全面清理整頓挖礦病毒,如何防止被通報?深信服挖礦病毒防護解決方案出爐
為有效防範及處置虛擬貨幣挖礦活動盲目無序發展帶來的風險隱患,助力實現碳達峰、碳中和目標,近日,國家發改委舉行新聞釋出會,重點提及虛擬貨幣挖礦的全鏈條治理工作。這幾天,各省級、市級、區縣級政府和相關行業紛紛響應,通報了多家單位,要求相關單位及行業針對挖礦行為進行清理整頓。
01
整治高壓下,仍有惡意黑客頂風作案
國家對虛擬貨幣的管控愈發嚴格,打擊此類挖礦活動也將成為近期整治的重點。
挖礦行為不僅僅會導致組織的電腦卡頓、CPU飈滿、運維成本暴漲,一些挖礦的主機還可能會被植入病毒,導致組織重要資料洩露,或者黑客利用已經控制的機器,作為繼續對內網滲透或攻擊其他目標的跳板,導致更嚴重的網路安全攻擊事件等。
擒賊先擒王,早在今年7月,深信服安全團隊已經成功捕獲到一款主流的挖礦病毒樣本,並對其工作原理進行了揭祕。詳細內容可點選檢視:《支援雙系統挖礦,警惕新型AutoUpdate挖礦病毒入侵》
AutoUpdate挖礦病毒工作原理
1、通過釣魚郵件、惡意站點、軟體捆綁下載等方式誘導使用者點選其惡意指令碼程式。
2、在使用者點選啟動惡意指令碼loader.sh後,該指令碼將清除安全軟體,下載啟動程式(kworker)。
3、Kworker程式檢查並更新各功能元件,以及啟動挖礦程式dbus、攻擊程式autoUpdate、隱藏指令碼hideproc.sh、攻擊指令碼sshkey.sh。
4、autoUpdate程式掃描並攻擊所在網段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等元件、服務或協議漏洞,以及國內使用者常用的泛微OA、致遠OA、通達OA、phpcms、discuz等服務,並利用相關漏洞寫入計劃任務並執行。
5、通過hideproc.sh指令碼隱藏程式,防止被使用者發現。
6、通過sshkey.sh指令碼嘗試從bash_history、etc/hosts、ssh/kownhost及程式已有連線中提取該終端連線過的終端,如果可以成功連線則下載並啟動指令碼loader.sh,達到傳播目的。
7、挖礦程式dbus在受害者的裝置上悄悄執行以便挖掘加密貨幣,同時將中毒裝置上連線到一個礦池,為欺詐者獲取未經授權的“免費”計算能力,欺詐者直接將“免費算力”掙來的加密貨幣放入自己的錢包。
即便在整治高壓下,仍有惡意黑客頂風作案。近期,深信服安全團隊在為某高校進行檢測排查過程中,通過安全態勢感知裝置上的告警日誌,精準檢測到內網存在30臺主機訪問挖礦惡意域名的情況。最終在終端檢測響應平臺EDR應急響應專家的縝密排查下,成功定位到黑客,人贓俱獲。
02
快速響應、輕量部署,全面圍剿挖礦病毒
當前形勢下,全面圍剿挖礦病毒勢不可擋,但如何快速檢測處置成為各組織的燃眉之急。
基於長期對挖礦病毒的深入研究與多個案例實踐,深信服推出『快速響應、輕量部署』的挖礦病毒專項檢測處置,為使用者提供兩種有效檢測挖礦行為的方式,並以“工具+服務”的方式實現精準處置。
如何有效檢測挖礦行為?
下一代防火牆AF結合AI+規則庫快速識別隱患
(1) 針對辦公網或者生產網中存在的挖礦安全隱患
在網際網路邊界側以旁路或串聯的方式部署深信服下一代防火牆AF,通過AF本地具備的130萬殭屍網路特徵庫,結合深信服雲端威脅情報,以惡意URL和C&C IP地址對比的方式來監測失陷主機的非法外聯行為。
(2)對於無法識別潛在的挖礦外聯行為
通過深信服下一代防火牆AF雲端NTA檢測引擎,結合AI技術與規則的閉環迭代技術,不僅能檢測出不可讀的隨機字元構成的域名,還能檢測出使用單詞拼接方式仿造正常域名的惡意域名,快速識別異常外聯流量,定位組織網路中的挖礦主機。
安全感知管理平臺SIP內建挖礦專項檢測模組
使用者還可以選擇通過映象交換機流量到深信服流量探針,並傳輸至SIP平臺進行分析。
深信服安全感知管理平臺SIP內建了“挖礦專項檢測”模組,通過「挖礦階段圖」、「受害資產」、「受害資產攻擊數Top5」3個維度,將挖礦影響展現出來,使用者可以清晰定位資產的受影響情況(受影響的資產數量、類別、所處階段、攻擊程度等)。
對於加密挖礦的場景,通過UEBA演算法模型,發現使用者、機器和其他實體在使用者網路上的異常和危險行為,並確定此行為是否具有安全隱患,從而定位網路中的挖礦行為,幫助使用者實現簡單有效運營。
此外,還可以將AF和SIP接入深信服安全運營中心,安全專家可以進一步對檢測到的異常外連行為進行多元分析,利用雲端大資料分析平臺和威脅狩獵平臺,精準定位挖礦主機,同時為使用者提供7*24小時挖礦行為持續監測服務。
檢測到挖礦行為後,如何精準閉環處置?
終端檢測響應平臺EDR+挖礦處置專項安全服務
一旦在使用者網路中發現挖礦病毒,深信服建議使用者在網路中部署終端檢測響應平臺EDR,通過結合深信服挖礦處置專項安全服務,以“工具+服務”的方式實現全網挖礦病毒處置工作。
挖礦病毒的處置主要包括Linux系統與Windows系統的處置:
(1) Linux系統挖礦病毒的處置
通過定時任務/服務的清除、特定檔案的刪除、檔案中特定內容的刪除、目錄的刪除、指定檔案的恢復、病毒程式檔案處置、病毒檔案刪除等處置動作,徹底清除使用者網路中的挖礦病毒。
(2) Windows系統挖礦病毒的處置
通過程式記憶體處置、自啟動目錄檔案刪除、自啟動配件檔案的清除/修改,登錄檔項的清除/修改,計劃任務刪除、賬號刪除、WMI自啟動刪除、檔案的刪除和恢復等處置動作,徹底清除使用者網路中的挖礦病毒。
在挖礦病毒處置過程中,深信服安全專家通過對AF、SIP、EDR安全日誌和流量的關聯分析,可以幫助使用者實現“邊界-網路-終端”的整體聯動,深度溯源找到挖礦入侵源頭,清除病毒的同時協助使用者完成安全加固。
03
“檢測-處置-預防”,構建立體化防護解決方案
值得注意的是,檢測和處置只是應對挖礦病毒的應急手段。面對日益嚴峻的挖礦病毒威脅,深信服建議,使用者應從預防思路出發,建設立體化的挖礦病毒防護解決方案,從源頭杜絕挖礦病毒進入組織內部。
對於挖礦病毒的預防,深信服建議從邊界側、網路側、終端側三個方面建設立體化的防護體系。
通過在網際網路邊界側部署深信服AF,映象核心交換機流量到深信服SIP,同時安裝深信服EDR在終端側快速響應處置,結合深信服挖礦專項安全服務,構建集“檢測-處置-預防”於一體的7*24小時挖礦病毒防護解決方案。
1. 化被動為主動,從源頭避免損失
有效檢測識別挖礦行為,避免挖礦病毒和程式長期潛伏;
2. 網端安全協同,精準閉環處置
快速處置感染主機、深度溯源,防止同類挖礦病毒復發;
3. 7*24小監測預警,貼心保障
加強安全防護措施,提供7*24小監測預警機制,有效預防挖礦病毒入侵。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/70005614/viewspace-2844612/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 挖礦病毒
- CPU挖礦病毒解決方法
- 伺服器挖礦病毒的解決方案伺服器
- 【已解決】挖礦病毒 logrotate 185.196.8.123logrotate
- 如何解決centos伺服器被植入挖礦病毒CentOS伺服器
- zigw挖礦病毒查殺
- 支援雙系統挖礦,警惕新型挖礦病毒入侵
- 挖礦病毒消滅記二
- 挖礦病毒分析(centos7)CentOS
- 利用WMI命令入侵挖礦,新型挖礦病毒Audliodg持續活躍中
- 挖礦病毒處理流程(門羅幣)
- 遇上DG挖礦病毒的處理記錄
- 找對方法,輕鬆擊垮挖礦病毒
- 記一次防毒工作--kdevtmpfsi挖礦病毒防毒dev
- IPFS挖礦開發解決方案及IPFS礦機挖礦原理及最優規劃
- 解決阿里雲伺服器被挖礦阿里伺服器
- 記一次挖礦病毒的應急響應
- 記一次挖礦病毒應急響應事件事件
- 針對挖礦病毒的簡易三板斧
- 比特幣CPU挖礦、GPU挖礦、礦池及礦機挖礦技術原理比特幣GPU
- RainbowMiner,一個求生欲極強的挖礦病毒家族AI
- 區塊鏈挖礦礦機系統解決方案及介紹區塊鏈
- NVIDIA RTX 30顯示卡挖礦被100%破解?上當了:其實是病毒
- 阿里雲伺服器被挖礦怎麼解決阿里伺服器
- 整治“挖礦”, 綠盟科技挖礦專項治理方案來助力
- 挖礦殭屍網路蠕蟲病毒kdevtmpfsi處理過程dev
- 用疫情防控思路解決挖礦木馬風險
- Stratum挖礦協議&XMR挖礦流量分析協議
- 嚴打“挖礦”,對“挖礦”活動零容忍
- EPK怎麼挖礦?EPK挖礦教程詳情
- CPU被挖礦,Redis竟是內鬼!Redis
- 清理挖礦程式後執行任何命令報/usr/local/lib/libprocesshider.so解決方法IDE
- IPPswap丨DAPP質押挖礦/算力挖礦/LP挖礦系統開發詳情APP
- SolaRoad礦池挖礦系統開發方案步驟
- 波卡Phala Network挖礦教程 PHA礦機配置方案
- IPP挖礦技術開發/Defi挖礦/IPPswap理財挖礦系統開發元件解析元件
- 挖礦難度
- docker Redis 被挖礦場景復現DockerRedis