- 2018年3月, 下載 | 卡巴免費KLara惡意軟件掃描工具 30分鐘可掃描10TB文件
- 2018年3月, R2D2新技術抵御Wiper擦除器惡意軟件及人為惡意刪除數據 產品經理可以看看
- 2018年3月, 視頻 | 新的惡意軟件分析沙盒服務 可以分析需要交互才能執行的惡意軟件或文檔
- 2018年2月, 基于信譽庫的惡意軟件檢測機制靠譜嗎?來看趨勢科技的專利
從推薦文章也可以看到安全廠商正在利用 機器學習和人工智能,發現及抵御惡意軟件的侵襲
如下文章中提到的技術點相關文章見文末
似乎加密貨幣挖礦行為只能寄希望于機器學習或人工智能
企業非常關注任何關鍵數據在 勒索軟件 攻擊中被盜或加密的跡象。Cryptojacking是隱身的,企業很難發現。它造成的損害是真實的,但并不總是顯而易見的。如果 加密貨幣挖礦惡意軟件 感染云基礎設施或 加密電費賬單 ,這種損害可能會立即產生財務影響,它也可能會減慢機器的生產力和性能。
Flashpoint的情報分析師Carles Lopez-Penalver說:
“對于不是專門用于加密挖掘的CPU,它可能對您的硬件不利,會讓它們跑得更慢。Cryptojacking處于早期階段。如果一家公司發現一種類型的攻擊,那么會有四五個其他攻擊者進入。一個訓練有素的神經網絡可能會阻止這些加密。”
這正是某些安全廠商正在做的 – 使用 機器學習 和其他 人工智能 (AI)技術來發現表明加密貨幣挖礦行為。
網絡加密貨幣挖礦的防御 面臨各種反檢測手段的挑戰
許多供應商正在檢測網絡級別的加密貨幣挖礦行為。SecBI有限公司的CTO亞歷克斯Vaystikh說:
“檢測[在終端]現在的問題是非常棘手的,加密貨幣挖礦影響了從移動設備到物聯網、筆記本電腦、臺式機和服務器任何東西。它可以是有意或無意的(小編,還可以是有文件或無文件類型的),非常廣泛。“
Vaystikh說,所有加密的惡意軟件都有一個共同點。
“為了挖掘任何加密貨幣,你必須能夠溝通,接收新的哈希值,然后在計算它們之后,將它們返回給服務器并將它們放入正確的錢包中。”
這意味著檢測加密貨幣挖礦行為的最佳方式,是監視網絡是否存在可疑活動。不幸的是, 加密貨幣挖礦 流量很難與其他類型的通信區分開來。實際的消息非常短,惡意軟件編寫者使用各種技術來混淆它們。Vaystikh說:
“為這樣的事情寫出規則是非常困難的,因此,沒有多少公司能夠發現它,幾乎所有5000人以上的企業都已經擁有這些數據,瀏覽他們擁有的大量數據是非常非常困難的。”
SecBI的自主調查技術已經學會檢測密碼劫持
SecBI的自主調查技術,通過使用 機器學習 在通過企業網絡發現的大量海量數據中,查找可疑模式來解決此問題。Vaystikh說,SecBI看起來有幾千個因素。例如,盡管惡意軟件編寫者會嘗試用各種手段來掩飾通信的規律性質,通過隨機化間隔,但加密挖掘流量是周期性的,
加密貨幣挖礦 也具有不尋常的消息長度。傳入流量、散列是很短的。傳出的結果會稍長。相比之下,與正常的互聯網流量相比,最初的請求很短,響應時間很長。Vaystikh說在比特幣挖掘中,實際上傳的內容比下載的要多一點,這是我們期待的。這項技術可以應用于像亞馬遜這樣的公共云基礎設施以及內部網絡。
即使現在605的網絡流量是加密的 ,通信的周期性、消息的長度和其他細微指標組合起來可以幫助系統發現感染。實際上,當加密貨幣挖礦首次出現時,SecBI的平臺甚至可能在它知道它是什么之前就會將其標記為惡意的。現在,我們的用戶看到它后,會說:
“這是 加密貨幣挖礦 ,現在的軟件已經可以進行分類了。”
在過去的幾個月中,SecBI的系統已經學會檢測密碼劫持,將其正確分類,甚至可以立即采取糾正措施。例如,您可以自動向防火墻發布新規則,以隔離流量并阻止它。但并非每個人都會選擇自動化這種響應。如果一個合法的網站已被劫持,我們的技術有能力推薦最佳解決方案 -重新成像機器或阻止目標,并且客戶可以在該特定情況下選擇最佳的行動方案。
Darktrace企業免疫系統技術能夠進行網絡異常檢測
另一家正在分析網絡流量以發現潛在加密挖掘活動的安全廠商是Darktrace及其企業免疫系統技術。該公司網絡智能和分析主管Justin Fier說:
“我們在網絡層面進行異常檢測,可以捕獲任何計算機上的微妙偏差,如果你的電腦習慣于XYZ,并且突然開始做我們以前從未見過的事情,這種情況很容易發現。當它發生在成千上萬臺計算機上時就更容易了。”
這不僅僅是易受攻擊的計算機。Fier說:
“任何計算周期都可以用于此。我們被連接到互聯網的許多IP地址所包圍,可以連接成一臺超級計算機來挖掘加密貨幣。一個恒溫器不會產生任何東西,但是當你將它們放在有數十萬個的開發池中時,這足以產生影響。“
另一個并沒有太大影響的平臺,但可以增加一些嚴重的基于瀏覽器的密碼,比如Coinhive的資金。加密挖掘工具以JavaScript運行,并由受感染的網站加載,或者有時由業主故意決定通過劫持訪問者的機器來籌集資金的網站加載。一臺或兩臺電腦可能不是什么大不了的事,但如果你有數千臺電腦,你就開始影響公司的整體資源和帶寬,由于各種監管原因,某些公司甚至可能不會被合法地開采加密貨幣。
預防基于瀏覽器的加密貨幣挖礦行為 可以有多種措施
防止基于瀏覽器的加密攻擊的一個有效方法是關閉JavaScript。這是一個核選項,因為JavaScript被用于整個網絡的合法目的。殺毒軟件還可以阻止一些基于瀏覽器的攻擊,Bad Packets Report的安全研究員Trope Mursch說,包括Malwarebytes、ESET、Avast、卡巴斯基和Windows Defender。它們有局限性,反病毒公司和瀏覽器供應商尚未明確確定誰應該負責阻止糟糕的JavaScript,網絡級檢測是至關重要的。
Mursch說:
“還沒有看到任何AV產品的端點檢測是基于單獨行為的加密攻擊 – 基于瀏覽器的加密挖掘。更有針對性的方法是安裝瀏覽器擴展。他推薦minerBlock。
WatchGuard Technologies信息安全威脅分析師Marc Laliberte說:
“另一個可行的擴展是NoCoin,它在阻止Coinhive及其克隆方面做得不錯,但是有幾起合法擴展感染了Crytocurrency挖掘惡意軟件的案例。”
像SecBI和Darktrace一樣,WatchGuard為cryptojacking提供了基于網絡的防御策略。Laliberte說:
“WatchGuard防火墻可以代理連接并檢查流量,并尋找像cryptocurrency礦工這樣的惡意行為,在過去的一個月中,我們在美國排名前十的攻擊名單中有兩名加密貨幣礦工。”
該公司尋找標志,例如與已知加密礦池的連接,并使用 沙盒技術 。Laliberte說:
“我們喜歡在將某些東西標為不好或不好之前查看多種行為。”
這些指標越來越微妙,我們真的開始看到攻擊者將時間倒退到惡意軟件不像發生勒索軟件那樣公開的地方。持續的收入來源比勒索軟件等一次性完成的攻擊更有價值。?因此,攻擊者不會讓他們的惡意軟件變得完整。這變得令人懷疑,你不能僅僅關注資源利用率,而是考慮網絡流量和其他潛在的折衷指標。
在終端上實施智能的加密貨幣挖礦檢測 面臨了合法軟件及行為的欺騙
加密檢測的另一種方法是保護端點。根據Tripwire產品管理和戰略副總裁Tim Erlin的說法,攻擊者可以通過使用加密技術和不太明顯的通信渠道來逃避基于網絡的防御。檢測加密貨幣挖掘的最有效方法是直接在終端上進行檢測。這就是為什么能夠有效監控系統變化并確定它們是否被授權至關重要的原因。
端點保護廠商CrowdStrike的服務總監Bryan York表示,終端保護技術必須足夠聰明才能捕獲以前未知的威脅,而不僅僅是阻止已知的不良活動。這不僅限于可執行的惡意軟件。攻擊者現在正在使用腳本語言,利用在您的計算機和系統上合法使用的軟件,并以非法的方式使用它。
CrowdStrike既可以在傳統的終端設備(如員工桌面)上運行,也可以在基于云的虛擬機上運行。我們遇到了一些在云環境中安裝加密貨幣挖礦軟件的案例,例如AWS EC2實例。我們采取了類似的方法來防止這些問題,還有一個獨特的方面,那就是了解它是如何到達那里的,要理解這一點,您需要使用AWS提供的API日志數據,這使得這些調查有點更具挑戰性,但更有趣一點。
內部人員惡意或非惡意的加密貨幣挖礦行為
約克說,當加密貨幣挖礦軟件被合法用戶故意安裝時,發現它就更具挑戰性。幾周前我剛剛參與了一起案件,一名流氓內部人員的調查,一名心懷不滿的員工,在他離開公司的時候,決定在整個環境中部署加密貨幣挖礦軟件,也是展示他對公司蔑視的一種方式。
特別困難的是,這個家伙知道他的公司是如何檢測加密貨幣挖掘并防止其傳播的機制。約克說:
“他開始使用谷歌搜索并閱讀已發表的一些文章,我們在他的網絡瀏覽器歷史中發現了相關資料,他正試圖顛覆我們。”
公司政策可能并未明確禁止員工使用公司資源運行加密貨幣挖礦軟件,但設置此類操作對于員工而言可能具有風險。Ixia公司應用與 威脅情報 研究中心高級主管Steve McGregory說該法案將會出現,這個人會被解雇。所以這可能是一個短暫的計劃,但如果有能力控制日志,一個流氓員工可以在一段時間內賺到一個體面的錢。
他補充說,教育機構尤其脆弱。很多向我們求助的人都是大學,學生們只需將他們的ASIC [加密挖掘]系統插??入宿舍并啟動電費賬單即可,大學支付賬單,所以費用很高,學生沒有非法進入系統。員工也可以插入自己的設備,并且很難追蹤電費高峰的真正原因。他們可能會通過四處走動,看到最暖和的地區是什么。
ForeScout新興技術副總裁Robert McNutt說,值得信賴的內部人員還可以在AWS、Azure或Google云上啟動虛擬機,進行計算,然后在任何人注意之前快速關閉虛擬機。這是企業應該考慮的真正風險,因為它很難被發現,而且有些企業可能非常有利可圖,從而使其變得更加普遍。
他補充道,偷竊證件的外部攻擊者也可以這樣做。事實上,亞馬遜現在提供帶有GPU的EC2實例,這使得加密挖掘更加高效,但這使該公司支付賬單的成本更高。
文中提到的技術點相關文章
2018年2月, 下載 | 2017惡意軟件報告呈現3大變化 勒索軟件攻擊、加密貨幣挖礦及惡意軟件分發技術
2018年1月, 不要成物聯網惡意軟件攻擊的幫兇 趕緊看看你家路由器的7個安全設置 ,PV 3739
2018年1月, 下載 | 2018網絡安全規劃:金融網絡安全建設方案(含方法和內容) ,PV 5734
2018年1月, 視頻 | 思科發布加密流量分析技術ETA 無需解密就可以識別惡意軟件 ,PV 5875
2018年1月, 2018網絡安全發展趨勢 人工智能與攻防PK ,PV 8524
2017年12月, WebLogic遭watch-smartd挖礦惡意軟件感染 綠盟科技分析防護方案及檢測工具 ,PV 10861