新型加密货币挖矿攻击曝光

重点概述

• 研究人员发现新类型的加密货币挖矿攻击，专注于劫持网络带宽。
• 新型挖矿程序影响CPU使用率较小，但网络带宽消耗显著。
• 这种攻击方式有助于攻击者避开部分安全工具的侦测。
• 攻击者利用现有云基础设施进行资源盗窃，以获取经济利益。

在一篇由Aqua Nautilus研究团队发布的中，他们披露了一种新的加密货币挖矿攻击。与传统的加密货币挖矿者相比，此类新型攻击主要通过损耗网络带宽，避免直接耗损CPU资源。

研究人员指出，以往的“老式”加密挖矿程序会造成CPU使用率大幅上升，而新的加密挖矿程序使CPU的增加量保持在适中水平，但网络带宽的消耗则非常高。这一策略使得新型挖矿者能够在某些安全工具之下得以隐形，因为这些工具往往只关注CPU的高使用率，可能会忽视这种新的劫持行为。

Aqua研究团队提到，他们在今年二月时检测到了一种新的，该恶意软件首次来自一个名为peer2profit的账户，这引起了他们的关注。尽管这个容器被标记为加密挖矿者，由于表现出了类似的行为，研究人员起初并未过多关注该攻击。但随后他们发现，这一攻击利用各种用户模式的rootkit来隐藏其活动。看到这一点后，研究人员决定深入分析其行为，注意到了网络活动的显著增加，并进一步研究peer2profit的动向，发现其目标是PKTCash，一个允许用户利用闲置带宽获利的平台。

这种攻击形式被ThreatModeler的CTO约翰·斯蒂文（JohnSteven）形容为一种自然演变。“在云计算或加密平台将基础设施资产货币化的情况下，攻击者可以在不付费的情况下盗取资源，这带来了经济利益，”斯蒂文表示。还指出，攻击者所瞄准的资源始终是风险与回报的函数。

“正如Aqua研究人员所指出的，厂商开始将CPU资源盗窃的检测商品化，以从攻击者手中减少风险加权回报，”斯蒂文指出。“与此同时，像PKTCash这样的平台正在提升其他资源——例如网络带宽——的价值，使得攻击者可以在不被检测的情况下使用这些资源，至少在厂商基于Aqua发布的博客原型出示遥测数据之前是这样的。”

Coalfire的现场CISO杰森·希克斯（JasonHicks）解释说，攻击者基本上是利用一种消耗网络资源而非CPU的加密挖矿应用程序，并尝试使用rootkit技术来隐藏程序的运行。希克斯指出，攻击者正在尝试在各种云服务提供商的免费层上运行该应用，以利用免费的资源挖掘加密货币。

“将其纳入恶意软件分发系统以便使其在计算机上运行并不是一件困难的事，”希克斯表示。他还补充道，许多反恶意软件工具是通过检测高CPU使用率来识别加密挖矿恶意软件，但这种工具不会通过这种方式被侦测到。他指出，他们给出的例子并不是针对普通公众计算机的攻击，而更倾向于针对像AWS和Heroku这样的云服务提供商的攻击。希克斯称，他之前并未见到过类似的攻击，通常的加密挖矿攻击主要关注通过他人的系统来获取免费的计算时间，这并不适合各大云服务商的免费层。