什么是加密虚拟货币(Cryptocurrency)?

澳洲政府承认数字虚拟货币为合法的支付方式。从七月一日起在该国用数字虚拟货币(如比特币)购买产品或服务时免税,以避免被重复征税。因此,交易商和投资者不会因为在合法交易平台上买卖而被征税。

日本则是在四月让比特币成为合法的支付方式,预计有超过2万家商家接受比特币付款。其他国家也加入了这个行列(尽管只是部分):瑞士、挪威和荷兰的企业和部分公开组织。最近一项研究指出,不重复的活跃数字货币使用者在二百九十万到五百八十万之间,大部分位在北美和欧洲。

但数字货币必须做好什么面对网络威胁的准备呢?有许多。像比特币这样受真实世界欢迎的数字虚拟货币也让网络犯罪想要加以利用。但实际上会如何作?这对企业和一般用户来说又代表什么?


什么是加密虚拟货币(Cryptocurrency )?

加密虚拟货币是代表一种货币单位的加密资料串。它经由点对点网络所监控和管理,也称为区块链,作为交易(如购买、出售、转让)的安全帐簿。跟实体货币不同,加密虚拟货币去中央化,这代表它们并不由政府或其他金融机构发行。

加密虚拟货币透过加密演算法来产生,经由称为挖矿的程序来维护和确认,由一群电脑或特制硬体(如特殊应用积体电路,ASIC)来处理和验证交易。这个过程会用加密虚拟货币来回报给矿工。

比特币不是全部也不是最终

事实上加密虚拟货币超过700种,但只有少数真的可以进行交易,更少数具备1亿美元以上的市场价值。以比特币(Bitcoin)为例,是由中本聪(化名)所建立,在2009年以开放原始码发表。区块链技术让这一切变得可行,提供一个系统让资料结构(区块)透过通讯端点(节点)网络在公开分散式的资料库被广播、验证和注册。

虽然比特币是最知名的加密虚拟货币,但还有其他热门替代品。以太坊(Ethereum)使用“智慧合约”让开发者更容易取得所需的程式语言。协定或条件交易被写成程式码,在以太坊的区块链中执行(只要符合要求)。

不过以太坊因为骇客攻击以太坊软件的去中心化自治组织(DAO)漏洞而遭受恶名,被盗领了价值五千万美元的以太币。这导致古典以太坊(Ethereum Classic)的出现,根据原始区块链和以太坊的升级版本(透过硬交叉)。

还有其他值得注意的加密虚拟货币:莱特币(Litecoin),狗狗币(Dogecoin),门罗币(Monero)等。莱特币据称改进了比特币的技术,透过Scrypt挖矿演算法(比特币使用SHA-256)达到较快的效果。莱特币网络可以产生8,400万个莱特币,比比特币还多四倍。门罗币知名的是使用环签名(ring singature,一种数字签名)和CryptoNote应用层协定来保护交易隐私– 数量、来源和目的地。狗狗币,起初是为了教育或娱乐目的而开发,旨在给更多人使用。可以产生不限数量的狗狗币,它也使用Scrypt来推动货币。

数字挖矿也吸引了网络犯罪

数字货币没有边界,任何人随时随地都可以传送而没有延迟或额外/隐性收费。因为这特性,它们对诈骗分子和身份窃贼来说更加安全,因为加密虚拟货币无法被伪造,而且个人资讯隐藏在加密墙后。

不幸的是,同样明显的获利能力、方便性和匿名性也让加密虚拟货币受到网络犯罪分子喜爱,这在勒索病毒Ransomware (勒索软件/绑架病毒)运作中可以看到。加密虚拟货币的日益普及,也让越来越多恶意软件感染系统和设备,将它们变成数字货币挖矿大军的一部份。

加密虚拟货币挖矿是计算密集的工作,需要相当多的资源,像是专用处理器、显示卡和其他硬体。虽然挖矿可以产生钱,但也有许多要注意的地方。利润跟矿工对硬体​​的投资有关,更不用说还要算上用电成本。

加密虚拟货币是在开采区块;以比特币为例,每次解决一定数量的杂凑值,每区块可以带给矿工的比特币数量减半。由于比特币网络设计为每十分钟生成新区块,要解决另一个杂凑的难度就会被调整。随着挖矿力量增大,开采新区块的资源需求也会增加。回报变得比较小,而且每四年都会降低,在2016年,开采区块的奖励被减半至12.5比特币(在2017年7月5日约等于32,000美元)。因此许多人都会联合建立资源池来让挖矿效率变得更高。利润会在团体间分配,取决于矿工付出的努力。

加密虚拟货币挖矿恶意软件使用相同的攻击载体

坏人们转向用恶意软件来解决这些问题。不过对连网设备和机器虽然有足够能力处理网络资料,却不具备额外的数字运算能力。为了弥补这点,加密虚拟货币挖矿恶意软件被设计来让「Botnet 傀儡僵尸网络」电脑执行这些任务。还有其他做法,在2014年,哈佛大学的超级电脑丛集奥德赛被用在狗狗币的非法挖矿。在同一年,类似事件发生在美国国家科学基金会的超级电脑。在2017年2月初,一台美国联邦储备委员会的伺服器被用来开采比特币。

加密虚拟货币挖矿恶意软件跟许多其他恶意威胁采用相同手法,从夹带恶意软件的垃圾邮件和恶意网页下载,到垃圾软件和潜在有害应用程式(PUA)。在2014年1月,Yahoo一个基于Java的广告网络漏洞遭受攻击,让欧洲使用者受到恶意广告攻击,感染了比特币挖矿恶意软件。在那之前一个月,德国执法单位逮捕了据称用恶意软件挖矿超过954,000美元价值比特币的骇客。

我们早在2011年就已经看到跟比特币网络犯罪挖矿相关的骇客工具和后门程式出现,也看到各种加密虚拟货币挖矿威胁加入更多功能,如分散式阻断服务和网址欺骗。有的甚至会试图伪装成趋势科技的产品元件。在2014年,恶意威胁Kagecoin跑到Android设备上,能够开采比特币、莱特币和狗狗币。一个远端存取木马(RAT)njrat/Njw0rm也出现在中东地下市场,被修改加入比特币挖矿功能。同样的事情也出现在一个老Java RAT上,用来开采莱特币。

今年为止最知名的加密虚拟货币挖矿恶意软件是Adylkuzz、CPUMiner/EternalMiner和Linux.MulDrop.14。它们都会利用漏洞攻击。Adylkuzz利用EternalBlue,跟WannaCry勒索病毒造成破坏所利用的安全漏洞一样。而CPUMiner/EternalMiner使用的是SambaCry,跨平台套件Samba的漏洞。Linux.MulDrop.14是Linux上的木马程式,针对的是树莓派设备。这些威胁会感染设备和机器,将它们变成门罗币挖矿僵尸网络。

加密虚拟货币挖矿恶意软件所造成的影响让它们成为确切的威胁

加密虚拟货币擦矿恶意软件窃取中毒电脑的资源,会显著影响其效能也加快耗损。而且还会带来其他成本,如电力消耗增加。

但我们也发现它们所造成的影响不只是在效能方面。从1月1日至2017年6月24日,我们的感知器侦测到4,894个比特币矿工触发460,259起比特币开采活动,并发现这些矿工有超过20%也触发网页和网络相关攻击。我们甚至发现跟一个勒索病毒攻击载体相关的入侵企图。我们最常看到的攻击包括:

  • 跨站脚本(cross-site scripting)
  • 攻击微软IIS伺服器内的远端执行程式码漏洞
  • 暴力破解和预设密码登录/攻击
  • 命令缓冲区溢位漏洞
  • PHP任意程式码注入
  • SQL注入
  • BlackNurse 阻断服务攻击

这些恶意软件会威胁到网络或系统的可用性、完整性和安全性,可能导致企业关键运作的中断。资料窃取和系统劫持也都是严重的后果。这些攻击也可能是其他恶意软件被带入所造成。

物联网(IoT ,Internet of Thing)设备也成为数字加密虚拟货币挖矿程式的目标,从数字摄录影机(DVR)/监视摄影机、机上盒、网络储存(NAS)设备,还有路由器,因为它们在住家和企业环境中无所不在。在2017年4月,带有比特币挖矿功能的Mirai变种出现。Mirai因为其对物联网设备(尤其是家用路由器)造成的破坏而恶名远播,在去年用它们来将知名网站下线。在2016年前三季,我们侦测到由Windows系统、家用路由器和IP摄影机所组成的比特币挖矿僵尸大军。

从2017年的1月1日到6月24日,我们也观察到不同种类的设备在开采比特币,但我们无法确认这些活动是否经过允许。我们也看到比特币挖矿活动大幅上升了40%,从二月的每日1,800起触发事件到三月的3,000起。

虽然比特币挖矿本身不是非法(至少在许多国家),但如果没有经过所有者的同意也是一种侵害。我们发现Windows系统机器占了比特币挖矿活动的最大宗,但要注意的还有:

  • 麦金塔作业系统机器,包括了iOS(iPhone 4到iPhone 7)
  • 运行Ubuntu作业系统的设备,这是Debian Linux的分支
  • 家用路由器
  • 资料中心的环境监视设备
  • 运行Android的智慧型电视和行动设备
  • IP摄影机
  • 列印伺服器
  • 游戏主机

数字货币挖矿恶意软件让受害者变成问题的一部分

数字加密虚拟货币挖矿恶意软件会损害系统效能,让使用者和企业遭受资料窃取、劫持及其他恶意软件等危险。而且藉由将这些机器变成僵尸网络的一部分,加密虚拟货币恶意软件甚至会将这些受害者转变成问题的一部分。

事实上,它们最终会影响到的是企业资产或使用者资料,这使得它们成为确切的威胁。要解决这些恶意软件并没有特效药,但可以透过以下最佳实作来缓解:

  • 定期更新设备,安装最新修补程式来防止攻击者利用漏洞进入系统
  • 改变或加强设备的预设密码,让设备不易遭到未经授权的连线
  • 如果可以的话就启用设备上的防火墙(家用路由器),或部署入侵侦测和防御系统来对抗入侵攻击
  • 对已知的攻击来源要谨慎对待:社交工程连结、附件档或来自可疑网站的档案,可疑的第三方软件/应用程式,还有未请自来的电子邮件

IT/系统管理员和资安专家也可以考虑应用程式白名单或类似的安全机制来防止可疑执行档被执行或安装。主动监控网络流量可以更好地识别危险信号,这可能代表恶意软件感染。应用最低权限原则、制定对网页注入的对策、防护电子邮件闸道、为企业行动设备实施最佳实作、培养具备网络安全意识的员工都是纵深防御的一部分,减少企业对这些威胁的接触面。但追根究底,防护连网设备来对抗数位加密虚拟货币货币挖矿恶意软件不仅是使用者的责任。原始设计商和设备制造商也在保障这生态系安全内扮演至关重要的角色。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。