什么是加密货币劫持？

黑客使用加密货币劫持代码（一种恶意软件）来无偿生产并获取高价值加密货币。本质上，他们诱骗受害者消耗自身资源却无法获得任何收益。这种网络犯罪形式正成为网络安全领域日益严重的威胁。根据《2024 年 SonicWall 网络威胁报告》，2023 年加密货币劫持事件激增 659%。 

挖掘加密货币的资源可能很昂贵。成功的挖矿型网络袭击有效地迫使不知情的受害者承担加密货币挖掘过程的成本，而挖矿型网络袭击者则收取利润。

加密货币劫持攻击可通过两种途径实施：基于网页的劫持脚本（通常嵌入网页 JavaScript 代码中），或通过由社会工程或网络钓鱼攻击传播的、伪装成应用程序或木马病毒的恶意软件。感染此类代码的设备（包括台式机、笔记本、服务器、智能手机等）会出现性能急剧下降，不仅导致运营中断，还会造成电费激增。   

加密货币劫持不同于其他网络犯罪。与数据窃取或勒索软件等旨在窃取或劫持用户数据的网络威胁不同，加密货币劫持代码实质窃取的是计算能力与电力资源。这种挖矿恶意软件通过植入难以察觉的恶意代码，试图最大限度延长潜伏期。  

• 加密货币劫持的实践场景：加密货币劫持攻击（常被称为恶意挖矿）试图劫持用户计算设备或虚拟机 (VM)。加密货币劫持通过秘密窃取受害者计算资源来挖掘数字货币。网络犯罪分子坐收加密货币收益，而受害者则承担所有资源消耗代价。  

• 加密货币劫持的影响：受害者不仅需承担电费激增的成本，系统性能的下降更可能导致硬件损毁与设备过热。成功实施的攻击还会危及受害者数据隐私，并衍生其他网络安全威胁。 

• 加密货币劫持的漏洞利用：攻击载体涵盖网页、浏览器、扩展插件、物联网 (IoT) 设备、电子邮件及即时通讯类应用。挖矿恶意软件可感染大多数主流操作系统。黑客甚至曾针对微软、YouTube 等大型软件与服务提供商发起攻击。   

• 挖矿型网络袭击防御：防御挖矿型网络袭击的推荐方法结合了端点检测和响应 (EDR)、内容解除和重建 (CDR) 和防病毒解决方案、定期任务管理器和 CPU 使用率监控、供应链审计、广告拦截器、脚本拦截、员工培训和实时威胁检测。

加密货币是一种无实体形态的数字资产，但可与传统法定货币一样兑换商品服务。加密货币的核心创新在于实现点对点直接资金转移，无需中介机构参与。所有加密货币均基于区块链技术创建。

区块链犹如一个虚拟账本，记录着使用特定区块链系统完成的所有交易。加密货币区块链通常是开源的，允许任何人查验其底层代码。

除加密货币外，区块链系统还适用于需要跟踪和验证任何类型记录的其他应用程序。此外，追踪敏感信息的系统可以使用私有区块链。

• 区块链： 作为一种共享且不可篡改的数字账本，它用于记录和追踪网络内的交易，提供唯一经过验证的真实数据源。 

• 加密货币：加密货币是一种通过解密存储在区块链上的加密代码块而生成的数字资产。加密货币的单位通常被称为“币”或“代币”，它们被用来作为对那些使用计算和能源资源来解密加密货币和进行区块链验证交易的用户的补偿。

• 矿工： 加密矿工（简称矿工）是指运行加密挖矿软件的用户，该软件既能生成新代币，又能验证链上交易。 

区块链之所以如此强大，是因为去中心化。公共区块链（例如比特币所使用的区块链）并不存储在任何单一来源。相反，区块链被复制到任意数量的节点，即不同的计算机系统，其中每个都运行加密挖掘软件，以监控和验证共享区块链的有效性。

当区块链上发起交易时，需达到特定数量的节点验证通过，该交易才会被写入总账。这种机制确保每笔交易的真实性，有效解决双花攻击和欺诈等数字货币常见问题。尽管用户身份可能是匿名的，但公有链上的所有交易记录对访问者皆公开可见。

对于加密货币而言，区块链还承担着存储部分代币（或硬币）的功能。这些代币被加密于复杂的数学难题中，即哈希区块。要生成新代币，区块链系统用户必须投入计算资源解密每个哈希值。此过程称为加密挖矿，通常需要巨大的处理算力。那些动用自身资源生成新代币并验证其他用户交易的用户，被称为矿工。

解决加密哈希与验证交易可能代价高昂，这既体现在硬件投入上也反映在电力消耗上。加密货币是矿工承担硬件与能源成本后获得的报酬。完整解密一个哈希区块所需的资源远超验证单笔交易。这意味着交易验证获得的补偿比例较低，其计算方式是根据交易价值与所需资源的相关性按比例折算。 

合法的加密货币挖矿作业可能产生巨额运营开支，主要表现为高额电费与昂贵硬件投入。例如采用 图形处理器 (GPU)，其设计旨在提供超越标准中央处理单元 (CPU) 的处理能力与能效。但值得注意的是，虽然比特币等加密货币需要消耗极端庞大的能源与算力，门罗币等其他币种所需的能源和算力则大幅降低。 

成功的加密货币劫持者往往能操控众多受害者的 CPU（或任何类型处理器）。他们通过窃取闲置 CPU 算力进行加密挖矿运算，并将所获代币转入自己的匿名数字钱包。尽管单个处理器速度有限，但大量处理器聚合仍可生成可观数量的加密货币。加密劫持者可能通过两种途径实现：直接方式（通过恶意软件感染目标计算机），或间接方式（在用户访问受感染网站时窃取处理器运算周期）。 

目前存在三种可独立或混合使用的主流加密货币劫持方式。更高级的加密货币劫持代码会表现出蠕虫病毒特性，既能感染互联资源，又能通过自我代码变异规避检测。加密货币劫持有三种类型：

• 基于浏览器的加密货币劫持： 此类攻击直接在网页浏览器中运行，受害者无需安装任何额外软件。只需访问被注入恶意劫持代码的网站，受害者的计算机资源就会被暗中用于加密挖矿。 

• 基于主机的挖矿型网络袭击：基于主机的挖矿型网络袭击指的是下载到目标设备或系统上的挖矿型网络袭击恶意软件。由于这种类型的挖矿型网络袭击需要用户下载和存储软件，因此更容易被检测到。然而，它也可以全天候工作，从而产生更高的能耗和更大的资源消耗。

• 基于内存的加密货币劫持： 基于内存的加密劫持比基于浏览器或主机劫持更难检测且更为罕见。它采用代码注入和内存操纵等先进技术，直接利用 RAM 进行实时加密挖矿且不留痕迹。 

根据攻击类型，大多数挖矿型网络袭击事件都遵循类似的四阶段过程。

挖矿型网络袭击的第一阶段主要是将目标暴露给恶意代码。对于网络罪犯来说，要实施挖矿型网络袭击，他们必须找到一种方法将某种类型的挖矿型网络袭击脚本引入受害者的系统。

这可能表现为钓鱼邮件诱骗目标下载挖矿程序，也可能伪装成知名网站上的 JavaScript 广告这类看似无害的形式。 

当恶意代码进入目标系统后，挖矿脚本即在后台开始运行，并极力避免引起注意。加密货币劫持脚本潜伏时间越长，获利就越丰厚。

最“高明”的挖矿脚本会尽可能多地滥用（或劫持）处理能力，同时避免明显影响目标系统性能。虽然部署低算力脚本符合攻击者利益（有助于规避检测），但劫持代码本质具有贪婪性。它们往往以牺牲系统整体性能和增加能耗为代价疯狂霸占资源。 

完成部署阶段后，便进入挖矿阶段。加密货币劫持代码成功部署后，会立即开始利用目标设备的计算资源挖掘加密货币。其运作方式分为两种：通过破解复杂加密哈希来生成新代币，或通过验证区块链交易以获取加密货币奖励。 

所有收益均汇入劫持者控制的数字钱包。受害者虽承担资源消耗成本，却无法获取其设备生成的任何加密货币。

加密货币比传统资产更难追踪。尽管不同币种匿名程度各异，但通过劫持产生的货币几乎不可能追回。虽然公有链交易是公开记录，但将非法所得加密货币与具体网络犯罪分子关联仍极其困难。去中心化金融 (DeFi) 工具更增加了追踪难度。这些工具允许持币者将加密货币投入资金池等机制，其运作类似传统投资机会（可获取分红且无需提取初始本金）。尽管这些工具服务众多合法投资者，但不法分子正利用加密货币的去中心化特性掩盖踪迹。 

渗透始终是所有挖矿型网络袭击的第一步。挖矿型网络袭击是一种危险的网络犯罪形式，因为黑客可以通过多种方式传递挖矿型网络袭击代码。黑客渗透目标受害者系统的方式包括：

• 网络钓鱼：网络钓鱼电子邮件可能包含触发恶意软件下载的链接。受害者可能会点击链接查看似为数字礼券但实际上包含恶意软件的内容，在不知不觉中安装恶意挖矿软件，而没有意识到自己被误导了。

• 配置错误的系统：公开暴露的配置错误的虚拟机 (VM)、服务器或容器是对黑客的公开邀请，黑客会试图获取未经验证的远程访问权限。一旦进入系统，安装挖矿型网络袭击软件对于经验丰富的网络罪犯来说是举手之劳。

• 遭到入侵的 Web 应用程序：访问使用不安全端口的 Web 应用程序，即使来自可信或善意的提供商，也可能会将受害者的系统暴露在挖矿型网络袭击代码中。

• 受感染的浏览器扩展程序：浏览器扩展程序，也称为插件，是相对较小的软件程序，用于改善和自定义用户的网络浏览体验。广告拦截器或密码管理器等扩展程序适用于大多数（如果不是全部）流行的网络浏览器（例如 Google Chrome、Microsoft Edge、Mozilla Firefox 和 Apple Safari）。虽然大多数扩展程序都是安全的，但即使是众所周知且广泛使用的扩展程序也可能被狡猾的行为者注入挖矿型网络袭击代码。尽管信誉良好的扩展程序开发者倾向于遵循网络安全最佳实践，但在不断变化的网络威胁环境中，黑客会不断瞄准，偶尔甚至渗透到最可靠的开发者当中。使用诸如针对零日漏洞的利用技术，黑客可以将挖矿型网络袭击软件注入最值得信赖的开发者的软件中。更简单的是，黑客可以自己制作扩展程序的仿冒版本，以便诱导用户下载包含恶意软件的该版本，而不是经过审查的有用扩展程序。

• 受损的 JavaScript：用 JavaScript 编写的代码很容易受到挖矿型网络袭击。黑客可以上传或感染看似安全的 JavaScript 库，当不知情的受害者下载受损代码时实现渗透。

• 内部威胁：心怀不满或未经充分培训的员工，以及凭窃取凭证入侵的威胁行为者，这类内部威胁同样构成加密货币劫持的常见攻击途径。 

• 云攻击：网络云计算系统呈指数级增加了网络罪犯的攻击媒介，挖矿型网络袭击也不例外。最近基于云的人工智能 (AI) 应用程序（例如大语言模型 (LLM)）的持续激增，为挖矿型网络袭击创造了更多机会，这些攻击可以只渗透一个节点并蔓延到整个网络。

对于个人来说，在用于其他任务的计算机的后台运行加密挖矿软件是无利可图的。然而，在成了规模后，这些微小的收益可以累积起来。当成功的黑客能够感染许多单独的系统时，挖矿型网络袭击可以获利。原因中很重要的一点是加密黑客不需要支付硬件或能源成本。

一般来说，由于加密币挖掘是一个非常耗费资源的过程，合法的挖矿者几乎总是使用专用的、顶级的硬件来进行运营。虽然一些企业级甚至消费级硬件能够进行加密币挖掘，但最佳实践建议将不低于 90% 的计算资源用于挖矿运营。

虽然创建和运行专用挖矿设备的相关成本导致业余爱好者在其主线硬件上挖矿，但这样做很少能产生可观的收益。而此类活动的利润往往不仅因为执行密集挖矿计算所消耗的额外能源成本而被严重削减，而且还要计入昂贵硬件的磨损费用。

对于企业和大型组织而言，挖矿型网络袭击的成本甚至更高，包括运营放缓和潜在的数据隐私侵犯。挖矿型网络袭击对企业的主要影响包括以下几点。

加密货币劫持攻击专为后台隐匿运行而设计，力求最大限度延长潜伏期。因此，加密劫持代码可能很难被检测。因此其恶意代码往往难以察觉，但仍存在若干可识别迹象表明系统可能感染恶意挖矿软件：

• 异常能耗激增：由于挖矿软件能耗极高，电力开支出现无法解释的突发峰值可能预示存在未经授权的加密挖矿活动。 

• 设备过热：加密会导致硬件发热。当系统硬件过热，或者只是更多地使用风扇和冷却系统时，可能是挖矿型网络袭击的表现。

• 性能异常下降：加密货币劫持会持续消耗计算资源，导致系统整体运行迟滞。设备难以完成正常计算任务即是常见感染征兆。

• CPU 使用率高：在调查潜在的挖矿型网络袭击时，一个指标是在运行其他需求不高的运营时，CPU 使用率高于正常水平。

防御挖矿型网络袭击需要采取一种整体性方法，幸运的是，这种方法与许多其他实现普通安全性的领先网络安全战略相一致。以下是常见且有效的防御措施：

• 严格人员培训：与多数网络威胁同理，人为失误始终是最顽固且破坏性最强的攻击载体。开展针对钓鱼攻击、安全浏览及文件共享规范的培训教育，是防御加密货币劫持的关键首道防线。 

• EDR 与 CDR 解决方案：鉴于加密货币劫持需受感染系统与恶意分子通信，能够扫描软件中网络犯罪已知特征的传统反病毒工具对此类攻击依然有效。

• 禁用 JavaScript：JavaScript 作为加密货币劫持的高频攻击载体，完全禁用其运行可成为有效防御策略（但可能影响正常网页功能）。