怎樣在網路上發現和阻止加密挖礦攻擊

導讀	加密挖礦是建立加密貨幣的過程。人們可以從挖掘加密貨幣獲利，這一過程是合法的，但加密挖礦的犯罪行為通常利用劫持他人的計算機進行加密挖礦來獲利。

冰島因其廉價的電力而成為比特幣開採的重要樞紐，人們的計算機也可能被網路犯罪分子劫持成為加密挖礦的理想場所。

加密挖礦是建立加密貨幣的過程。人們可以從挖掘加密貨幣獲利，這一過程是合法的，但加密挖礦的犯罪行為通常利用劫持他人的計算機進行加密挖礦來獲利。

當惡意行為者通過Web伺服器和Web瀏覽器劫持計算機時，就會發生加密劫持。惡意JavaScript程式碼通常被注入或植入Web伺服器，當使用者訪問網頁時，他們的瀏覽器被感染，將他們的計算機變成加密挖礦的礦工。

那麼是否能夠檢測並保護自己免受這一活動的影響呢?絕對可以，人們可以從發現加密挖礦礦工的方法開始。

首先，檢查網路上系統的效能。企業的員工如果注意到其計算機CPU使用率過高、溫度上升或風扇速度加快，並將其報告給IT團隊。這種情況可能是業務應用程式編碼不當的徵兆，也可能表明系統上存在隱藏的惡意軟體。因此需要設定系統基準以更好地發現系統中的異常。

但不要僅僅依靠效能異常來識別受影響的系統。最近的事件表明，網路攻擊者正在限制對系統的CPU需求以隱藏其影響。例如，微軟公司最近釋出的一份數字防禦報告指出了越南網路犯罪組織BISMUTH的威脅活動，該組織主要針對的目標是法國和越南的私營部門和政府機構。微軟公司在這份報告中指出，“由於加密挖礦礦工往往被安全系統視為優先順序較低的威脅，因此BISMUTH能夠利用由其惡意軟體引起的較小警報配置檔案潛入系統而不引起注意。BISMUTH通過與正常網路活動的融合來避免檢測。”

除了檢測出現異常的計算機之外，如何檢測此類隱蔽的惡意行為者?檢視防火牆和代理日誌以瞭解它們正在建立的連線。應該確切知道企業資源有權連線到哪些網址和平臺。如果這個過程過於繁瑣，需要檢視防火牆日誌並阻止已知的加密礦工的位置。

Nextron公司最近發表的一篇部落格文章指出了他們在使用中看到的典型加密礦池。可以檢視防火牆或DNS伺服器以檢視是否受到影響。檢視包含*xmr.**pool.com*pool.org和pool.*的模式的日誌，看看是否有人或任何東西在佔用網路。如果企業有一個高度敏感的網路，需要將連線限制為網路所需的那些IP位置和地址。在這個雲端計算時代，這很難確定。即使跟蹤微軟公司使用的IP地址也很難跟上。例如，當微軟公司為其Azure資料中心新增新範圍時，可能需要調整授權IP地址列表。

一些瀏覽器擴充套件將監控並阻止加密礦工。例如，NoCoin和MinerBlocker解決方案可以監控可疑活動並阻止網路攻擊，這兩者都有適用於Chrome、Opera和Firefox各種瀏覽器的擴充套件程式。或者可以阻止JavaScript在瀏覽器中執行，因為惡意JavaScript應用程式是通過橫幅廣告和其他網站操作技術傳播的。調查是否可以阻止JavaScript，因為它可能會對出於業務原因需要的某些網站產生不利影響。

邊緣正在測試微軟所謂的Super-Duper安全模式。它通過在V8 JavaScript引擎中禁用即時(JIT)編譯來提高邊緣的安全性。微軟公司表示，現代瀏覽器中的JavaScript漏洞是網路攻擊者最常見的載體。調研機構在2019年的調查表明，大約45%的V8攻擊與JIT相關。

禁用JIT編譯確實會影響效能，而Microsoft瀏覽器漏洞研究所進行的測試顯示了一些倒退。Speedometer2.0等JavaScript基準測試顯示下降幅度高達58%。儘管如此，微軟公司表示，使用者並沒有注意到效能下降，他們很少注意在日常使用中的差異。

人們需要從外部和內部威脅的角度來看加密挖礦，檢查這些選項，以主動保護自己免受潛在攻擊。

原文來自：