你知道嗎？挖礦病毒不僅吞噬電力，更能拖慢你的計算能力。許多“中招”的數(shù)據(jù)中心，以及無法精確統(tǒng)計的僵尸網(wǎng)絡，正在貪婪的吞噬電力、拖慢企業(yè)的計算能力。對于個人用戶而言，“礦工”可能就躲藏在你我的電腦當中。

黑客很可能已經(jīng)偷偷往受害者得電腦中植入了挖礦軟件，且持續(xù)數(shù)量都不會被發(fā)現(xiàn)。近期，一些研究員發(fā)現(xiàn)另一種被稱為“Norman”的挖礦惡意軟件，其能利用被感染計算機的處理能力來挖掘加密貨幣，導致系統(tǒng)速度越來越慢，最終無法使用。

時刻警惕你的電腦

我們了解到，“Norman”的隱藏能力極強，當安全研究員發(fā)現(xiàn)它的蹤跡時，該惡意軟件已經(jīng)感染了目標公司的幾乎所有計算機，且可能已經(jīng)潛伏了多年。

“Norman”之所以有這樣強大的隱藏能力，原因在于黑客使用了多種終止程序進程，并在用戶關閉任務管理器后恢復工作，以防止用戶發(fā)現(xiàn)自己的電腦內存有可疑程序正在運行。

實際上，這類惡意軟件不僅可以長期蟄伏，還能通過命令和控制服務器（command and control）接收黑客的指令。對此，研究員表示他們不確定攻擊者是否真的“管理”這些惡意軟件。

與此同時，研究員還認為“Norman”的開發(fā)者，可能來自法國或者其他法語國家，因為在該惡意軟件代碼中含有用法語編寫的字符串。對此，安全專家表示，使用惡意軟件挖礦是從去年便開始流行的網(wǎng)絡犯罪形式之一。

對于普通用戶來說，需要警惕“電腦越用越卡”的情況。作為吞噬PC資源的“大戶”，挖礦病毒通過控制PC的處理器、顯卡等硬件，執(zhí)行高負載的挖礦計算腳本來進行挖礦。一旦成功入侵到用戶PC，往往會導致CPU或是顯卡的負載上升數(shù)倍，不僅應用的運行速度被極大的拖慢，電力功耗也會劇烈增加。

根據(jù)相關安全報告顯示，政府、醫(yī)療、石油和天然氣等網(wǎng)絡安全相對薄弱的企事業(yè)單位是挖礦病毒的優(yōu)先攻擊目標。雖然大部分PC在挖礦效率上完全無法同專業(yè)的“礦機”相提并論，但是“聚沙成塔”，一旦其控制的PC數(shù)量達到幾千臺甚至幾萬臺，其收益就是極其可觀了。

此外，挖礦病毒的風險還在于，其目的并非局限在竊取PC的計算能力方面，而是會利用自己善于隱匿的優(yōu)勢，為威脅更大的APT攻擊預留了空間。一旦挖礦變得無利可圖，其很有可能將目標轉化為組織的數(shù)據(jù)資產(chǎn)與業(yè)務，帶來更嚴峻的威脅。

需要注意的是，當我們正常瀏覽網(wǎng)頁時，也有可能是在幫別人挖礦。這種擅自占用用戶資源的行為，其實已經(jīng)構成違法犯罪，可以稱之為木馬病毒。根據(jù)Adguard的數(shù)據(jù)統(tǒng)計，全球已經(jīng)有約有5億臺電腦曾被綁架挖礦。全網(wǎng)有超過3萬家網(wǎng)站內置了挖礦代碼，這些挖礦代碼可以使用戶在瀏覽了網(wǎng)頁時，調用計算機的資源來進行挖礦。對于流量比較小的網(wǎng)站來講，每天可以獲得幾美元的收入，而對于那些流量較大的網(wǎng)站，則可以達到數(shù)千美元。

如何找到挖礦病毒的“脈門”

斬斷入侵路徑是防范挖礦病毒最有效的方法，而社交工程就是黑客最常用的入侵方式。黑客會向組織內部的員工大量發(fā)送精心偽造的垃圾郵件，這些垃圾郵件一般會在附件中植入挖礦相關的惡意代碼，并使用具有誘惑力的標題和內容誘惑員工下載并打開。一旦成功侵入，病毒往往會注入系統(tǒng)進程，并讀取挖礦配置信息進行挖礦。

因此，對于挖礦病毒來說，生存時間是衡量其銷量的最重要標準。為了達到這一目標，網(wǎng)絡犯罪分子采取的戰(zhàn)術策略也在不斷演變，更多的是使用了免殺機制。在對抗挖礦病毒的過程中，持續(xù)的監(jiān)察與發(fā)現(xiàn)能力至關重要。

在這里，安全公司的研究人員建議組織和用戶建立多層次、聯(lián)動的安全策略，部署防火墻、郵件網(wǎng)關等產(chǎn)品作為第一道防線，并部署行為監(jiān)控和漏洞防護產(chǎn)品，有效阻止威脅到達客戶端。對于面臨挖礦病毒威脅的組織來說，要在挖礦病毒傳播的各個環(huán)節(jié)建立“抑制點”。目前，有很多不錯的安全廠商都可以提供完善的安全解決方案，保護用戶的電腦安全。

另一方面，在挖礦病毒發(fā)現(xiàn)與防范過程中，“人”扮演著重要的角色，組織的IT人員應該加強對于組織網(wǎng)絡資產(chǎn)的監(jiān)測，對于出現(xiàn)的異常情況進行及時排查與處理。此外，強化員工的網(wǎng)絡安全教育也有利于員工降低點擊不明郵件、鏈接與文件的幾率，并能通過及時的自查與事件上報降低PC的染毒幾率。

在文章的最后，我們也提醒廣大用戶特別是企業(yè)用戶，要構建覆蓋全網(wǎng)的終端威脅發(fā)現(xiàn)系統(tǒng)，特別防范未知安全威脅，加強安全態(tài)勢感知能力提升，并通過精密編排的防御體系提升網(wǎng)絡安全恢復補救能力。