2017年數字加密貨幣安全報告

目錄

0x1 數字加密貨幣及其基本獲取方式

1. 算力

2. 礦機

3. 礦場

4. 礦池

0x2 數字加密貨幣面對哪些安全威脅

1. 勒索

1) WannaCry勒索病毒

2) NotPetya勒索病毒

3) Bad Rabbit勒索病毒

4) 現實中的數字加密貨幣勒索

2. 盜竊

1) 交易平台被黑

2) 個人錢包被黑

3. 挖礦木馬

1)瀏覽器插件挖礦

2)外掛輔助挖礦

0x3 數字加密貨幣未來安全態勢

0x4 安全建議

0x1 數字加密貨幣及其基本獲取方式

數字加密貨幣(Digital Cryptocurrency)又稱為加密貨幣,其特點在於利用密碼學原理來確保交易安全及控制交易單位的創造,是數字貨幣(或稱虛擬貨幣)中的一種,比如大家較為熟悉的比特幣、萊特幣和門羅幣等等,自2009年世界上第一個比特幣區塊鏈誕生以來,各種數字加密貨幣層出不窮,目前已多達1500多種。2017年「炒幣」風暴來襲,也將比特幣、以太坊、比特幣現金的價格推至歷史最高點。

圖1:數字加密貨幣市值排行-數據來源:coinmarketcap.com

近年來升值最瘋狂的莫過於比特幣。比特幣誕生之初,按當時的價格1美元可以買到大約1300個比特幣,而今天比特幣價格已經接近1.5萬美元,最高時甚至接近2萬美元。如果2009年花1.5萬美元買比特幣,大約可以買到2000萬個,基本相當於比特幣總量。目前比特幣已被開採1670萬個,約佔總量的79.90%。不斷攀升的價格和日益減少的加密貨幣數量吸引越來越多人通過各種方式獲取加密貨幣。

圖2:2017比特幣交易價格走勢圖-數據來源:coinbase

挖礦是獲取數字加密貨幣的最基本方式。挖礦,通俗講就是猜數字求解,猜對即可獲得數字貨幣獎勵,是獲取數字加密貨幣的最基本方式。在數字加密貨幣的網路里,每隔一段時間會產生一個區塊,該區塊包含若干個被加密的數字貨幣,想要獲得這些數字加密貨幣就要解密,也就是猜密碼,猜對密碼就可以獲取相應的數字貨幣,這就是 「挖礦」。理解挖礦,我們還需要明白以下概念。

1. 算力

算力,通俗講就是每秒鐘猜密碼次數,以此評估挖礦的速度。由於單位時間內產生的加密貨幣總量基本固定,密碼破解難度會隨著全網算力而改變——全網算力越大,密碼就會設置得越複雜,破解難度也越大。以比特幣為例,平均每10分鐘產生一個比特幣區塊,每個區塊包含12.5個比特幣(每4年減半,2009年初每個區塊50比特幣,2013年是25比特幣,2016年是12.5比特幣),大約每小時會產生81比特幣,兌換人民幣約為810萬。由於每小時產生的比特幣總量相對固定,更多的算力投入必然增加密碼的破解難度,目前挖掘難度已達到2萬億。

圖3:2017比特幣每日產品及挖掘難度走勢-圖片來源:比特范

2. 礦機

早期挖礦依靠CPU、GPU效率緩慢,為了增大算力,硬體廠商製造了一種專門用來挖礦的機器,針對特定挖礦演算法做優化,這種機器就叫礦機,價格從幾百元至幾十萬元不等。按目前中國大部分地區的電費是0.7元,一個普通礦機每天電費是21.84人民幣。

圖4:500台礦機每日利潤概覽-圖片來源於網路

3. 礦場

礦機的投入使挖礦效率提高了至少幾萬倍,這些礦機聚集地就是礦場。與金屬礦場一樣的是這些數字加密貨幣礦場也會分布在山區,不同的是數字加密貨幣礦場不需要開山鑿石,之所以選擇這些地區,一個重要原因是由於挖礦太耗電,目前僅比特幣挖礦消耗的電量已經達到10億千瓦時,預估到2020年將消耗全球所有的電量,所以大部分礦場選址在深山及水電站附近以節省成本。

圖5:中國主要數字加密貨幣礦場分布-圖片來源:巴比特

4. 礦池

由於挖掘難度一再增加,一般規模的礦場及個體挖礦者猜對密碼的幾率並不大,於是他們聯合創建了一個平台,所有有算力的人都可以參與挖礦,按的算力高低分配獎金,這種挖礦平台叫礦池。

圖6:全球礦池算力分布-圖片來源:BTC.COM

0x2 數字加密貨幣面對哪些安全威脅

「挖礦」是最基本的獲取數字加密貨幣的方式,然而想要通過「挖礦」獲取更多的幣,唯一的途徑是提升算力,但前期的資金投入是非常巨大的,以一個中型礦場(1萬台礦機)為例,一台普通的礦機約2.5萬人民幣,僅前期機器採購費用就高達2.5億人民幣,而後期持續的電費、維護費也是數額巨大。那有沒有一種方式:不需要自己租用場地、不耗自家電費也不用買礦機就可以獲得數字加密幣?黑客會非常確定地說:有!

進入2017年,由數字加密貨幣引發的互聯網安全問題頻頻爆發,不法分子看中數字加密貨幣的匿名性,使用勒索、盜竊、非法挖礦等手段獲取了大量不義之財。

1. 勒索

1). WannaCry勒索病毒

2017年5月,WannaCry勒索病毒藉助「永恆之藍」漏洞肆虐全球,影響超過150個國家,一些政府機關、高校、醫院的電腦屏幕都被「染」成了紅色,而中毒用戶被要求在72小時內支付價值300美元的比特幣,並且3天後勒索贖金就會翻番。如果7天後拒付贖金,計算機文件將被永久加密。據相關報道,WannaCry勒索病毒給全球造成的損失超80億美元。

圖7:WannaCry勒索界面

2). NotPetya勒索病毒

無獨有偶,在2017年6月爆發的NotPetya勒索病毒同樣採用「永恆之藍」漏洞傳播,病毒會修改系統的MBR引導代碼,這將使病毒在電腦重啟時得到執行。該病毒會在開機時提示用戶電腦正在進行磁碟掃描,然而實際上病毒正在執行文件加密等操作。

圖8:NotPetya偽造的磁碟掃描界面

  當所有加密操作完成後,病毒才彈出勒索信息,要求受害者支付價值300美元的比特幣。

圖9:NotPetya勒索界面

而在2017年7月,病毒作者已經公布了Petya系列勒索軟體的所有密匙。

3). Bad Rabbit勒索病毒

隨著「永恆之藍」漏洞逐漸修復,勒索病毒也開始尋找其它新的的傳播手段,例如2017年10月爆發的Bad Rabbit(壞兔子)勒索病毒就使用了掛馬的方式:攻擊者首先入侵新聞媒體類網站,隨後利用這些新聞類網站發起水坑攻擊。當用戶瀏覽這些網站時,用戶瀏覽器就會彈出偽裝的Adobe flash player升級對話框,一旦用戶點擊install按鈕,電腦就會下載Bad Rabbit勒索病毒。

圖10:Bad Rabbit偽造的Adobe Flash Player升級界面

Bad Rabbit同樣會感染系統MBR代碼,中招用戶電腦會在第二次重啟時彈出勒索界面,要求受害者在40小時內支付0.05比特幣(當時約合300美元)。

圖11:Bad Rabbit勒索界面

圖12:2017數字加密貨幣勒索病毒時間軸

回顧2017年數字加密貨幣勒索病毒大事件,俄羅斯無疑是勒索病毒最愛「光顧」的國家之一。有安全專家稱,俄羅斯之所以在勒索病毒面前格外脆弱,與其電腦基礎設施薄弱、網路安全管理鬆懈,國內存在大量盜版軟體等因素密切相關。

4). 現實中的數字加密貨幣勒索

數字加密貨幣熱潮下帶來的犯罪不僅僅存在於互聯網上,也發生在真實生活中。根據烏克蘭媒體的報導,40歲的俄羅斯公民Lerner,在烏克蘭擁有多家與加密挖礦和區塊鏈有關的初創企業,是當時全球最大的數字加密貨幣交易平台之一。Lerner在烏克蘭出差時,就曾在辦公室附近被歹徒擄走,並被要求支付價值100萬美元的比特幣。

2. 盜竊

除了勒索病毒造成的損失,盜竊行為也同樣可對數字加密貨幣持有者造成大量損失,從數字加密貨幣誕生初期,數字加密貨幣被盜的新聞就層出不窮。

1). 交易平台被黑

世界上比特幣被盜最嚴重的事件之一發生在2014年,當時世界最大規模的比特幣交易所運營商Mt.Gox,承擔著當時超過80%的比特幣交易,2014年2月28日Mt.Gox宣布,因其交易平台的85萬個比特幣被盜一空,已向東京法院申請破產。進入2017年,數字加密貨幣交易平台被攻擊的新聞更是屢見不鮮,個別交易平台一年內還發生了多起入侵事件,比如韓國YouBit數字加密貨幣交易平台今年就曾遭到兩次攻擊:2017年4月的第一次入侵造成YouBit近4000比特幣的損失,按當時的價格,總損失價值約為360萬美元;第二次入侵發生2017年12月,此次事件也導致YouBit交易平台破產倒閉。

2). 個人錢包被黑

2017年伴隨著數字加密貨幣的價格飆漲,不法分子更是無孔不入,試圖利用各種黑客技術盜取個人及交易平台錢包密碼,轉走加密貨幣。

網站釣魚:釣魚網址bitcoinqod.org,和官網域名bitcoin god僅有一個字母:「q」和「g」的區別。該釣魚頁面要求用戶輸入錢包密碼進行「愛心捐助」,而一旦用戶在該釣魚界面輸入錢包密碼,錢包內的比特幣就會被全部轉走。

圖13:仿冒官網bitcoin god

加密貨幣盜竊木馬:2017年6月活躍的秘密洗牌者病毒(CryptoShuffler),可監視用戶的剪切板,並對剪切板的數據進行實時匹配替換(匹配演算法採用正則匹配),當中毒者進行轉贈或交易時,剪切板中存放的乙方錢包地址將被替換為攻擊者設置的錢包地址,該木馬支持盜取比特幣、達世幣、狗狗幣等9種數字加密貨幣:

圖14:CryptoShuffler 匹配錢包地址的正則表達式

圖15:CryptoShuffler 的錢包地址

目前僅攻擊者的比特幣賬戶就已經收到23個比特幣,價值35萬美元,其他錢包地址也都會有幾十甚至幾萬美元。

圖16:CryptoShuffler 攻擊者比特幣錢包信息

圖17:2017數字加密幣交易平台被攻擊時間軸

3. 挖礦木馬

整個2017年行業內頻頻爆出各種挖礦木馬,且木馬隱藏手段也越來越高明,實現了從「裸奔」到「隱身」的升級。

1).「裸奔期」:殭屍網路挖礦

上半年「裸奔期」,挖礦木馬沒有隱藏在普通軟體中,而是成為殭屍網路的一個新拓展「業務」,做到了挖礦、DDoS兩不誤。

2017年5月發現的「Adylkuzz」殭屍網路,甚至比「WannaCry」出現的時間要早,影響了全球幾十萬台機器,有意思的是,「Adylkuzz」入侵成功後會利用「永恆之藍」漏洞阻止其他病毒也利用此類漏洞,這在一定程度上限制了「WannaCry」的傳播。木馬入侵成功後,就會鏈接C&C伺服器,接受挖礦指令,已知該木馬目前專門挖取門羅幣。

圖18:Adylkuzz挖礦協議

2).「遮掩期」:植入普通軟體挖礦

下半年「遮掩期」,挖礦木馬開始隱藏到瀏覽器、插件、外掛輔助等普通軟體進行傳播。

a). 瀏覽器插件挖礦

2017年年底,一個名為Archive Poster 的瀏覽器插件被爆植入挖礦木馬,影響數十萬台用戶機器。Archive Poster的功能是協助用戶在社交平台「湯不熱」上進行多賬號協作,其開發商表示說,經過調查發現起因是一名團隊前成員的郵箱被入侵,導致產品被植入挖礦木馬。

圖19:Archive Poster插件截圖

b). 外掛輔助挖礦

在2017年年底騰訊電腦管家發現一款名為「tlMiner」的挖礦木馬,隱藏在《絕地求生》輔助程序中進行傳播。由於《絕地求生》遊戲對電腦性能要求較高,不法分子瞄準《絕地求生》玩家電腦,相當於找到了「絕佳」的挖礦機器。該木馬由一遊戲輔助團隊投放,單日影響用戶高達20萬。

圖20:攜帶「tlMiner」挖礦木馬的輔助界面

3).「隱身期」:網頁挖礦

下半年「隱身期」,挖礦木馬不再有可執行文件落地,而是直接嵌入在網頁中,在用戶上網看小說、看視頻的同時「隱身」後台偷偷幹活。

2017年9月,數百個色情、小說、遊戲網站在其網頁內嵌了挖礦JavaScript腳本,用戶一旦進入此類網站,JS腳本就會自動執行,佔用大量的機器資源挖取數字加密貨幣,導致電腦異常卡頓。

圖21:JS挖礦木馬使CPU使用率迅速飆升

圖22:JS挖礦站點類型分布圖

圖23:2017挖礦木馬典型攻擊時間軸

通過觀察2017挖礦木馬攻擊事件也可以發現,不法分子最喜愛挖的數字加密貨幣不是比特幣,而是門羅幣,目前單枚門羅幣的交易價格在2500人民幣以上。

圖24:門羅幣走勢-數據來源:coinmarketcap.com

相比於比特幣,門羅幣有如下優勢:

a). 交易匿名性

比特幣可查詢到每筆交易的金額、交易時間、發送方和接收方等信息,而門羅幣使用RingCT(環形加密)匿名技術,無法追溯到交易雙方。另外,比特幣對交易金額並不隱藏,所以,只要知道某人地址,既可以計算出他的比特幣資產餘額以及資金流動狀態。

b). 先進的挖礦演算法

比特幣挖礦主要依賴於大量專業化的專用集成電路(ASIC),它的演算法幾乎完全扼殺了普通計算機用戶參與比特幣挖礦的可能性。相比之下,門羅幣的挖礦演算法基於CryptoNight,它並不依賴於ASIC硬體,使用任何CPU或GPU資源都可以進行挖礦,即使普通計算機用戶也能夠參與到門羅比挖礦中來。

0x3 數字加密貨幣未來安全態勢

自2017年4月爆的「永恆之藍」漏洞成為挖礦木馬的暖床,WannaCry、NotPetya等勒索病毒接踵而來,每一個病毒爆發都是全球性的災難。

圖25:2017年挖礦木馬主要傳播途徑

隨著數字加密貨幣價格持續上漲、挖取難度不斷增大、數字加密貨幣數量越來越少,可以預見2018年由數字貨幣而起的犯罪活動或將呈現高發態勢。

1. 傳播手段

漏洞利用因其傳播速度快、影響面廣,在2018年仍然會是不法分子獲取數字加密貨幣的重要手段

2. 獲利手段

數字加密貨幣持有量少的用戶,將可能不再是黑客主要攻擊對象。2018年或將出現大量針對團體以及持大量數字加密貨幣用戶的APT攻擊。針對普通網民,黑客更傾向在其電腦植入挖礦木馬。

3. 隱藏手段

隱藏在網頁中的挖礦腳本,由於沒有可執行文件落地,隱秘性極高,2018年或將會有越來越多的挖礦腳本隱藏在各類網站進行挖礦。此外,部分玩家對遊戲輔助的「青睞」,也將促使不法分子將更多惡意程序植入到遊戲輔助等常規軟體中。

0x4 安全建議

  1. 開啟系統自動更新,及時打補丁,防止惡意木馬利用
  2. 伺服器避免使用弱口令,不給不法分子可乘之機
  3. 機器卡慢時應立即查看CPU使用情況,若發現可疑進程可及時關閉
  4. 不瀏覽色情、輔助等被標記為不可信的網站
  5. 不使用輔助、及來路不明的軟體,使用軟體前先用騰訊電腦管家等安全軟體進行掃描

推薦閱讀:

被全智(allwinner)遺忘(?)的後門(backdoor)

TAG:數字化貨幣 | 計算機安全 | 計算機病毒 | 挖礦 |