用他们的计算机。他们可能注意到的唯一迹象是性能变慢或执行滞后。


为什么密码窃听正在兴起

没有人确切知道有多少加密货币是通过密码窃取来开采的,但毫无疑问,这种做法很猖獗。基于浏览器的密码劫持正在迅速发展。去年11月,Adguard报告了浏览器内密码劫持的增长率为31%。它的研究发现有33000个网站运行加密挖掘脚本。Adguard估计这些网站每月的总访问量为10亿。


今年2月,Bad Packets报告发现了34474个运行coinhive的站点,coinhive是最受欢迎的javascript矿工,也用于合法的加密挖掘活动。7月份,Check Point软件技术公司报告称,其发现的十大恶意软件中有四个是加密矿工,其中包括前两个:CoinHive和Cryptolot。



“加密开采尚处于起步阶段。网络安全解决方案提供商Watchguard Technologies的威胁分析师Marc Laliberte说:“我们有很大的发展空间。”他指出,Coinhive易于部署,第一个月就创造了30万美元。“从那时起,它已经长得很长了。这真是一笔容易的钱。”


今年1月,研究人员发现了smominru加密挖掘僵尸网络,它感染了50多万台机器,其中大部分在俄罗斯、印度和台湾。僵尸网络将Windows服务器作为挖掘Monero的目标,网络安全公司Proofpoint估计,截至1月底,它已经创造了高达360万美元的价值。


密码劫持甚至不需要重要的技术技能。据报道,新的淘金热加密货币是诈骗的新领域,从数字阴影来看,密码破解工具在黑暗的网络上只需30美元。


密码窃取越来越受黑客欢迎的原因很简单,就是为了降低风险而花更多的钱。Secbi的首席技术官兼联合创始人AlexVaystikh说:“黑客们把密码劫持看作是勒索软件的一种更便宜、更有利可图的替代品。”他解释说,有了勒索软件,黑客每感染100台电脑就可以得到3个人的报酬。通过密码窃取,所有100台受感染的机器都在为黑客挖掘加密货币而工作。他说:“(黑客)可能会和这三项勒索软件支付一样,但加密采矿不断地产生资金。”


被抓获和识别的风险也远低于勒索软件。加密挖掘代码秘密运行,可以长时间不被发现。一旦被发现,很难追溯到源头,而且受害者几乎没有这样做的动机,因为没有东西被偷或加密。黑客倾向于选择匿名加密货币,比如Monero和Zcash,而不是更受欢迎的比特币,因为很难追踪非法活动。


密码顶进的工作原理

黑客有两种主要的方法让受害者的电脑秘密地挖掘加密货币。一种是欺骗受害者将密码挖掘代码加载到他们的计算机上。这是通过类似网络钓鱼的策略实现的:受害者收到一封看起来合法的电子邮件,鼓励他们点击一个链接。链接运行将加密挖掘脚本放在计算机上的代码。然后脚本在受害者工作时在后台运行。


另一种方法是在一个网站上注入一个脚本或一个发送到多个网站的广告。一旦受害者访问了网站或者被感染的广告在浏览器中弹出,脚本就会自动执行。受害者的计算机上没有存储任何代码。无论使用哪种方法,代码都会在受害者的计算机上运行复杂的数学问题,并将结果发送给黑客控制的服务器。


黑客通常会使用这两种方法来最大化他们的回报。Vaystikh说:“攻击使用旧的恶意软件技巧来向受害者的电脑提供更可靠、更持久的软件,这是一种倒退。”例如,在为黑客挖掘加密货币的100台设备中,10%可能通过受害者机器上的代码获得收入,而90%则通过他们的网络浏览器获得收入。


与大多数其他类型的恶意软件不同,密码劫持脚本不会损坏计算机或受害者的数据。它们确实窃取了CPU处理资源。对于个人用户来说,计算机性能下降可能只是一个麻烦。拥有许多加密系统的组织可能会在帮助台方面产生实际成本,IT部门花费大量时间跟踪性能问题并更换组件或系统以解决问题。


真实世界的密码窃取示例

密码破坏者非常聪明,他们设计了许多方案,让其他人的电脑开采加密货币。大多数都不是新的;加密挖掘交付方法通常是从其他类型的恶意软件(如勒索软件或广告软件)中派生出来的。”Anomali的安全策略主管TravisFarral说:“你开始看到Mal作者过去所做的许多传统事情。”他们没有交付勒索软件或特洛伊木马,而是重新调整工具以交付加密挖掘模块或组件。”


以下是一些现实世界的例子:


长矛钓鱼PowerGhost窃取Windows证书

网络威胁联盟(CTA)的《非法加密货币采矿威胁报告》将fortinet首先分析的powerghost描述为可以通过多种方式避免检测的秘密恶意软件。它首先利用Spear网络钓鱼在系统上站稳脚跟,然后窃取Windows凭据,并利用Windows管理工具和永恒的漏洞进行传播。然后它试图禁用防病毒软件和竞争的密码矿工。


当受害者的计算机正在使用时,minergate变量会暂停执行。

根据CTA报告,Palo Alto Networks分析了Minergate恶意软件家族的一个变种,并发现了一个有趣的特性。它可以检测鼠标移动并暂停挖掘活动。这避免了向受害者透露消息,否则受害者可能会注意到自己的表现有所下降。


Badshell使用Windows进程完成其脏工作

几个月前,科摩多的网络安全部门在一个客户端系统上发现了恶意软件,该系统使用合法的Windows进程来挖掘加密货币。它被称为“坏壳”,它使用:

1、执行命令的PowerShell——PowerShell脚本将恶意软件代码注入到现有正在运行的进程中。

2、确保持久性的任务调度程序

3、保存恶意软件二进制代码的注册表


你可以在科摩多2018年第二季度的全球威胁报告中找到更多关于Badshell如何运作的细节。



流氓雇员征用公司系统

在今年早些时候的电子商务数字会议上,DarkTrace讲述了一个客户,一家欧洲银行,在其服务器上经历了一些不寻常的流量模式。夜间流程运行缓慢,银行的诊断工具没有发现任何问题。DarkTrace发现,在这段时间内,新的服务器正在上线,银行称这些服务器并不存在。对数据中心的物理检查显示,一个流氓工作人员在地板下建立了一个密码挖掘系统。


通过Github为密码矿工提供服务

今年3月,avast软件报告称,密码破坏者使用github作为加密挖掘恶意软件的主机。他们找到合法的项目,从中创建一个分叉的项目。然后,恶意软件隐藏在该分叉项目的目录结构中。使用网络钓鱼计划,密码破坏者引诱人们下载该恶意软件,例如,通过警告更新他们的Flash播放器或承诺一个成人内容游戏网站。


利用当前漏洞

CryptoJackers发现了一个rtoccurrent错误配置漏洞,使一些rtoccurrent客户端可以在不进行XML-RPC通信身份验证的情况下访问。他们扫描互联网寻找暴露的客户,然后在他们身上部署Monero密码矿工。F5网络在2月份报告了此漏洞,并建议当前用户确保其客户端不接受外部连接。


facexworm:恶意chrome扩展

这个恶意软件最早由卡巴斯基实验室于2017年发现,是一个谷歌Chrome扩展,使用Facebook信使感染用户的电脑。最初FacexWorm提供广告软件。今年早些时候,Trend Micro发现了一系列以加密货币交换为目标的FacexWorm,能够提供加密挖掘代码。它仍然使用受感染的Facebook帐户提供恶意链接,但也可以窃取Web帐户和凭据,从而允许它向这些网页中注入密码劫持代码。


温斯坦斯米纳:焦土政策

今年5月,360 Total Security公司发现了一种密码矿工,它传播迅速,对密码破坏者来说是有效的。这个被称为winstarnsmminer的恶意软件对于任何试图删除它的人来说都是一个令人讨厌的惊喜:它会使受害者的电脑崩溃。WinStarnssmminer通过首先启动svchost.exe进程并向其中注入代码并将生成的进程的属性设置为CriticalProcess来完成此操作。由于计算机将其视为关键进程,因此一旦删除该进程,它将崩溃。


铸币商寻找并摧毁竞争对手

密码窃取已经非常流行,黑客们正在设计他们的恶意软件,以便在他们感染的系统上找到并杀死已经运行的密码矿工。铸币商就是一个例子。


根据Comodo,CoinMiner检查Windows系统上是否存在amddriver64进程。在coinminer恶意软件中有两个列表,$malware和$malwares2,其中包含已知是其他密码矿工一部分的进程名称。然后它会终止这些过程。


如何防止密码窃取

遵循以下步骤,最大限度地降低贵组织成为密码窃取的牺牲品的风险:

将密码劫持威胁纳入您的安全意识培训中,重点关注钓鱼类型尝试将脚本加载到用户的计算机上。“当技术解决方案可能失败时,培训将有助于保护您,”Laliberte说。他认为网络钓鱼将继续是传递所有类型恶意软件的主要方法。


员工培训对访问合法网站自动执行密码窃取没有帮助。Vaystikh说:“对于密码窃取来说,培训是不太有效的,因为你不能告诉用户哪些网站不能访问。”


在Web浏览器上安装广告阻止或反加密挖掘扩展。由于密码劫持脚本通常是通过网络广告传递的,安装广告拦截器可以有效地阻止它们。一些广告拦截器(如广告拦截器Plus)具有检测加密挖掘脚本的功能。Laliberte建议使用诸如no coin和minerblock之类的扩展,这些扩展旨在检测和阻止加密挖掘脚本。


使用能够检测已知加密矿工的端点保护。许多端点保护/防病毒软件供应商在其产品中添加了加密矿工检测。”在端点上,防病毒是防止加密挖掘的一个好方法。如果它是已知的,很有可能被发现,”法拉尔说。他补充说,要知道,加密次要作者不断地改变他们的技术,以避免在端点检测。


使您的网页过滤工具保持最新。如果您确定了一个提供密码劫持脚本的网页,请确保阻止您的用户再次访问它。


维护浏览器扩展。一些攻击者正在使用恶意浏览器扩展或毒害合法扩展来执行加密挖掘脚本。


使用移动设备管理(MDM)解决方案更好地控制用户设备上的内容。自带设备(BYOD)策略对防止非法加密挖掘提出了挑战。拉利伯特说:“千年发展目标可以让比亚迪更安全。MDM解决方案可以帮助管理用户设备上的应用程序和扩展。MDM解决方案往往面向大型企业,而小型企业往往负担不起。然而,Laliberte指出,移动设备不像台式电脑和服务器那样危险。因为他们的处理能力往往较低,所以对黑客来说,他们没有那么赚钱。


上述最佳实践都不是万无一失的。意识到这一点,加上密码窃取的日益流行,网络风险解决方案提供商联盟现在提供了服务欺诈保险。根据一份新闻稿,它将补偿组织因欺诈性使用商业服务(包括加密采矿)而造成的财务损失。

什么是密码劫持?如何预防、检测和恢复


如何检测密码窃取

就像勒索软件一样,密码窃取可以影响你的组织,尽管你尽了最大努力阻止它。检测它可能很困难,特别是如果只有几个系统受到破坏。不要指望现有的端点保护工具来停止密码劫持。“加密挖掘代码可以隐藏在基于签名的检测工具中,”Laliberte说。“桌面防病毒工具看不到它们。”以下是有效的方法:


培训您的帮助台以寻找加密挖掘的迹象。Secbi的Vaystikh说,有时第一个迹象是帮助台抱怨电脑性能缓慢。这应该引起一个危险信号,以便进一步调查。


帮助台应该寻找的其他信号可能是过热系统,这可能导致CPU或冷却风扇故障,拉利伯特说。他说:“(由于过度使用CPU而产生的)热量会造成损坏,并会缩短设备的生命周期。”这在平板电脑和智能手机等超薄移动设备中尤其如此。


部署网络监控解决方案。Vaystikh认为密码劫持在公司网络中比在家里更容易被检测到,因为大多数消费者终端解决方案都没有检测到。密码劫持很容易通过网络监控解决方案进行检测,而且大多数公司组织都有网络监控工具。


然而,拥有网络驱动工具和数据的组织很少有工具和能力分析这些信息以进行准确检测。例如,SecBi开发了一种人工智能解决方案,用于分析网络数据并检测密码劫持和其他特定威胁。


Laliberte同意网络监控是检测加密挖掘活动的最佳选择。“审查所有网络流量的网络周边监控有更好的机会检测密码矿工,”他说。许多监控解决方案将该活动深入到各个用户,以便您确定哪些设备受到影响。


“如果您在监视出站连接启动的服务器上有良好的出口过滤,这对于[加密挖掘恶意软件]是很好的检测,”Farral说。不过,他警告说,密码矿工的作者有能力编写他们的恶意软件,以避免这种检测方法。


监视您自己的网站以获取加密挖掘代码。Farral警告说,加密破解者正在寻找在Web服务器上放置少量javascript代码的方法。”他说,服务器本身不是目标,但任何访问该网站的人都有感染的风险。他建议定期监视Web服务器上的文件更改或页面本身的更改。


了解加密劫持的趋势。交付方法和加密挖掘代码本身不断发展。“了解软件和行为可以帮助你检测密码劫持,”Farral说。一个精明的组织将随时了解正在发生的事情。如果您了解这些类型的东西的交付机制,那么您就知道这个特定的漏洞工具包正在交付加密的东西。他说:“对漏洞利用工具包的保护将是防止被加密采矿恶意软件感染的保护。”


如何应对密码窃取攻击

杀死并阻止网站交付的脚本。对于浏览器内的javascript攻击,一旦检测到密码挖掘,解决方案就很简单:终止运行脚本的浏览器选项卡。它应该注意作为脚本源的网站URL,并更新公司的Web过滤器来阻止它。考虑部署反加密挖掘工具以帮助防止未来的攻击。


更新和清除浏览器扩展。“如果一个扩展感染了浏览器,关闭这个标签不会有帮助,”Laliberte说。“更新所有扩展并删除那些不需要的或被感染的扩展。”


学习和适应。利用这些经验更好地了解攻击者是如何危害您的系统的。更新您的用户、帮助台和IT培训,以便他们能够更好地识别密码劫持尝试并做出相应的响应。

关注沐鸣平台官网,获取更多最新行业资讯。




上一条 : 没有了


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有