加密货币与网络防御的未来Max Heinemeyer，威胁狩猎总监| 2018年2月13日星期二，序曲过去12个月，加密货币的价值出现了巨大的波动，比特币就是其中最突出的例子。2017年初，比特币徘徊在2000美元大关附近，然后突然起飞，2017年12月攀升至接近2万美元的历史高点。自那以后，比特币的需求开始下降，在撰写本文时，比特币的价格接近10772美元。虽然比特币是最受欢迎的加密货币，但在过去12个月里，出现了许多替代品，通常被称为"altcoins"，并且其价值不断增长。例如，dogeoin最初是在广泛传播的互联网迷因（meme）之后创建的一种骗人的加密货币，2018年1月达到了20亿美元的显著市值里程碑。如今，在笔记本电脑、智能手机或台式电脑等大宗硬件上开采比特币几乎不可能盈利。在这种后期状态下，进行相关计算所需时间太长，而且在大多数情况下，电力成本高于预期收入。其他altcoins（如Monero）使用不同的算法，使它们成为有抱负的加密矿工的可行选择。在商品硬件上开采altcoins并看到投资回报通常仍然是可行的。大多数altcoins的价值与Bitcoin的价值密切相关，在许多情况下，这种关系大体上是成比例的——比特币的上涨促使altcoins也出现了类似的上涨。Monero已经迅速被达克内特市场所采用，并从中获利。虽然Monero在2017年1月的估值在10美元左右，但一年后它的价格已飙升至419美元。对于加密货币现象，仍有许多问题尚不清楚。关于人民币相对价值及其作为一种货币的地位的争论正在激烈进行，什么是物联网工程，而且不会很快得到解决。然而，从网络安全的角度来看，毫无疑问，altcoins可以在商品硬件上开采，作为比特币崛起的副作用，采矿现在变得有利可图，加上加密货币相关技术的成熟，导致了与加密货币相关的攻击激增。攻击载体Darktrace观察到，过去12个月，与加密货币相关的攻击急剧增加。这些攻击的频率和多样性都有了显著的增长，在很大程度上反映了比特币在这一时期的显著升值。此前，网络犯罪分子通过银行木马/信用卡欺诈，在Darknet上出售窃取的数据和勒索软件来赚钱。然而，罪犯的适应能力是出了名的，他们会跟着钱走到哪里，这导致了密码劫持的普及率上升。加密货币的开采可能不如勒索软件的利润丰厚，但它可以秘密进行数月，而不会造成勒索软件攻击所特有的破坏。大多数用户和安全产品可能不会注意到公司设备上安装了加密货币miner，因为它不会向用户显示明显的威胁或消息，除非CPU或RAM使用量偶尔增加。对于传统的安全工具来说，识别这些攻击可能非常困难，因为它们最初并不是为了捕捉这种类型的威胁而设计的。暗黑种族也不是，但它的方法依赖于它对行为模式不断发展的理解，这意味着它可以检测到此类攻击，而无需事先知道要寻找什么。Darktrace检测到许多与加密货币攻击相关的攻击向量。恶意使用公司资源Darktrace检测到一系列事件，员工故意在公司设备上安装加密货币挖掘软件，以谋取私利。这些雇员不必为办公室里的公司设备运行所需的电费买单，他们基本上是通过征用雇主的电力来进行采矿作业，从而将雇主的电力转化为现金。这通常被视为违反法规，并增加安装了挖掘软件的设备的攻击面。由于采矿设备的耗电量通常会上升，这会使公司设备面临风险，同时也会增加运营成本。在过去的12个月里，这类开采最受欢迎的加密货币选择是以太币和莫奈罗币，它们可以在不需要过多电力的情况下开采，从而获利颇丰。Coinhive drive by mining公司Coinhive是一种允许网站所有者利用访问者的计算能力为网站所有者挖掘一小部分加密货币的技术。访问者在浏览网站时，将体验到计算机资源消耗的小幅增加。一些网站尝试用这种模式来创造新形式的收入流，而不是广告和横幅广告。共同配置单元的使用通常不是一个选择加入的过程。Darktrace观察到了各种利用Coinhive技术定期访问网站的客户设备。虽然使用Coinhive浏览网站的设备的功耗增加最终可以忽略不计，但相当大一部分员工无意中使用Coinhive浏览网站的累积影响导致整个组织的功耗成本增加。恶意内幕一个恶意的内部人士破坏了他雇主的网站，在上面放了一个Coinhive脚本。随后，物联智能家居，这家公司为雇主网站上的每一位访问者挖掘莫内罗，以获取恶意内幕人士的个人利益。传统恶意软件网络犯罪分子不断寻求提高其运营的投资回报率。报告显示，犯罪分子开始根据目标的财务状况调整其货币化方法。假设你无法支付勒索软件攻击的费用？他们只会在你的设备上安装一个加密矿工来确保攻击不会完全没有结果。随着恶意软件作者变得越来越复杂，返现是什么意思，他们经常部署多阶段恶意软件，以交换武器化的有效载荷。一旦恶意软件成功地感染了系统，它的作者通常可以决定下一步要采取什么行动。加密设备勒索赎金？安装银行木马以获取信用卡详细信息？安装更多间谍软件模块来寻找数据外泄？或者，现在，安装一个加密货币矿工。这些恶意软件悄悄地运行，并且经常在数周内未被发现。感染可能始于包含启用宏的文档的网络钓鱼电子邮件。一旦用户启用了宏，恶意软件就会下载一个无文件的stager，它存在于内存中，传统的防病毒软件无法检测到。指挥和控制通信通常通过IP地址进行维护，IP地址每天都会发生变化，以避开威胁情报和黑名单尝试。由于没有直接造成明显的损害，只要不使用诸如暗黑竞赛之类的自学技术，这些攻击通常会被长时间地隐藏在雷达的监视之下。这变得更加令人担忧，因为恶意软件作者可能会在一夜之间将一个有效负载换成另一个负载，如果他们认为这样更有利可图，第二天从一个隐秘的加密挖掘特洛伊木马切换到勒索软件。虽然我们还没有在野外观察到这种攻击，但这是有道理的，在网络空间里，我们能做的，游戏返利平台，都会做。结论像加密货币这样的革命性技术有其黑暗和光明的一面。对于加密区块链革命释放出的所有创造性能量，比特币及其替代品迅速成为犯罪黑社会的通用货币。事实上，世界银行（worldbank）前首席经济学家约瑟夫•斯蒂格利茨（Joseph Stiglitz）曾表示，比特币的全部价值在于其"规避风险的潜力"和"缺乏监管"。虽然斯蒂格利茨的案子可能被夸大了，iot物联网，但毫无疑问，网络犯罪分子已经意识到了一个新的赚钱机会。许多组织仍然认为加密挖掘是一个合规事件。这可能导致严重后果，因为加密货币挖掘设备可能会导致更严重的事件，从而对企业运营产生严重影响。这种威胁很难被发现，因为没有造成明显的损害。然而，通过Darktrace的机器学习，我们甚至可以将这种攻击最薄弱的指标关联到一幅令人信服的威胁图景中。虽然传统工具可能难以发现这些偏差，但Darktrace可以精确定位加密货币矿工影响的行为变化，而无需依赖任何黑名单或签名。麦克斯HeinemeyerMax是一位在该领域拥有超过九年经验的网络安全专家，专门从事网络监控和攻击性安全。在Darktrace，Max与战略客户合作，帮助他们调查和应对威胁，并监督剑桥英国总部的网络安全分析师团队。在担任现任职务之前，马克斯领导着惠普在中欧的威胁和脆弱性管理部门。在这个职位上，他是一个白帽黑客，领导渗透测试和红队的活动。当他还在德国生活时，他也是德国混沌电脑俱乐部的一员。Max拥有杜伊斯堡-埃森大学（University of Duisburg-Essen）的硕士学位和斯图加特合作州立大学（Cooperative State University Stuttgart）的国际商务信息理学学士学位系统。共享在LinkedIn上的FacebookTweetShare发送电子邮件