惡意挖礦不停息，dhpcd加密程序何以猖獗四年之久？

加密貨幣市值起起伏伏，但加密挖礦程序仍在全球肆虐。近期，Akamai 安全研究團隊觀察總結了 dhpcd 加密挖礦程序的長期攻擊活動。該活動可通過暴力破解密碼，攻擊運行安全外殼協議服務器的目標計算機，并利用這些計算機運行門羅幣加密挖礦程序。

dhpcd 基本定義

Akamai 安全研究團隊將“基于開源 XMRig 的加密挖礦程序”命名為“dhpcd”，這一名稱源自合法 Linux 守護程序 dhcpd 上一個難以檢測的進程。

緣何難以檢測

·大量應用字母交換技術

當計算機啟動時，負責配置計算機上運行的 DHCP 服務器的進程。這種字母交換技術被大量用于多種攻擊媒介以逃避檢測，這是該惡意軟件成功保持四年多活躍度的原因之一。

·隱蔽于 Tor 出口節點

該惡意軟件使用 Tor 出口節點進行隱藏，即使并非不能實現，也很難追蹤攻擊來源。隨后，該惡意軟件會挖掘隱私幣門羅幣，可從加密挖礦程序二進制文件中，發現門羅幣錢包。

DHCP, Dynamic Host Configuration Protocol 縮寫，表示“動態主機設置協議”

Tor, The Onion Router 縮寫，表示“洋蔥路由器”，一款實現匿名通信的軟件

2018年4月，dhpcd 首次攻擊 Akamai 的威脅傳感器，并在此后4年間處于持續活躍狀態。這款穩定運行如此之久的加密挖礦程序可實現暴力入侵，同時通過“反偵察”及時隱蔽自身。它不僅能夠在受感染的計算機上成功逃避檢測，而且諸多安全服務供應商和各種威脅情報源，也對 dhpcd 束手無策。 

攻擊活動范圍

截止目前，Akamai 威脅傳感器已記錄2215次攻擊，分布在843個不同的攻擊者 IP 上，每個 IP 平均發起 2.6 次攻擊。2022年3月，dhpcd 所基于的加密挖礦程序 XMRig 從版本2.13.0升級到5.2.0。隨后攻擊規模和范圍明顯上升。而在5月份，出現了今年的攻擊峰值。

Akamai 威脅傳感器監測到的 dhpcd 攻擊活動記錄

值得注意的是，840個攻擊者 IP 中約80%均是 Tor 出口節點，由此幾乎不可能追蹤到攻擊行為背后的主導者。這意味著使用 Tor 的組織會積極參與 dhpcd 傳播和惡意軟件分發。根據國家/地區 Tor 出口節點數量，可以發現大部分攻擊者 IP 位于歐美，大多數歐洲的攻擊來自德國和荷蘭。

攻擊者 IP 歐美占比更高

攻擊流分析

妥善應對 dhpcd 攻擊，需要整體明確它的攻擊流階段。具體來說，從 dhpcd 的初始入侵到防守方的檢測措施，主要表現為以下流程：

明辨多步威脅，展開及時抵御

·入侵加密

暴力解密以破壞目標計算機，使用安全拷貝將虛擬可執行文件下載至二進制文件夾中，以及將 dhpcd 下載到同一目錄中，隨后通過 TCP 端口 4444 搜索多種可用的礦池服務器。

·持久駐留

為實現加密挖礦程序持久駐留，黑客會通過修改 /etc/shadow 文件屬性來保護更改過的密碼，并應用持久性工具，實現每小時運行一次加密挖礦程序，以及伴隨系統自動啟動。

·壓制競對

為盡可能攫取計算機資源，攻擊者持續排外，會從 /dev/shm 目錄執行兩個腳本，查詢并終止資源消耗顯著的進程，同時收集潛在競爭對手信息，確保持續有更多內存可被占用。

·檢測抵御

通過將安全外殼協議配置為僅使用私鑰和公鑰，同時阻止所有基于密碼的登錄嘗試，來阻止 dhpcd 攻擊；想要檢測系統是否被感染，請運行下方 Akamai 檢測腳本定位攻擊蹤跡。

簡而言之，dhpcd 是一項使用實效技術的加密挖礦活動，它通過將 Tor 整合到感染管道中，已超越常規攻擊活動，展示出了更具威脅的開放式平臺效應，可深度隱藏攻擊的基礎架構和來源。 

dhpcd 四年以來的持續活躍，正說明即使是執行字典攻擊和交換字母“極簡型”攻擊活動，同樣能夠入侵網絡并獲利。企業安全團隊應該對此類攻擊保持高度警覺，在此過程中，Akamai 也將持續利用自身全球流量智能監測優勢和多重安全解決方案，支持企業不斷提高系統的安全性。