“挖礦木馬”橫行,企業如何避免當“礦工”?

星河Salaxy發表於2022-10-19

隨著網際網路的快速發展,網路安全問題也越來越嚴峻。其中,惡意“挖礦”攻擊已經成為當前最為氾濫的網路威脅之一。

如果你的電腦執行速度突然變慢,CPU佔用率居高不下,電腦溫度過熱,系統崩潰或頻繁重新啟動,警惕!你的電腦可能中了“挖礦木馬”


國家明令禁止“挖礦”活動

2021年9月,國家發改委等11部門聯合印發了《關於整治虛擬貨幣“挖礦”活動的通知》,明確加強虛擬貨幣“挖礦”活動上下游全產業鏈監管,嚴禁新增虛擬貨幣“挖礦”專案,加快存量專案有序退出,促進產業結構最佳化和助力碳達峰、碳中和目標如期實現。


圖片


2021年11月,國家發改委於11月10日下午組織召開了虛擬貨幣“挖礦”治理專題視訊會議。會議強調要對各地區虛擬貨幣“挖礦”活動進行清理整治,嚴查嚴處國有單位機房涉及的“挖礦”活動


2021年11月,國家發改委11月16日舉行新聞釋出會,重點提及了虛擬貨幣“挖礦”治理,將以產業式集中式“挖礦”、國有單位涉及“挖礦”和比特幣“挖礦”為重點開展全面整治。對執行居民電價的單位,若發現參與虛擬貨幣“挖礦”活動,將研究對其加徵懲罰性電價,形成持續整治虛擬貨幣“挖礦”活動的高壓態勢。


“挖礦木馬”橫行!

近年來,隨著虛擬貨幣價格的一路攀升,利用計算機資源“挖礦”的行為逐漸盛行,挖礦木馬種類、數量等呈明顯增長的趨勢。


在巨大利益的驅使下,為了得到更多的算力資源,駭客往往對全網進行無差別掃描,同時利用多種爆破和漏洞等手段攻擊主機。在主機被成功入侵之後,挖礦木馬還會向內網滲透,並在被入侵的伺服器上持久駐留以獲取最大收益。


圖片


挖礦會佔用CPU或者GPU進行超頻計算,耗時也耗電。為了得到更多的算力資源,駭客團伙對全網主機計算資源進行爭奪,導致過去一年挖礦木馬增長趨勢明顯。據某雲服務廠商統計,在公有云攻擊事件中,以挖礦為目的的入侵行為佔比54.9%


“傳統檢測方法”各有不足

傳統的挖礦木馬檢測識別方法,如靜態檢測、動態檢測、雲端計算資源檢測等,均存在各自的缺陷。

靜態檢測

最常用的是基於檔案hash的雲查殺,透過已收錄的木馬庫進行比對,判斷檔案是否屬於挖礦木馬;或利用字串等常量特徵,設計識別規則。靜態檢測方法計算複雜度相對較低,實現簡單,但漏報率非常高,很容易對抗。

動態檢測

主要檢測礦池連線產生的網路相關行為。動態檢測方法誤報率比較低,但是容易漏報,且動態檢測延遲比較高,缺乏實時性。

雲端計算資源檢測

檢測CPU和GPU的計算資源佔用,不是專門用作挖礦木馬識別,產生告警之後,需要使用者自己確認告警是否正常。

圖片


多維度分析與定位挖礦行為

基於特定通訊協議及行為進行監測和定位:

礦機與礦池間一般會採用一些特定的通訊協議,如:Stratum、Getwork、Getblocktemplate等;

礦機與礦池間的通訊內容一般會帶有特殊的字元、行為特徵如:“method”、“params”、“mining”、“difficulty”、“blob”等和登記、任務下發、成果提交相關的特徵;

透過特徵和行為規則的方式,發現挖礦行為,定位礦機。


於礦池的活躍情報資訊,反向定位和監測中招礦機:

通常情況下,伺服器型別的裝置不會主動對礦池地址發起請求,除非該伺服器正在進行挖礦行為;

基於此特性,透過採集流量中的DNS請求和IP地址,並與虛擬幣礦池情報庫進行對比,可以確認存在的挖礦行為。


基於礦池——礦機不同階段的通訊行為進行動態檢測:

通訊行為分析主要是針對礦池——礦機之間的不同行為進行分析,在不同階段對通訊包進行動態檢測。

圖片


其中,DNS是重要的“挖礦”傳播渠道,DNS的廣泛運用為“挖礦”攻擊者提供了一個極其具有吸引力的威脅傳播渠道,攻擊者使用一些惡意“挖礦”域名或者DNS協議本身進行惡意“挖礦”軟體投放、命令和控制(C2)等。



對此,中新賽克推出“DNS安全託管”方案,透過檢測、響應、預防三步驟,不僅能夠檢測和防禦包括挖礦、勒索軟體、殭屍網路等多種威脅,更重要的是,透過星河DNS安全閘道器可以實現對告警IP的精準定位,對非法域名訪問進行阻斷。


檢測

透過星河DNS安全閘道器以及企業安全管理中心對DNS流量進行檢測,實時發現主機異常外聯行為,結合情報分析威脅行為

響應

企業內一旦有對應的惡意軟體執行,星河DNS安全閘道器將會阻斷這些惡意軟體與遠控端的通訊,有效降低惡意軟體的風險,包括阻止惡意軟體進一步執行、阻止下載其他惡意模組如內網滲透模組、挖礦模組等。

預防

透過安全產品+雲端安全運營服務的方式,有效預防挖礦、殭屍網路等木馬病毒。

圖片

掃描二維碼,升級公司網路安全防護能力


相關文章