加密货币挖矿僵尸网络通过秘密感染全球各种设备,为创造者创造了数百万美元的收入。
据技术门户网站ZDNet称,今年2月初,一个名为Smominru的加密货币矿工僵尸网络劫持了超过50万台计算设备,迫使各种设备在不了解设备所有者的情况下开采了将近9000个Monero加密货币。
欢迎来到僵尸网络的恶意世界-各种与Internet连接的计算设备的集合,其中可能包括台式机,服务器,手持式移动设备以及与物联网(IoT)兼容的设备,这些设备有意地受到了常见类型的感染和控制恶意软件。 这种僵尸网络的工作机制可确保设备所有者在大多数情况下不知道僵尸网络已受到感染,并且现在可以控制其系统。
该系统允许创建者利用加密货币进行交易,而牺牲了无知的设备所有者的利益,他们不知道自己的机器正被用来生产加密货币。
僵尸网络如何工作?
僵尸网络系统类似于标准的计算机恶意软件。 计算机恶意软件与任何其他计算机程序一样,但是其设计目的是将计算机用于邪恶的活动,例如破坏系统,破坏和/或窃取数据,或将其用于对设备,数据和设备造成不利影响的非法活动。网络。 除非被设备上安装的防病毒/反恶意软件程序捕获,否则此类恶意软件会在所有者不知情的情况下继续运行,并且能够将自身复制到网络上的其他已连接设备。
同样,僵尸网络是由其创建者开发为代码行的自动化程序,可使其潜伏到用户的计算设备上。 僵尸网络使用机器的处理能力,电力和互联网带宽来挖掘特定的加密货币。 (有关更多信息,请参阅比特币采矿如何工作?)
僵尸网络通常在互连的计算机的专用网络上发布,以便各种设备的累积能力可以为挖掘加密货币带来更多的计算能力,从而提高挖掘产出并为僵尸网络创建者带来相应的回报。
Smominru矿工僵尸网络案例研究
Smominru矿工僵尸网络于2017年5月创建,到2018年2月,已经成功开采了大约9000个Monero令牌,价值约360万美元。网络安全公司Proofpoint的研究人员声称,该僵尸网络包括“ 526, 000多台受感染的Windows主机,我们相信其中大多数是服务器” 。”
由于其弹性和不断再生的能力,遏制它的传播是一项艰巨的任务,尽管已尽一切努力将其清除。 从地理上看,Smominru矿工僵尸网络的节点遍布全球,其中大部分位于俄罗斯,印度和台湾。
经过调查和分析,Proofpoint要求著名的Monero矿池MineXMR禁止与Smominru链接的地址。 尽管这显然导致运营商失去了对僵尸网络三分之一的控制,但他们迅速注册了新域并开始在同一池中挖掘到新地址。
门罗币(Monero)似乎是通过此类僵尸网络进行挖掘的最受欢迎的加密货币,这是因为其匿名性和丰富的隐私功能,这些特征使得难以跟踪已开采的令牌所转移到的目标地址。 (有关更多信息,请参阅什么是Monero(XMR)加密货币?)
奖励更大,工作更少?
随着时间的流逝,各种加密货币的开采方法变得越来越复杂,并且资源越来越密集。 这类僵尸网络的运营商没有专注于从加密货币挖矿中受益的艰难而诚实的道路,而是通过滥用所有可用模式在越来越多的设备上扩展其僵尸网络,并将精力和精力集中在开发此类预编程程序上,从而蓬勃发展。系统。 此外,他们继续设计多种方法来使僵尸网络更强大。
鉴于此类僵尸网络所承诺的巨额利润,预计它们的数量和不良影响将会增加。
“鉴于僵尸网络的分布式性质和运营商的持久性,关闭僵尸网络非常困难。 对于企业而言,通过强大的补丁方案和分层安全性来防止感染是避免对关键基础架构造成潜在破坏性影响的最佳保护,” ProofPoint威胁运营副总裁Kevin Epstein表示。
2017年6月,另一个名为DoublePulsar的类似漏洞被用于在各种设备上安装Monero挖矿恶意软件。 2018年1月下旬,安全公司TrendMicro报告称,Alphabet Inc.的Google(GOOGL)DoubleClick广告服务被用于向欧洲和亚洲的许多用户分发加密货币挖掘恶意软件。
底线
尽管加密货币基础设施仍在发展,但这种威胁在新生网络中隐约可见。 尽管很难在单个用户级别上遏制这种威胁,但是定期监视在单个设备上运行的各种进程可能会有所帮助。 (另请参见“ WannaCry”勒索软件污染之后的比特币价格下跌。)
