用疫情防控思路解決挖礦木馬風險

上一期，我們瞭解到挖礦木馬並不簡單，挖礦木馬普遍設定系統後門和採用蠕蟲化傳播擴散，對企業網路安全有嚴重風險。攻擊者在植入挖礦木馬的同時，還會攜帶漏洞攻擊模組、橫向擴散模組、後門模組等等多方面能力，挖礦木馬的入侵擴散，和這兩年大眾所熟知的新冠病毒疫情傳播有十分驚人的相似之處。

透過新聞報導，我們知道新冠病毒疫情傳播有三個不可缺少的環節：傳染源（確診病例或疑似病例、部分進口冷藏食品）、傳播途徑（與傳染源存在接觸史）、易感人群（所有人幾乎不具備有效抵抗力，接觸傳染源就可能感染），病毒的終極目標是經過n代感染所有人。

將以上三個環節中的任一個切斷，疫情就會減緩，三個環節全部採取必要措施加以控制，疫情就會被消滅。我們都看到政府管控疫情采取很多辦法：

1.控制傳染源

2.切斷傳播途徑

3.保護易感人群

這些我們都做了，所以疫情被控制的很好。如果像某些國家，就不做檢測，就不戴口罩，就是要到處耍，就是不打疫苗。結果就是：算你狠。

回到正題，來看挖礦木馬。挖礦木馬的傳播擴散同樣具有類似的三個不可缺少的環節，挖礦木馬的終極目標也是經過n代控制儘可能多的易感系統，殭屍網路規模越大，木馬挖的礦越多，掙的錢也就越多。

1.攻擊源——故意傳播植入挖礦木馬的駭客、已被駭客入侵控制植入惡意程式的系統。

2.傳播途徑——漏洞攻擊（作業系統和應用元件的高危漏洞，IoT裝置的高危漏洞）；弱口令暴破攻擊（各類重要網路服務的弱口令）、軟體供應鏈攻擊（被汙染的軟體安裝源）、釣魚郵件投放（挖礦木馬用的相對少，因為這方法有點兒笨，效率太低）。

3.易感系統——存在安全漏洞未被修復的系統；內部網路間缺少必要的安全檢測防禦體系，員工安全意識不強，管理制度不完善，網路安全短板較多，區域性弱點被攻破，會導致威脅擴散到整個企業網路。

安全運維人員也可以參考新冠疫情的管控措施來打造應對挖礦木馬的解決方案，照葫蘆畫瓢一個環節一個環節做好，結果就會很好。

1.控制攻擊源：

2.切斷傳播途徑：

3.保護易感系統：

針對挖礦木馬的攻擊流程步步設防，就像下面這張圖：

針對挖礦木馬的攻擊傳播方式，採取針對性的防禦措施

騰訊安全應對挖礦木馬威脅的完整解決方案，針對各個可能的攻擊環節層層設防，可以用如下防護矩陣來描述：

顯然，將疫情管控的方法論與網路安全方案結合起來，可以防護任何具備自主傳播特性的網路攻擊，本篇之所以用挖礦木馬為例，原因是在日常安全運維中挖礦木馬最為常見，其入侵後果不像勒索軟體那樣突出，容易被忽略輕視。

應對安全威脅，還要強調一個非常重要的關鍵點，一個字來形容，就是“快”。速度不夠快，就不能在威脅擴散之前切斷傳播風險。正確的解決之道，加上足夠快的檢測、響應、處置速度，缺一不可。

在接下來的幾個章節，我們將向朋友們介紹騰訊安全如何又準又快從海量、碎片化的安全告警事件中挖掘、分析、還原威脅事件全貌，採用哪些技術方案增強挖礦木馬的檢測能力。敬請期待。