十八般武藝查“挖礦”丨盛邦安全發(fā)布“挖礦”活動主控端檢測方案
責(zé)編:gltian |2022-03-18 13:45:51近年來,在巨大利益的驅(qū)使下,“挖礦”活動愈演愈烈。與此同時,“挖礦”檢測與整治工作也在如火如荼地開展。然而,目前的“挖礦”治理方案雖多卻又良莠不齊,給廣大企事業(yè)單位帶來了困擾。為此,盛邦安全發(fā)布“挖礦”活動主控端檢測方案,助力企事業(yè)單位徹底杜絕“挖礦”威脅。
“挖礦”愈演愈烈、貽害無窮
虛擬貨幣“挖礦”需要大規(guī)模、高功效的計算設(shè)備進行長時間的運算以謀取利益。隨著門羅幣等虛擬貨幣對GPU要求的降低,在拉低“挖礦”門檻的同時,也讓不法分子看到了其中的商機。自2017年以來,黑客通過非法控制服務(wù)器、計算機進行“挖礦”的行為陡然增多,與此相關(guān)的攻擊也是層出不窮。
企事業(yè)單位的服務(wù)器、計算機一旦被植入“挖礦”軟件,首先面臨的就是長時間執(zhí)行高性能計算,會帶來網(wǎng)絡(luò)帶寬以及計算內(nèi)存等資源的浪費。這不但造成更高的能耗,加快計算機硬件的老化速度,也將直接導(dǎo)致用戶的正常業(yè)務(wù)應(yīng)用資源被擠占,甚至被終止。
不僅如此,黑客一旦控制受害主機,還可以進行機密竊取,導(dǎo)致企事業(yè)單位遭受更進一步的損失。如果不能及時的檢測和排除這種危害植入,黑客還有可能進一步利用被控制的主機作為跳板,進行更大范圍的內(nèi)網(wǎng)滲透,甚至攻擊其他單位和應(yīng)用,讓受害者單位背負法律責(zé)任。
“挖礦”檢測“偏科”,面臨選擇困難
及時檢測“挖礦”活動,避免成為“挖礦”主機,是各企事業(yè)單位都非常關(guān)心的事情。目前來看,常見“挖礦”活動主要分為“挖礦腳本檢測”、“挖礦軟件檢測”、“礦機檢測”、“幣類協(xié)議檢測”、“礦池檢測”五大類,而每個大類下含多個小類,具體分布如下圖所示:
常見挖礦木馬種類和礦池
“挖礦”活動檢測主要分為流量檢測、客戶端檢測、安全情報檢測和主動檢測四種模式。幾種模式各具特性,由此構(gòu)建的方案也呈現(xiàn)出不同的優(yōu)缺點。例如,流量檢測模式無法分析加密流量;客戶端檢測模式無法對IoT設(shè)備進行檢測;安全情報模式對于情報的準(zhǔn)確性和及時性要求較高等。
幾種主流檢測方式的優(yōu)劣勢對比
“挖礦”檢測方案這種偏科現(xiàn)象,不但讓企事業(yè)單位更加困惑,也使其在采用方案時面臨選擇困難。
全科狀元,一網(wǎng)打盡“挖礦”行為
針對以上“挖礦”檢測方案的不足,盛邦安全推出了“挖礦”活動主控端檢測方案,可對近百種“挖礦”病毒進行互聯(lián)網(wǎng)端的主動檢測。該方案基于盛邦安全網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)(RaySpace),采用大數(shù)據(jù)分析技術(shù),匯聚5種核心礦池識別技術(shù),以主動探測+情報+沙箱相結(jié)合的方式,鑄就“挖礦”檢測的全科狀元,實現(xiàn)對“挖礦”資產(chǎn)的全面檢測和精準(zhǔn)識別,一網(wǎng)打盡“挖礦”行為。
“挖礦”活動主控端檢測原理圖
把“挖礦”行為、“挖礦”木馬研究透,是盛邦安全一網(wǎng)打盡“挖礦”行為的底氣所在。該檢測方案通過分析礦機和礦池的交互行為、過程,進行網(wǎng)絡(luò)空間資產(chǎn)探測,分析“挖礦”木馬主控端,對“挖礦”木馬進行通信協(xié)議識別、指紋識別、端口識別,在網(wǎng)絡(luò)通信等層面讓“挖礦”木馬無處遁形。
此外,盛邦安全還基于IOC情報的識別技術(shù),通過互聯(lián)網(wǎng)情報收集、聯(lián)盟情報共享、蜜罐抓取等方式形成自有的大數(shù)據(jù)威脅情報系統(tǒng)。該系統(tǒng)將“挖礦”木馬相關(guān)信息與PDNS、WHOIS等數(shù)據(jù)進行關(guān)聯(lián)拓展后形成注冊人信息-注冊域名-子域名-IP-端口-服務(wù)等信息關(guān)鍵鏈條,通過內(nèi)部關(guān)聯(lián)匹配,對探測到的內(nèi)容進行自動標(biāo)簽,并通過平臺進行可視化展示。
不僅如此,盛邦安全還采用逆向分析識別技術(shù),對空間探測結(jié)果進行分析,獲取可執(zhí)行應(yīng)用程序;通過靜態(tài)文件的惡意行為檢測及動態(tài)沙箱檢測技術(shù),對應(yīng)用程序進行“挖礦”木馬分析,讓新出現(xiàn)或還沒有進入威脅情報庫的惡意木馬和病毒乖乖現(xiàn)出原形。
精準(zhǔn)識別、輕量無感,為“挖礦”治理工作提供“新思路”
目前,盛邦安全指紋庫數(shù)量已達到14萬+,“挖礦”指紋數(shù)量超過100+,且仍在不斷完善增加中,成為對“挖礦”資產(chǎn)精準(zhǔn)發(fā)現(xiàn)與識別的牢固根基。同時,依靠TCP SYN Scan高性能端口掃描技術(shù)和DPDK高性能數(shù)據(jù)包處理技術(shù),盛邦安全可做到24小時內(nèi)即可完成全網(wǎng)存活探測。
輕量級的主動探測數(shù)據(jù)包及多種探測方式,結(jié)合防護繞過方案,可有效降低對結(jié)果準(zhǔn)確性的影響。同時,探測過程也不會在目標(biāo)主機上產(chǎn)生任何會話記錄,對用戶的使用來說是“無感”的。近期,盛邦安全還將陸續(xù)推出礦池檢測、礦機檢測等技術(shù)方案,助力各企事業(yè)單位用戶高效整治“挖礦”活動。
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元
- 推動數(shù)據(jù)要素安全流通的機制與技術(shù)
- RSAC 2025前瞻:Agentic AI將成為行業(yè)新風(fēng)向
- 因被黑致使個人信息泄露,企業(yè)賠償員工超5000萬元
- UTG-Q-017:“短平快”體系下的高級竊密組織
- 算力并網(wǎng)可信交易技術(shù)與應(yīng)用白皮書
- 美國美中委員會發(fā)布DeepSeek調(diào)查報告
- 2024年中國網(wǎng)絡(luò)與信息法治建設(shè)回顧