· 全国
收起
恶意挖矿的危害
具备隐藏自身的功能,但这并不意味着它不会对你的设备造成损害。实际上,这种对计算资源的窃取会大幅降低运行速度,加大电力消耗,并缩短设备的使用寿命,从而影响业务或生产环境的正常运营。
受感染的设备通常会产生以下较为明显的负面影响:
恶意挖矿活动对单台设备的影响相对较小,但如果网络环境遭遇大范围传播感染的情况,网络将会出现明显卡顿、运行过慢等异常现象,导致性能降低甚至死机的情况发生,如果感染的是来自公用事业、制造业、能源行业、金融业的实体组织,恶意挖矿还可能影响其重要业务和数据的安全性,从而引起一系列的连锁反应,造成难以评估的运营、生产损失。
恶意挖矿的趋势
根据安恒信息猎影实验室针对多个恶意挖矿团体、恶意挖矿木马家族等数据研究分析,发现攻击者正在尝试以下几种手段进行挖矿:
研究人员发现Golang蠕虫挖矿木马就是通过特定型号的寄存器(MSR)驱动程序来禁用硬件预取器。硬件预取器是一种新的技术,处理器会根据内核过去的访问行为来预取数据,处理器(CPU)通过使用硬件预取器,将指令从主内存存储到二级缓存中。然而,在多核处理器上,使用硬件预取会造成功能受损,并导致系统性能整体下降。XMRig需要依赖机器的处理能力来挖掘Monero币,禁用MSR能够有效阻止系统性能下降,从而提升挖矿效率。
在恶意挖矿活动中,可能会出现两个恶意挖矿家族相互争夺受害计算机资源的情况,这种较量通常在Linux和云环境中进行,挖矿木马会利用多种手法清理或阻止、干扰受害主机上其他家族的挖矿行为,从系统中删除竞争对手来独享资源。
比较广为人知的是Pacha和Rocke黑产组织的云上资源争夺事件,这两个组织所使用的技术、战术、方法都极其相似,这种同行之间相互竞争的现象有助于提高操作员的技能水平。
随着时间流逝,挖矿活动所产出虚拟货币越来越少,对算力的需求越来越大,一些攻击者已经不满足选择诸如PC或移动设备作为其挖矿工具,而是将目光瞄向了具有高性能、高处理能力的基础设施。工业控制系统的内部网络还可能存在过时或未打补丁的软件,因为部署新的操作系统和更新可能会无意中破坏关键的传统平台,所以系统可能仍停留在旧版本当中。
对于从事恶意挖矿活动的攻击者而言,工厂是一个诱人的目标,由于许多基线操作不会使用大量处理能力,但会消耗大量电力,这使得挖掘恶意软件能够相对容易地掩盖其 CPU 和功耗,即使查到系统异常,但排查控制系统上的网络威胁也需要相当多的时间成本。
