近年来,在巨大利益的驱使下,“挖矿”活动愈演愈烈。与此同时,“挖矿”检测与整治工作也在如火如荼地开展。然而,目前的“挖矿”治理方案虽多却又良莠不齐,给广大企事业单位带来了困扰。为此,盛邦安全发布“挖矿”活动主控端检测方案,助力企事业单位彻底杜绝“挖矿”威胁。
“挖矿”愈演愈烈、贻害无穷
虚拟货币“挖矿”需要大规模、高功效的计算设备进行长时间的运算以谋取利益。随着门罗币等虚拟货币对GPU要求的降低,在拉低“挖矿”门槛的同时,也让不法分子看到了其中的商机。自2017年以来,黑客通过非法控制服务器、计算机进行“挖矿”的行为陡然增多,与此相关的攻击也是层出不穷。
企事业单位的服务器、计算机一旦被植入“挖矿”软件,首先面临的就是长时间执行高性能计算,会带来网络带宽以及计算内存等资源的浪费。这不但造成更高的能耗,加快计算机硬件的老化速度,也将直接导致用户的正常业务应用资源被挤占,甚至被终止。
不仅如此,黑客一旦控制受害主机,还可以进行机密窃取,导致企事业单位遭受更进一步的损失。如果不能及时的检测和排除这种危害植入,黑客还有可能进一步利用被控制的主机作为跳板,进行更大范围的内网渗透,甚至攻击其他单位和应用,让受害者单位背负法律责任。
“挖矿”检测“偏科”,面临选择困难
及时检测“挖矿”活动,避免成为“挖矿”主机,是各企事业单位都非常关心的事情。目前来看,常见“挖矿”活动主要分为“挖矿脚本检测”、“挖矿软件检测”、“矿机检测”、“币类协议检测”、“矿池检测”五大类,而每个大类下含多个小类,具体分布如下图所示:
常见挖矿木马种类和矿池
“挖矿”活动检测主要分为流量检测、客户端检测、安全情报检测和主动检测四种模式。几种模式各具特性,由此构建的方案也呈现出不同的优缺点。例如,流量检测模式无法分析加密流量;客户端检测模式无法对IoT设备进行检测;安全情报模式对于情报的准确性和及时性要求较高等。
几种主流检测方式的优劣势对比
“挖矿”检测方案这种偏科现象,不但让企事业单位更加困惑,也使其在采用方案时面临选择困难。
全科状元,一网打尽“挖矿”行为
针对以上“挖矿”检测方案的不足,盛邦安全推出了“挖矿”活动主控端检测方案,可对近百种“挖矿”病毒进行互联网端的主动检测。该方案基于盛邦安全网络空间资产探测系统(RaySpace),采用大数据分析技术,汇聚5种核心矿池识别技术,以主动探测+情报+沙箱相结合的方式,铸就“挖矿”检测的全科状元,实现对“挖矿”资产的全面检测和精准识别,一网打尽“挖矿”行为。
“挖矿”活动主控端检测原理图
把“挖矿”行为、“挖矿”木马研究透,是盛邦安全一网打尽“挖矿”行为的底气所在。该检测方案通过分析矿机和矿池的交互行为、过程,进行网络空间资产探测,分析“挖矿”木马主控端,对“挖矿”木马进行通信协议识别、指纹识别、端口识别,在网络通信等层面让“挖矿”木马无处遁形。
此外,盛邦安全还基于IOC情报的识别技术,通过互联网情报收集、联盟情报共享、蜜罐抓取等方式形成自有的大数据威胁情报系统。该系统将“挖矿”木马相关信息与PDNS、WHOIS等数据进行关联拓展后形成注册人信息-注册域名-子域名-IP-端口-服务等信息关键链条,通过内部关联匹配,对探测到的内容进行自动标签,并通过平台进行可视化展示。
不仅如此,盛邦安全还采用逆向分析识别技术,对空间探测结果进行分析,获取可执行应用程序;通过静态文件的恶意行为检测及动态沙箱检测技术,对应用程序进行“挖矿”木马分析,让新出现或还没有进入威胁情报库的恶意木马和病毒乖乖现出原形。
精准识别、轻量无感,为“挖矿”治理工作提供“新思路”
目前,盛邦安全指纹库数量已达到14万+,“挖矿”指纹数量超过100+,且仍在不断完善增加中,成为对“挖矿”资产精准发现与识别的牢固根基。同时,依靠TCP SYN Scan高性能端口扫描技术和DPDK高性能数据包处理技术,盛邦安全可做到24小时内即可完成全网存活探测。
轻量级的主动探测数据包及多种探测方式,结合防护绕过方案,可有效降低对结果准确性的影响。同时,探测过程也不会在目标主机上产生任何会话记录,对用户的使用来说是“无感”的。近期,盛邦安全还将陆续推出矿池检测、矿机检测等技术方案,助力各企事业单位用户高效整治“挖矿”活动。