来自Palo Alto Networks公司旗下Unit 42威胁研究团队的Josh Grunzweig于本周一(6月11日)在一篇题为《加密货币矿工的崛起(The Rise of the Cryptocurrency Miners)》的博文中指出,从该公司WildFire平台收集的数据来看,加密货币挖掘恶意软件样本的数量自2017年以来就一直保持着迅猛上升的趋势。这意味着非法加密货币挖矿活动正在成为一种新的网络威胁,并且越来越多的网络攻击活动已经开始趋向于以交付加密货币挖掘恶意软件为目的。
下面这张图展示了随着时间的推移,有多少新的加密货币挖掘恶意软件样本被识别出。但值得提出的是,这些数据并不代表全部,其中便不包括Java script 或基于web的恶意挖掘活动,而这些活动同样也在继续困扰着每一位互联网用户。
Grunzweig希望通过分析整个数据集来回答以下两大问题:
什么加密货币被开采得最多?
攻击者已经赚了多少钱?
大约从2017年6月份开始,比特币(Bitcoin)和其他热门加密货币的价格大幅上涨,越来越多的人试图投资,最终将价格越推越高。巧合的是,在2017年6月,Unit 42团队也见证了WildFire平台里加密货币挖掘恶意软件数量的激增趋势。
这种价格的大幅上涨在2017年12月份达到顶峰,当时比特币的价格涨到了近2万美元左右。现在,它的价格已经回落至8000美元左右。
整体统计数据
到目前为止,大约有47万个独特的样本被确认。基于WildFire报告和相关的PCAP数据,Grunzweig对样本的以下信息进行了分析:
挖掘活动的目标货币
连接到采矿池时使用的电子钱包和电子邮箱地址
采矿池
Grunzweig收集到的最终数据如下:
629,126个样本
3,773个用于连接采矿池的电子邮箱地址
2,995个采矿池地址
2341个门罗币(XMR)钱包
981个比特币(BTC)钱包
131个以利坊(ETN)钱包
44个以太坊(ETH)钱包
Grunzweig表示,大多数网络攻击活动交付的加密货币挖掘恶意软件都针对了门罗币(大约占84.5%)。
门罗币统计
如上所述,Grunzweig从分析的样本集中提取了2341个门罗币钱包。与其他一些加密货币不同,Grunzweig表示不可能在没有所有者密码的情况下通过查询门罗币区块链来提取单个钱包的当前余额,这来源于门罗币最初的设计(更强大的隐匿性)。
Grunzweig因此采用了一种不同的方法来确定攻击者赚到了多少钱——基于采矿作业所使用的采矿池。通过查看恶意软件所使用的前十大采矿池,Grunzweig表示除了其中一个之外,其余采矿池都允许基于钱包作为标识符匿名查看统计信息。
Grunzweig最终查询了所有2341个门罗币钱包所使用的前八大采矿池。由于查询的是采矿池本身(而不是区块链),使得他能够精确地确定历史上开采了多少门罗币,而不用担心数据会受到其他来源的污染(例如,向这些钱包发送的付款)。
以下采矿池地址在研究中被使用:
Moneropool[.]com
minexmr[.]com
monerohash[.]com
crypto-pool[.]fr
xmrpool[.]eu
c1d2[.]com
dwarfpool[.]com
nanopool[.]org
supportxmr[.]com
通过在这些采矿池中查询,Grunzweig获得了以下有关迄今为止开采了多少门罗币的统计数据:
结论
到目前为止,非法加密货币挖掘活动的流行度仍在持续飙升。此类活动的飙升,可以说是之前加密货币价格大幅上涨的直接结果,目前价格的走势正在下跌并趋于稳定。随着这一态势,只有时间才能说明加密货币挖掘恶意软件是否会继续流行。很显然,对于那些使用恶意技术长期开采加密货币的个人或团体来说,这样的活动非常有利可图。从历史来看,通过恶意软件挖掘的门罗币总价值已经达到了1.75亿美元,且占目前市面上所有流通的门罗币总量的5%。
想要彻底阻断通过网络攻击活动来交付加密货币挖掘恶意软件是一项十分艰巨的任务,因为许多恶意软件开发者都会限制CPU占用率,或者确保挖掘操作只在一天中的某些特定时间段,或用户不活跃的时候进行。此外,恶意软件本身也被通过大量不同的方法进行交付,这要求防御者对安全性有更深入的方法。