許多正在追逐加密貨幣挖掘熱潮的網絡犯罪分子，已經開始劫持計算機設備并秘密地利用這些受害者的資源來開采加密貨幣。

[[221050]]

網絡犯罪分子熱衷的其中一種策略就是在主機系統上為流行的加密貨幣(尤其是門羅幣Monero)安裝“礦工“(miners)，并將其添加到大量的僵尸網絡中。另一種常見的策略是在網站中嵌入挖礦工具，并秘密使用這些網站訪問者的計算資源來挖掘門羅幣和其他數字貨幣。根據Imperva發布的研究報告顯示，2017年12月，所有遠程代碼執行攻擊中有88%將目標指向加密貨幣挖掘惡意軟件下載網站。

這一趨勢已經嚴重影響了個人和企業的安全。根據供應商提供的報告指出，由于越來越多的挖礦工具被安裝在服務器和其他業務系統上，已經導致眾多企業遭受了運營中斷的嚴重后果。Check Point在本周發布的一份報告中預計，僅受Coinhive采礦工具影響的企業就已經占據全球企業的23%。此外，該公司在2018年1月發布的“十大惡意軟件威脅“名單中就包含3個加密貨幣挖掘工具(CoinHive、Cryptoloot和Rocks)。

接下來將為大家詳細介紹7個最多產且正在困擾全球用戶的加密貨幣挖掘工具和僵尸網絡：

1. Coinhive

[[221051]]

Coinhive是部署在全球數千個網站上的加密貨幣挖礦機，其中一些具備網站所有者的許可和授權，但大多數時候是在未經網站持有者許可的情況下，將JavaScript加密貨幣挖掘腳本嵌入在其網站中。當訪客訪問該網站時，會利用訪客的計算機CPU資源來挖掘加密貨幣(如門羅幣Monero)，最終導致網站訪客的計算機性能下降。

Coinhive本身并不是惡意的。事實上，不得不承認其想法是相當有創意的。Coinhive.com推出時，其創建者曾向網站所有者們推廣Coinhive并聲稱：僅需耗費訪問用戶的少部分CPU，就可以為網站所有者賺取利潤(提供門羅幣作為回報)，用于支持他們的業務，再也不用添加各種煩人的廣告，為用戶提供無廣告體驗。但是目前，多家安全供應商已經開始阻止Coinhive，因為根據用戶反饋許多網站所有者開始在不告知用戶的情況下運行挖礦工具。

此外，網絡犯罪分子也開始在未經網站所有者許可的情況下將挖礦工具嵌入成千上萬的網站之中。Check Point預計，2018年1月，全球多達23%的組織都受到了Coinhive的影響。

然而，事情并沒有如此簡單。2018年2月初，英國網絡安全公司Sophos公布了一份長達13頁的報告指出，安全專家發現19款Android應用程序被秘密加載到了Google Play商店中。Synopsys公司高級安全策略師Taylor Armerding表示，其中一款應用程序的安裝量已經達到10萬到50萬次。

RiskIQ公司產品經理Vamsi Gullapalli援引最近的數據稱，“通過RiskIQ抓取到的數據發現，在過去一年中，有超過50,000 個網站通過直接嵌入或間接經由受損的第三方組件(如Texthelp)注入的方式加載了Coinhive 挖礦工具。“他進一步表示，大多數的嵌入操作都是在未經原始所有者許可的情況下實現的。

2. Smominru

[[221052]]

Smominru是一款門羅幣挖掘僵尸網絡，該僵尸網絡由超過520,000臺Windows主機(其中大多數是服務器)組成。根據率先發現該僵尸網絡的安全廠商Proofpoint介紹稱，該僵尸網絡運營者一直在利用NSA泄露的“永恒之藍“(EternalBlue)漏洞來感染全球各地的系統，并使其成為僵尸網絡的一部分。此外，值得一提的是，此前臭名昭著的勒索軟件“WannaCry”也是利用了美國國家安全局泄露的危險漏洞“永恒之藍“。

截至2018年1月底，該僵尸網絡已經挖到了約8900枚門羅幣，折合當時的匯率約合280萬美元。Proofpoint當時曾預測稱，該僵尸網絡每天大約挖掘24個門羅幣，價值約合8500美元。Proofpoint指出，由于許多受感染的系統都是服務器，所以對于受影響的企業而言潛在的效益影響是巨大的。

3. WannaMine

[[221053]]

去年10月份，由熊貓安全(Panda Security)率先發現的“WannaMine“是一款新型門羅幣(Monero)加密挖掘蠕蟲。鑒于該蠕蟲試圖最大限度地使用被感染系統的處理器和RAM的表現形式，Panda安全公司將該蠕蟲形容成”尤為麻煩“的存在。

根據今年Crowdstrike公司發布的報告指出，該蠕蟲同樣利用與 NSA 相關的 “永恒之藍“(EternalBlue)漏洞進行傳播。此外，WannaMine 還可以使用憑證收割機”Mimikatz“來收集用戶憑據，從而達到在公司網絡中橫向移動的目的，但如果不能夠橫向移動的話，WannaMine 將會嘗試使用NSA泄露的EternalBlue漏洞擴展到其他系統之中。

4. Adylkuzz

2017年5月，Adylkuzz引起了廣泛關注，它與WannaCry一樣使用了NSA泄露的“永恒之藍“(EternalBlue)和Double Pulsar漏洞進行傳播。像其他加密貨幣挖掘工具一樣，一旦該惡意軟件進入計算機系統，它就能在上面下載指令、挖礦機器人以及清除工具。而關于該惡意軟件還有一個值得注意的特征：它能夠關閉受感染系統上的所有SMB網絡，以阻止其他惡意軟件(包括WannaCry蠕蟲)感染。

據悉，Proofpoint最早在4月24日發生了該類型攻擊，但由于它是在暗處操作，所以直到WannaCry席卷全球之后它才浮出水面，而許多用戶甚至完全不知道自己所用設備已經遭到該惡意軟件的網絡攻擊。根據Proofpoint初步數據統計表明，這起攻擊的規?？赡鼙?ldquo;WannaCry“還大，影響了全球幾十萬臺PC和服務器。

5. JSECoin

[[221054]]

JSECoin 是與Coinhive類似的JS挖礦工具，通過將加密貨幣挖掘工具嵌入網站所有者的網站之中，并提供網站所有者部分加密貨幣作為回報。像Coinhive一樣，JSECoin也是在訪客訪問嵌入挖礦工具的網站時，利用訪客的計算機CPU資源來挖掘加密貨幣。但是與前者不同的是，JSECoin會將CPU使用率限制在15%至25%之間，并且始終顯示隱私聲明，為用戶提供退出鏈接。盡管如此，Check Point月度報告中還是已經將該挖礦工具列入了“10大最受歡迎的惡意軟件工具“名單之列。

6. Bondnet

[[221055]]

Bondnet是一種用于挖掘不同數字貨幣的加密貨幣僵尸網絡。GuardiCore稱，該僵尸網絡由多達15000臺不同功率的服務器組成。GuardiCore公司于去年5月首次報告了該僵尸網絡信息，并指出該僵尸網絡能夠利用所控制的僵尸設備“挖礦”，開采不同種類的虛擬貨幣。其受害者包括全球性公司、市政府、大學以及公共機構等。

據悉，Bondnet的攻擊目標主要鎖定為Windows Server主機，利用系統弱密碼問題和常見的老舊系統漏洞(例如phpMyAdmin配置錯誤漏洞，或JBoss、Oracle?Web?Application?Testing?Suite、ElasticSearch、MS?SQL?servers、Apache?Tomcat、Oracle?Weblogic等)來入侵Windows系統，并安裝Windows管理界面木馬與遠程命令和控制服務器進行通信。此外，GuardiCore還注意到，該僵尸網絡還能夠輕易地發動DDoS攻擊以及竊取企業的數據。

7. PyCrypto Miner

[[221056]]

F5 Networks的研究人員將“PyCrypto Miner“描述為一個基于Python的僵尸網絡，研究人員稱，該僵尸網絡很大程度上可能已經隱身運行了很長一段時間。

據悉，這一基于Linux的加密貨幣挖掘僵尸網絡是通過SSH協議進行傳播的，并主要被用于開采門羅幣。截至2017年12月底，該僵尸網絡的運營者似乎至少已經挖到了價值46,000美元的加密貨幣。

根據F5研究人員的說法，PyCrypto Miner僵尸網絡存在的一個值得注意的特性是，如果原始服務器因為某種原因被關閉或變得不可用的話，它會使用Pastebin.com來發布和傳輸新的命令和控制(C&C)服務器地址。截至2017年12月中旬，該惡意軟件已經獲得了用于掃描易受攻擊的JBoss系統的新功能。