警惕！你的電腦變卡可能是因?yàn)樵趲蛣e人挖礦

你知道嗎？挖礦病毒不僅吞噬電力，更能拖慢你的計(jì)算能力。許多“中招”的數(shù)據(jù)中心，以及無法精確統(tǒng)計(jì)的僵尸網(wǎng)絡(luò)，正在貪婪的吞噬電力、拖慢企業(yè)的計(jì)算能力。對(duì)于個(gè)人用戶而言，“礦工”可能就躲藏在你我的電腦當(dāng)中。

黑客很可能已經(jīng)偷偷往受害者得電腦中植入了挖礦軟件，且持續(xù)數(shù)量都不會(huì)被發(fā)現(xiàn)。近期，一些研究員發(fā)現(xiàn)另一種被稱為“Norman”的挖礦惡意軟件，其能利用被感染計(jì)算機(jī)的處理能力來挖掘加密貨幣，導(dǎo)致系統(tǒng)速度越來越慢，最終無法使用。

時(shí)刻警惕你的電腦

我們了解到，“Norman”的隱藏能力極強(qiáng)，當(dāng)安全研究員發(fā)現(xiàn)它的蹤跡時(shí)，該惡意軟件已經(jīng)感染了目標(biāo)公司的幾乎所有計(jì)算機(jī)，且可能已經(jīng)潛伏了多年。

“Norman”之所以有這樣強(qiáng)大的隱藏能力，原因在于黑客使用了多種終止程序進(jìn)程，并在用戶關(guān)閉任務(wù)管理器后恢復(fù)工作，以防止用戶發(fā)現(xiàn)自己的電腦內(nèi)存有可疑程序正在運(yùn)行。

實(shí)際上，這類惡意軟件不僅可以長期蟄伏，還能通過命令和控制服務(wù)器（command and control）接收黑客的指令。對(duì)此，研究員表示他們不確定攻擊者是否真的“管理”這些惡意軟件。

與此同時(shí)，研究員還認(rèn)為“Norman”的開發(fā)者，可能來自法國或者其他法語國家，因?yàn)樵谠搻阂廛浖a中含有用法語編寫的字符串。對(duì)此，安全專家表示，使用惡意軟件挖礦是從去年便開始流行的網(wǎng)絡(luò)犯罪形式之一。

對(duì)于普通用戶來說，需要警惕“電腦越用越卡”的情況。作為吞噬PC資源的“大戶”，挖礦病毒通過控制PC的處理器、顯卡等硬件，執(zhí)行高負(fù)載的挖礦計(jì)算腳本來進(jìn)行挖礦。一旦成功入侵到用戶PC，往往會(huì)導(dǎo)致CPU或是顯卡的負(fù)載上升數(shù)倍，不僅應(yīng)用的運(yùn)行速度被極大的拖慢，電力功耗也會(huì)劇烈增加。

根據(jù)相關(guān)安全報(bào)告顯示，政府、醫(yī)療、石油和天然氣等網(wǎng)絡(luò)安全相對(duì)薄弱的企事業(yè)單位是挖礦病毒的優(yōu)先攻擊目標(biāo)。雖然大部分PC在挖礦效率上完全無法同專業(yè)的“礦機(jī)”相提并論，但是“聚沙成塔”，一旦其控制的PC數(shù)量達(dá)到幾千臺(tái)甚至幾萬臺(tái)，其收益就是極其可觀了。

此外，挖礦病毒的風(fēng)險(xiǎn)還在于，其目的并非局限在竊取PC的計(jì)算能力方面，而是會(huì)利用自己善于隱匿的優(yōu)勢(shì)，為威脅更大的APT攻擊預(yù)留了空間。一旦挖礦變得無利可圖，其很有可能將目標(biāo)轉(zhuǎn)化為組織的數(shù)據(jù)資產(chǎn)與業(yè)務(wù)，帶來更嚴(yán)峻的威脅。

需要注意的是，當(dāng)我們正常瀏覽網(wǎng)頁時(shí)，也有可能是在幫別人挖礦。這種擅自占用用戶資源的行為，其實(shí)已經(jīng)構(gòu)成違法犯罪，可以稱之為木馬病毒。根據(jù)Adguard的數(shù)據(jù)統(tǒng)計(jì)，全球已經(jīng)有約有5億臺(tái)電腦曾被綁架挖礦。全網(wǎng)有超過3萬家網(wǎng)站內(nèi)置了挖礦代碼，這些挖礦代碼可以使用戶在瀏覽了網(wǎng)頁時(shí)，調(diào)用計(jì)算機(jī)的資源來進(jìn)行挖礦。對(duì)于流量比較小的網(wǎng)站來講，每天可以獲得幾美元的收入，而對(duì)于那些流量較大的網(wǎng)站，則可以達(dá)到數(shù)千美元。

如何找到挖礦病毒的“脈門”

斬?cái)嗳肭致窂绞欠婪锻诘V病毒最有效的方法，而社交工程就是黑客最常用的入侵方式。黑客會(huì)向組織內(nèi)部的員工大量發(fā)送精心偽造的垃圾郵件，這些垃圾郵件一般會(huì)在附件中植入挖礦相關(guān)的惡意代碼，并使用具有誘惑力的標(biāo)題和內(nèi)容誘惑員工下載并打開。一旦成功侵入，病毒往往會(huì)注入系統(tǒng)進(jìn)程，并讀取挖礦配置信息進(jìn)行挖礦。

因此，對(duì)于挖礦病毒來說，生存時(shí)間是衡量其銷量的最重要標(biāo)準(zhǔn)。為了達(dá)到這一目標(biāo)，網(wǎng)絡(luò)犯罪分子采取的戰(zhàn)術(shù)策略也在不斷演變，更多的是使用了免殺機(jī)制。在對(duì)抗挖礦病毒的過程中，持續(xù)的監(jiān)察與發(fā)現(xiàn)能力至關(guān)重要。

在這里，安全公司的研究人員建議組織和用戶建立多層次、聯(lián)動(dòng)的安全策略，部署防火墻、郵件網(wǎng)關(guān)等產(chǎn)品作為第一道防線，并部署行為監(jiān)控和漏洞防護(hù)產(chǎn)品，有效阻止威脅到達(dá)客戶端。對(duì)于面臨挖礦病毒威脅的組織來說，要在挖礦病毒傳播的各個(gè)環(huán)節(jié)建立“抑制點(diǎn)”。目前，有很多不錯(cuò)的安全廠商都可以提供完善的安全解決方案，保護(hù)用戶的電腦安全。

另一方面，在挖礦病毒發(fā)現(xiàn)與防范過程中，“人”扮演著重要的角色，組織的IT人員應(yīng)該加強(qiáng)對(duì)于組織網(wǎng)絡(luò)資產(chǎn)的監(jiān)測(cè)，對(duì)于出現(xiàn)的異常情況進(jìn)行及時(shí)排查與處理。此外，強(qiáng)化員工的網(wǎng)絡(luò)安全教育也有利于員工降低點(diǎn)擊不明郵件、鏈接與文件的幾率，并能通過及時(shí)的自查與事件上報(bào)降低PC的染毒幾率。

在文章的最后，我們也提醒廣大用戶特別是企業(yè)用戶，要構(gòu)建覆蓋全網(wǎng)的終端威脅發(fā)現(xiàn)系統(tǒng)，特別防范未知安全威脅，加強(qiáng)安全態(tài)勢(shì)感知能力提升，并通過精密編排的防御體系提升網(wǎng)絡(luò)安全恢復(fù)補(bǔ)救能力。