这个夏天, 也许混在安全圈的你不知不觉成了一名 "菊外人", 但你肯定不会是一名 "圈外人". 自 2009 年世界上第一个比特币区块链诞生以来, 各种加密货币纷纷涌现, 2017 年 "炒币" 风暴席卷全球, 以比特币为主的加密货币大火, 引发了全网加密货币的热潮. 各路人马纷纷涌入币圈, 加密货币江湖由此风生水起, 热火朝天. 圈子一大, 难免成分复杂. 加密货币这块香饽饽, 不仅招蜂引蝶, 吸引行家的角逐, 也引来了一窝又一窝苍蝇蚊子, 一旦盯到缝隙(漏洞), 就一拥而上......
不断攀升的价格和日益减少的加密货币数量吸引了越来越多的人通过各种方式获取加密货币. 如果有矿机, 他们就去挖; 如果没有, 他们就通过各种手段去窃取; 如果偷不到, 他们还能通过传播恶意软件, 入侵他人设备, 利用别人设备的算力来为自己挖矿谋利. 仅仅 2018 上半年, 币圈的攻击, 盗窃事件就层出不穷, 世界各地几乎每天都有某交易平台被攻击, 货币被盗或者一系设备被恶意软件入侵用于挖矿的新闻. 如今, 围绕着虚拟货币的黑产已经形成并逐渐发展成熟.
一, 2018 上半年币圈漏洞与攻击大事记
1. 直接偷
(1) 韩国加密货币交易所遭黑客攻击, 引发比特币近三个月最大跌幅
6 月 10 日, 韩国加密货币交易所 Coinrail 称系统遭遇 "网络入侵", 虽然这只是个小交易平台, 但损失还是超过 4000 万美元. 此事导致比特币连续三天下跌. Bitstamp 数据显示, 截至当天下午 4 点 , 纽约市场比特币价格已跌至 6840 美元, 创出自 3 月 14 日以来的最大跌幅, 将比特币今年的亏损幅度扩大到 52%. 同属加密货币的以太坊和瑞波币的交易价格分别下跌 10% 和 11%.
(2) 区块链平台 EOS 智能合约漏洞
5 月底, 360 发现即将上线主网的 EOS 区块链中史诗级漏洞, 部分漏洞可以通过远程攻击, 完全控制虚拟货币交易. 这意味着, 黑客可以获得至高无上的权力 -- 只要上传一个具有恶意代码的智能合约, 就能获得超级节点的控制权. 而在解析智能合约, 打包区块的过程中, 其他节点也会被一并感染. 最终, 所有 21 个超级节点, 甚至所有备用节点, 都会被黑客控制.
当然, 漏洞曝出后很快得到了修复, EOS 主网也如期上线. 不过到本文截稿, EOS 主网上线期间还是遭遇攻击, 大量 EOS 私钥被黑客偷走. 60 多位英文区和韩文区用户中招, 中文区的还没统计, 而涉及的 EOS 总数超过百万.
(3) BEC 合约出现重大漏洞被暂停交易
4 月 22 日, OKex 发布最新公告称, 暂停 BEC 交易和提现. 主要原因是黑客利用以太坊 ERC-20 智能合约中 BatchOverFlow 漏洞中数据溢出的漏洞攻击与美图合作的公司美链 BEC 的智能合约, 成功地向两个地址转出了天量级别的 BEC 代币, 导致市场上海量 BEC 被抛售, 该数字货币价值几近归零, 给 BEC 市场交易带来了毁灭性打击.
除了 BEC Token 之外, 还有超过 12 多个项目 Token 的智能合约中存在 BatchOverFlow 整数溢出漏洞, 黑客可以利用这一漏洞转账生成 "不存在" 的虚拟货币并进行交易获利.
(4) 币安遭入侵导致加密货币市场大动荡
3 月 7 日晚间, 知名加密货币交易平台币安疑似遭遇黑客攻击, 交易系统出现故障, 多名投资者山寨币在不知情的情况下以市价被卖出换成比特币, 主要涉及超过 20 个币种. 黑客利用盗用用户的账号高价买入 VIA, 导致 VIA 最高点价格被爆拉至 0.025 美元, 与 24H 内最低点相比涨幅超过 11000%. 与此同时, 包括币安, 火币在内的加密货币市场全盘暴跌, BTC,BCH,ETH 等主流货币跌幅均超过 5%. 币安的 BTC/USDT 交易也出现大量卖单, 其中 BTC 跌破 10000 美元.
随后, 币安发布全球通缉令, 以 25 万美元的等值赏金追缉黑客.
此事引发了广泛探讨, 关于币安炒作和 "自导自演" 的说法也浮出海面.
迄今为止, 追缉令似乎没了下文. 这次故障的主要原因是部分 API 机器人遭到攻击, 与加密货币的智能合约关系不大. 而具体内幕, 大概只有当事人才能说的清了.
(5) CoinCheck 遭攻击, 损失 4 亿美元
2018 年年初, 日本数字交易所 Coincheck 遭受黑客攻击, 当时市值排名第十的加密货币 NEM 币被窃取, 总价值高达 5.3 亿美元. 其中, 26 万客户共损失 4 亿美元. 事件发生后, NEM 市值遭遇重创, 24 小时内下跌超过 16%.
2. 间接抢
除了上述利用智能合约或其他漏洞发起攻击, 造成加密货币市场动荡的大事件之外, 利用恶意软件入侵设备进而实施大规模或小规模挖矿的攻击也不少见. 从 Chrome 商店的恶意扩展程序到针对 Mac 的 "mshelper" 的恶意挖矿软件; 从数万台亚马逊 Fire TV 被迫 "秘密挖矿" 到针对 WordPress 的大规模暴力攻击. 疯狂掘币者无所不用其极, 利用旧的漏洞或新的工具, 随时在网上扫易被攻击的设备, 一旦发现目标, 就直接入侵. 如今, 很多知名僵尸网络都被用于挖矿. 尽管挖矿不如流量劫持, 数据盗取和造成财产损失那样严重, 只会拖慢电脑, 摄像头, 路由器, 但对设备造成的物理损害还是很大的. 在手机上很容易造成电池过热甚至变形.
由于挖矿带来的负面影响, 很多部门以及厂商都出台了应对措施. 近日, 日本明确针对一起法劫持个人电脑进行加密货币挖矿的案件进行调查并追究刑事责任. 菲律宾证券监管机构也发布警告, 表示将根据现行的证券法规对国内的加密货币挖矿开采进行监管. 此外, Facebook,Google,Reddit,Twitter 等各大社交巨头公司相继禁止加密货币广告. 在前不久的 WWDC 大会上, 苹果更新了开发者指南, 明确指出在 APP Store 增加有关加密货币程序的审核, 指南表示 "通过设计, 使 App 节省能耗. App 不应快速耗尽电池电能, 产生过多的热量或对设备资源造成不必的负担. 其中含括 App 内显示的任何第三方广告, 以及不得运行如加密货币挖掘等不相关的后台进程." 同时, 还指出 APP 不得开发加密货币.
虽然从目前的技术来看, 单独在 iPhone 或者 iPad 上 "挖掘" 比特币比较难以实现, 因为算力达不到挖币所需. 但苹果此举至少表明了作为科技大厂的态度, 也为阻止未来 iOS 被滥用于挖矿做好了准备.
二, 加密货币攻击规模日益增大
由于加密货币的获取和交易并没有第三方的担保或保护, 不论是有组织的犯罪集团还是有一定技术的 IT 工程师, 都有可能因为利益诱惑而实施恶意攻击, 进行挖矿. 根据 Carbon Black 今年 6 月份发布的加密货币恶意攻击调查报告, 现如今, 犯罪分子不断利用暗网来辅助加密货币窃取, 规模越来越大, 造成的损失也越来越多.
加密货币市值排行
研究发现, 2018 年 上半年, 涉及加密货币的盗窃案金额高达 11.5 亿美元左右, 甚至达到 2016 年全年的损失(13 亿美元左右).
目前, 约有 12000 个暗网市场销售加密货币盗窃相关的恶意软件或工具, 数目高达 34000 个. 这些恶意软件的价格最低为 1.04 美元, 最高每次攻击为 1000 美元, 平均价格为 224 美元, 相关的 "蜜罐" 定价约为 10 美元. 在所有恶意软件或工具中, 加密货币窃取相关的恶意软件是犯罪分子的首选. 暗网中与加密货币相关的恶意软件开发和销售总共带来将近 670 万美元的非法经济收入.
调查表明, 加密货币交易最容易成为攻击目标, 暗网直接针对加密货币占所有攻击的 27% . 除了加密货币交易所之外, 将近 21% 的加密货币攻击目标是企业, 14% 的目标是用户, 7% 的目标是政府.
在加密货币的地域分布中, 美国, 中国, 英国, 日本以及印度排名前五.
攻击者偏爱门罗币
值得注意的是, 虽然目前比特币依然是主要的目标, 但其他加密货币受到的攻击也越来越多. 目前, 由于门罗币 (Monero) 加密性好, 更受欢迎, 受到的攻击也更多, 门罗币遭遇的攻击占加密货币攻击的 44%.Palo Alto Networks 针对恶意挖矿行为进行了深入研究, 分析 629126 个恶意挖矿软件 (主要是 2017 年 6 月份以来感染桌面和服务器的恶意挖矿程序) 后发现, 84% 的恶意程序样本都是针对门罗币的. 而 5% 的门罗币都是通过恶意程序挖出来的.
三, 加密货币黑产已经成熟
暗网加密货币黑色产业链:
第一阶段: 侦查; 攻击者无需再执行侦察, 因为目前可以攻击的目标信息很轻易可以获取, 代价很低, 甚至还有很多免费的替代品;
第二阶段: 利用漏洞发起攻击; 攻击者购买漏洞, 工具或已经成功实施过攻击的武器化文档 / 文件. 这些工具通常包括可以自定义的文件名, 格式和诱饵文件的内容;
第三阶段: 传播工具; 用于传播恶意程序的工具很容易买到, 而且可以不断调整以避免检测并绕过防御机制. 传播途径包括: 恶意广告网站(或者利用), 被入侵的可靠邮箱服务器. 传播方式包括: 通过恶意广告网站传播或利用合法广告网站的漏洞传播(广泛定位), 发送给特定目标(通过入侵的合法邮件服务器发送钓鱼邮件).
第四阶段: 利用; 针对全公司, 全行业乃至高流量网站, 发动大规模攻击, 这样的攻击范围比单独实施攻击的范围大得多; 此外, 低成本的武器和传播方式也能确保成功率, 比传统方式更高; 此外, 可以直接在暗网中购买许多已经被入侵且可以直接访问的公司终端, 直接绕过 "入侵和安装" 阶段;
第五阶段: 安装; 暗网上可以购买到很多商业化的远程管理工具和其他可长期使用的工具, 导致溯源更加困难;
第六阶段: 命令与控制; 可以租用 IaaS 服务命令和控制被入侵的目标; 也可以通过 SaaS 的方式购买并由第三方运行整个恶意软件维护系统;
第七阶段: 实施攻击; 通过前六阶段的铺垫, 攻击者可以获取最高权限, 访问目标网络并执行任意攻击, 实现财务窃取, 数据和用户信息窃取以及进一步渗透网络等目的.
通过分析恶意攻击的策略, 技术和过程, 可以发现一些规律. 其中, 以窃取为目的的恶意软件最为常见, 用于 41% 的加密货币恶意攻击; 移动恶意软件排名第二, 占到 22%. 攻击者偏爱终端目标, 通过网络传播的恶意软件和恶意 APP 窃取加密货币.
预计未来, 随着区块链技术的广泛应用和加密货币的继续流行, 会有越来越多的国家考虑通过立法来保护加密货币. 不过在立法之前, 加密货币盗窃和非法挖矿仍然会愈演愈烈.
普通用户可以参考以下建议, 保护自己的加密货币安全:
使用带有检测和防护功能的终端安全解决方案, 保护终端设备安全;
不要安装不可信来源的应用程序;
在所有用于上网的终端中使用广告屏蔽设备, 可以减少未经同意就被迫挖矿的情况;
由于交易平台最容易被入侵, 所以要选择可靠的交易平台, 并设置独立密码, 避免信息泄露后导致的撞库;
不要在连接公共 Wi-Fi 的时候打开加密货币钱包, 也不要在安全性差的网站上进行交易;
企业组织应当限制访问权限, 设置审计流程;
使用冷钱包存储加密货币并设置备份;
不使用来历不明的破解, 激活工具, 最好支持正版
来源: http://netsecurity.51cto.com/art/201806/576788.htm