之前幾期,我們介紹了挖礦木馬威脅被許多人低估,參考疫情防控措施可以對挖礦木馬威脅層層防禦。這一期,我們向朋友們詳細介紹騰訊安全技術團隊如何利用人工智慧方法,開發出BinaryAI引擎對樣本檔案進行軟體成分分析,使未知挖礦木馬檢測能力大幅提升,目前騰訊主機安全(雲鏡)已率先整合BinaryAI引擎。
背景
挖礦木馬威脅是近年來影響政企網路安全的第一威脅,在大多數情況下,運營挖礦木馬的網路黑產,並不像勒索病毒攻擊者那樣從事極端的破壞行動。他們更願意長期、穩定控制大量肉雞電腦,組建殭屍網路挖礦牟利,其中絕大部分以消耗CPU資源的門羅幣挖礦佔絕對統治地位。
除了大量消耗系統資源挖礦干擾正常服務執行,挖礦木馬更嚴重的潛在風險是普遍在系統留置後門,對政企機構資訊保安埋下嚴重隱患。
受比特幣等數字加密幣市值波動影響,各種炒幣投機活動不斷,猖獗的勒索軟體犯罪也推動數字加密貨幣成為網路黑產非法交易的媒介。
2021年,中國政府宣佈比特幣相關生產、交易為非法,為達到碳達峰碳中和的目標,政府命令關停中國境內一切以獲取比特幣為目的的礦場。作為達成雙碳目標的一部分,國家網際網路安全管理機構正在全國範圍內嚴查挖礦木馬非法活動,利用木馬入侵後挖礦或利用機構主機算力挖礦屬於嚴重違法,會受到法律制裁。
根據騰訊安全威脅情報中心2020年度報告提供的資料,2020年挖礦木馬上升趨勢十分明顯。
據騰訊安全最新統計,在公有云的攻擊事件當中,以挖礦為目的的入侵行為佔比超過一半,達到54.9%,騰訊安全團隊在過去30天捕獲挖礦木馬攻擊事件累計超過6000件。國外安全廠商披露的技術報告,也表明挖礦木馬是全球當前最主要的網路威脅。
傳統挖礦木馬檢測方案包含三個維度
1.靜態檢測:基於字串常量、特徵檢測規則和檔案hash的檢測方法;
2.動態檢測:基於礦池網路連線行為的檢測方法;
3.主機層檢測:雲主機資源異常佔用的檢測方法。
目前的靜態檢測只能發現已知挖礦樣本,且容易被攻擊者繞過。動態檢測方案會增加檢測成本且對連線私有礦池挖礦的行為無檢測能力。主機層的檢測會引入主機層的大量告警,多為誤報且難以直接定位威脅性質。
BinaryAI引擎檢測挖礦木馬
基於BinaryAI引擎的挖礦木馬檢測技術,是騰訊安全科恩實驗室聯合騰訊安全能力運營團隊基於人工智慧(AI)方法推出的全新挖礦木馬檢測解決方案。
BinaryAI引擎針對有限的挖礦元件建立特徵庫並藉助騰訊安全成熟的脫殼技術,透過匹配樣本中是否包含挖礦功能語義的函式來實現挖礦樣本的靜態檢測,完成即準確又高效的挖礦木馬檢測方案。
挖礦木馬的主流元件(僅部分)
挖礦木馬的主流礦池
BinaryAI引擎使用函式語義向量化表示模型,利用深度學習演算法,將函式表示成可以代表其語義的高維向量。得益於騰訊安全資料積累,BinaryAI擁有最大最全的訓練資料和業界領先的函式相似度檢索結果,該項研究已在AAAI、NeurIPS等國際頂級會議釋出。
BinaryAI函式語義向量化表示模型
挖礦木馬在行為上具有加密計算、連線礦池通訊兩大核心功能模組,因此在樣本匹配過程中對加密計算和連線礦池通訊的模組分別建立挖礦元件函式庫。在挖礦元件函式庫資料清洗的基礎上,首先用庫內函式在非挖礦樣本集上出現的頻率對通用函式完成粗篩,然後基於函式是否挖礦直接相關的原則,對庫內的函式進行更細粒度的過濾清洗。
基於前面的樣本處理與挖礦元件函式庫建立工作,BinaryAI引擎的挖礦木馬檢測過程只需完成未知樣本函式與挖礦元件函式庫的語義匹配過程,並透過計算命中比例判定樣本屬性,實現更高效更準確的挖礦木馬檢測解決方案。
基於BinaryAI的挖礦木馬檢測原理
BinaryAI引擎的檢測效果
在真實場景中的海量資料構建的測試集上,BinaryAI引擎準確率達到96%。相比傳統的挖礦木馬靜態檢測方案,解決了漏報率高的問題,而且因為方案不同的設計原理,具有較好的獨報能力。
騰訊主機安全(雲鏡)已率先接入BinaryAI引擎,可以透過BinaryAI引擎檢測未知挖礦木馬威脅。未來騰訊安全還有更多主機側、終端側安全產品會接入BinaryAI引擎,將BinaryAI的演算法能力應用到檢測挖礦木馬的各個業務場景中。
關於騰訊科恩實驗室
騰訊安全科恩實驗室(Keen Security Lab of Tencent)成立於2016年1月,作為騰訊集團旗下一支國際一流的資訊保安團隊,在桌面端安全、移動終端安全等基礎安全領域有十多年的積累。近年來,科恩積極佈局車聯網安全、工業網際網路安全和AI安全等前沿方向,技術實力和研究成果達到了國際領先水平。
科恩實驗室團隊三次摘得國際頂級駭客大賽Pwn2Own總冠軍,並打破歷史成為首個獲得DEF CON CTF賽事冠軍的中國團隊,在國內CTF比賽中多次獲得重量級賽事冠軍。科恩實驗室全球首發特斯拉、寶馬、雷克薩斯、賓士等知名品牌網聯汽車安全研究成果,助力廠商修復安全問題並構建全面的安全體系。護航各行業數字化變革,守護全網使用者的資訊保安是騰訊科恩實驗室的使命。
重磅推薦
騰訊主機安全旗艦版釋出會將於2022年1月初召開,更多應用例項和技術解讀,敬請關注騰訊安全威脅情報中心公眾號更新!