什麼是加密虛擬貨幣(Cryptocurrency)?數位貨幣挖礦程式所帶來的影響


 

澳洲政府承認數位虛擬貨幣為合法的支付方式。從七月一日起在該國用數位虛擬貨幣(如比特幣)購買產品或服務時免稅,以避免被重複徵稅。因此,交易商和投資者不會因為在合法交易平台上買賣而被徵稅。

日本則是在四月讓比特幣成為合法的支付方式,預計有超過2萬家商家接受比特幣付款。其他國家也加入了這個行列(儘管只是部分):瑞士、挪威荷蘭企業部分公開組織。最近一項研究指出,不重複的活躍數位貨幣使用者在二百九十萬到五百八十萬之間,大部分位在北美和歐洲。

但數位貨幣必須做好什麼面對網路威脅的準備呢?有許多。像比特幣這樣受真實世界歡迎的數位虛擬貨幣也讓網路犯罪想要加以利用。但實際上會如何作?這對企業和一般用戶來說又代表什麼?

什麼是加密虛擬貨幣(Cryptocurrency)?

加密虛擬貨幣是代表一種貨幣單位的加密資料串。它經由點對點網路所監控和管理,也稱為區塊鍊,作為交易(如購買、出售、轉讓)的安全帳簿。跟實體貨幣不同,加密虛擬貨幣去中央化,這代表它們並不由政府或其他金融機構發行。

加密虛擬貨幣透過加密演算法來產生,經由稱為挖礦的程序來維護和確認,由一群電腦或特製硬體(如特殊應用積體電路,ASIC)來處理和驗證交易。這個過程會用加密虛擬貨幣來回報給礦工。

[相關:比特幣是數位加密虛擬貨幣的未來嗎?]

 

比特幣不是全部也不是最終

事實上加密虛擬貨幣超過700種,但只有少數真的可以進行交易,更少數具備1億美元以上的市場價值。以比特幣(Bitcoin)為例,是由中本聰(化名)所建立,在2009年以開放原始碼發表。區塊鍊技術讓這一切變得可行,提供一個系統讓資料結構(區塊)透過通訊端點(節點)網路在公開分散式的資料庫被廣播、驗證和註冊。

雖然比特幣是最知名的加密虛擬貨幣,但還有其他熱門替代品。以太坊(Ethereum)使用“智慧合約”讓開發者更容易取得所需的程式語言。協定或條件交易被寫成程式碼,在以太坊的區塊鍊中執行(只要符合要求)。

不過以太坊因為駭客攻擊以太坊軟體的去中心化自治組織(DAO)漏洞而遭受惡名,被盜領了價值五千萬美元的以太幣。這導致古典以太坊(Ethereum Classic)的出現,根據原始區塊鍊和以太坊的升級版本(透過硬交叉)。

[延伸閱讀:古典以太坊錢包成為社交工程詐騙受害者]

 

還有其他值得注意的加密虛擬貨幣:萊特幣(Litecoin),狗狗幣(Dogecoin),門羅幣(Monero)等。萊特幣據稱改進了比特幣的技術,透過Scrypt挖礦演算法(比特幣使用SHA-256)達到較快的效果。萊特幣網路可以產生8,400萬個萊特幣,比比特幣還多四倍。門羅幣知名的是使用環簽名(ring singature,一種數位簽章)和CryptoNote應用層協定來保護交易隱私 – 數量、來源和目的地。狗狗幣,起初是為了教育或娛樂目的而開發,旨在給更多人使用。可以產生不限數量的狗狗幣,它也使用Scrypt來推動貨幣。

[延伸閱讀:誰在攻擊你的物聯網設備和智慧家居,為了什麼?]

 

數位挖礦也吸引了網路犯罪

數位貨幣沒有邊界,任何人隨時隨地都可以傳送而沒有延遲或額外/隱性收費。因為這特性,它們對詐騙分子和身份竊賊來說更加安全,因為加密虛擬貨幣無法被偽造,而且個人資訊隱藏在加密牆後。

不幸的是,同樣明顯的獲利能力、方便性和匿名性也讓加密虛擬貨幣受到網路犯罪分子喜愛,這在勒索病毒 Ransomware (勒索軟體/綁架病毒)運作中可以看到。加密虛擬貨幣的日益普及,也讓越來越多惡意軟體感染系統和設備,將它們變成數位貨幣挖礦大軍的一部份。

加密虛擬貨幣挖礦是計算密集的工作,需要相當多的資源,像是專用處理器、顯示卡和其他硬體。雖然挖礦可以產生錢,但也有許多要注意的地方。利潤跟礦工對硬體的投資有關,更不用說還要算上用電成本。

加密虛擬貨幣是在開採區塊;以比特幣為例,每次解決一定數量的雜湊值,每區塊可以帶給礦工的比特幣數量減半。由於比特幣網路設計為每十分鐘生成新區塊,要解決另一個雜湊的難度就會被調整。隨著挖礦力量增大,開採新區塊的資源需求也會增加。回報變得比較小,而且每四年都會降低,在2016年,開採區塊的獎勵被減半至12.5比特幣(在2017年7月5日約等於32,000美元)。因此許多人都會聯合建立資源池來讓挖礦效率變得更高。利潤會在團體間分配,取決於礦工付出的努力。

[來自TrendLabs Security Intelligence部落格:Windows系統機器、路由器和網路攝影機如何成為比特幣挖礦殭屍]

 

加密虛擬貨幣挖礦惡意軟體使用相同的攻擊載體

壞人們轉向用惡意軟體來解決這些問題。不過對連網設備和機器雖然有足夠能力處理網路資料,卻不具備額外的數字運算能力。為了彌補這點,加密虛擬貨幣挖礦惡意軟體被設計來讓「Botnet傀儡殭屍網路」電腦執行這些任務。還有其他做法,在2014年,哈佛大學的超級電腦叢集奧德賽被用在狗狗幣的非法挖礦。在同一年,類似事件發生在美國國家科學基金會的超級電腦。在2017年2月初,一台美國聯邦儲備委員會的伺服器被用來開採比特幣

加密虛擬貨幣挖礦惡意軟體跟許多其他惡意威脅採用相同手法,從夾帶惡意軟體的垃圾郵件和惡意網頁下載,到垃圾軟體和潛在有害應用程式(PUA)。在2014年1月,Yahoo一個基於Java的廣告網路漏洞遭受攻擊,讓歐洲使用者受到惡意廣告攻擊,感染了比特幣挖礦惡意軟體。在那之前一個月,德國執法單位逮捕了據稱用惡意軟體挖礦超過954,000美元價值比特幣的駭客。

[延伸閱讀:韓國最大的加密虛擬貨幣交易所如何被駭]

 

我們早在2011年就已經看到跟比特幣網路犯罪挖礦相關的駭客工具和後門程式出現,也看到各種加密虛擬貨幣挖礦威脅加入更多功能,如分散式阻斷服務網址欺騙。有的甚至會試圖偽裝成趨勢科技的產品元件。在2014年,惡意威脅Kagecoin跑到Android設備上,能夠開採比特幣、萊特幣和狗狗幣。一個遠端存取木馬(RAT)njrat/Njw0rm也出現在中東地下市場,被修改加入比特幣挖礦功能。同樣的事情也出現在一個老Java RAT上,用來開採萊特幣

今年為止最知名的加密虛擬貨幣挖礦惡意軟體是Adylkuzz、CPUMiner/EternalMiner和Linux.MulDrop.14。它們都會利用漏洞攻擊。Adylkuzz利用EternalBlue,跟WannaCry勒索病毒造成破壞所利用的安全漏洞一樣。而CPUMiner/EternalMiner使用的是SambaCry,跨平台套件Samba的漏洞。Linux.MulDrop.14是Linux上的木馬程式,針對的是樹莓派設備。這些威脅會感染設備和機器,將它們變成門羅幣挖礦殭屍網路。

[延伸閱讀:你的路由器被入侵時會發生什麼事?]

 

加密虛擬貨幣挖礦惡意軟體所造成的影響讓它們成為確切的威脅

加密虛擬貨幣擦礦惡意軟體竊取中毒電腦的資源,會顯著影響其效能也加快耗損。而且還會帶來其他成本,如電力消耗增加。

但我們也發現它們所造成的影響不只是在效能方面。從1月1日至2017年6月24日,我們的感知器偵測到4,894個比特幣礦工觸發460,259起比特幣開採活動,並發現這些礦工有超過20%也觸發網頁和網路相關攻擊。我們甚至發現跟一個勒索病毒攻擊載體相關的入侵企圖。我們最常看到的攻擊包括:

這些惡意軟體會威脅到網路或系統的可用性、完整性和安全性,可能導致企業關鍵運作的中斷。資料竊取和系統劫持也都是嚴重的後果。這些攻擊也可能是其他惡意軟體被帶入所造成。

物聯網(IoT ,Internet of Thing)設備也成為數位加密虛擬貨幣挖礦程式的目標,從數位攝錄影機(DVR)/監視攝影機、機上盒網路儲存(NAS)設備,還有路由器,因為它們在住家和企業環境中無所不在。在2017年4月,帶有比特幣挖礦功能的Mirai變種出現。Mirai因為其對物聯網設備(尤其是家用路由器)造成的破壞而惡名遠播,在去年用它們來將知名網站下線。在2016年前三季,我們偵測到由Windows系統、家用路由器和IP攝影機所組成的比特幣挖礦殭屍大軍

從2017年的1月1日到6月24日,我們也觀察到不同種類的設備在開採比特幣,但我們無法確認這些活動是否經過允許。我們也看到比特幣挖礦活動大幅上升了40%,從二月的每日1,800起觸發事件到三月的3,000起。

雖然比特幣挖礦本身不是非法(至少在許多國家),但如果沒有經過所有者的同意也是一種侵害。我們發現Windows系統機器佔了比特幣挖礦活動的最大宗,但要注意的還有:

  • 麥金塔作業系統機器,包括了iOS(iPhone 4到iPhone 7)
  • 運行Ubuntu作業系統的設備,這是Debian Linux的分支
  • 家用路由器
  • 資料中心的環境監視設備
  • 運行Android的智慧型電視和行動設備
  • IP攝影機
  • 列印伺服器
  • 遊戲主機

 

[延伸閱讀:如何保護你的路由器對抗Mirai和家用網路攻擊]

 

數位貨幣挖礦惡意軟體讓受害者變成問題的一部分

數位加密虛擬貨幣挖礦惡意軟體會損害系統效能,讓使用者和企業遭受資料竊取、劫持及其他惡意軟體等危險。而且藉由將這些機器變成殭屍網路的一部分,加密虛擬貨幣惡意軟體甚至會將這些受害者轉變成問題的一部分。

事實上,它們最終會影響到的是企業資產或使用者資料,這使得它們成為確切的威脅。要解決這些惡意軟體並沒有特效藥,但可以透過以下最佳實作來緩解:

  • 定期更新設備,安裝最新修補程式來防止攻擊者利用漏洞進入系統
  • 改變或加強設備的預設密碼,讓設備不易遭到未經授權的連線
  • 如果可以的話就啟用設備上的防火牆(家用路由器),或部署入侵偵測和防禦系統來對抗入侵攻擊
  • 對已知的攻擊來源要謹慎對待:社交工程連結、附件檔或來自可疑網站的檔案,可疑的第三方軟體/應用程式,還有未請自來的電子郵件

 

IT/系統管理員和資安專家也可以考慮應用程式白名單或類似的安全機制來防止可疑執行檔被執行或安裝。主動監控網路流量可以更好地識別危險信號,這可能代表惡意軟體感染。應用最低權限原則、制定對網頁注入的對策防護電子郵件閘道為企業行動設備實施最佳實作、培養具備網路安全意識的員工都是縱深防禦的一部分,減少企業對這些威脅的接觸面。但追根究底,防護連網設備來對抗數位加密虛擬貨幣貨幣挖礦惡意軟體不僅是使用者的責任。原始設計商和設備製造商也在保障這生態系安全內扮演至關重要的角色

 

@原文出處:Security 101: The Impact of Cryptocurrency-Mining Malware 作者:Kevin Y. Huang(威脅分析師)