挖礦病毒不僅吞噬電力 更可拖慢企業的計算能力
責編:gltian |2018-11-29 13:24:03據國外媒體報道,普林斯頓大學的計算機科學教授Arvind Narayanan評估,比特幣挖礦每天耗掉5吉瓦的電力,接近全球耗電量的1%。然而,這其中并不包括隱形的“挖礦病毒”,許多“中招”的數據中心,以及無法精確統計的僵尸網絡,正在貪婪的吞噬電力、拖慢企業的計算能力。針對“挖礦病毒”大肆泛濫的情況,亞信安全建議企業用戶,在增強安全教育,倡導員工提高安全意識的同時,更應建立行之有效的病毒治理體系,嚴防內網出現“礦工”。
“礦工”可能就躲藏在我們PC中
在近一段時間,比特幣、以太幣等數字貨幣的幣值出現了大幅降低,但這并不意味著網絡不法分子就會放棄這塊“肥肉”。對于普通用戶來說,則需要警惕“電腦越用越卡”的情況。
作為吞噬PC資源的“大戶”,挖礦病毒通過控制PC的處理器、顯卡等硬件,執行高負載的挖礦計算腳本來進行挖礦。一旦成功入侵到用戶PC,往往會導致CPU或是顯卡的負載上升數倍,不僅應用的運行速度被極大的拖慢,電力功耗也會劇烈增加。
亞信安全季度安全報告顯示,政府、醫療、石油和天然氣等網絡安全相對薄弱的企事業單位是挖礦病毒的優先攻擊目標。雖然大部分PC在挖礦效率上完全無法同專業的“礦機”相提并論,但是“聚沙成塔”,一旦其控制的PC數量達到幾千臺甚至幾萬臺,其收益就是極其可觀了。這也是黑客將主要目標鎖定為企事業單位的主要原因。
挖礦病毒的風險還在于,其目的并非局限在竊取PC的計算能力方面,而是會利用自己善于隱匿的優勢,為威脅更大的APT攻擊預留了空間。一旦挖礦變得無利可圖,其很有可能將目標轉化為組織的數據資產與業務,帶來更嚴峻的威脅。
如何找到挖礦病毒的“脈門”
斬斷入侵路徑是防范挖礦病毒最有效的方法,而社交工程就是黑客最常用的入侵方式。黑客會向組織內部的員工大量發送精心偽造的垃圾郵件,這些垃圾郵件一般會在附件中植入挖礦相關的惡意代碼,并使用具有誘惑力的標題和內容誘惑員工下載并打開。一旦成功侵入,病毒往往會注入系統進程,并讀取挖礦配置信息進行挖礦。
因此,對于挖礦病毒來說,生存時間是衡量其銷量的最重要標準。為了達到這一目標,網絡犯罪分子采取的戰術策略也在不斷演變,更多的是使用了免殺機制。在對抗挖礦病毒的過程中,持續的監察與發現能力至關重要,因此亞信安全建議組織用戶建立多層次、聯動的安全策略,部署防火墻、郵件網關等產品作為第一道防線,并部署行為監控和漏洞防護產品,有效阻止威脅到達客戶端。
對于面臨挖礦病毒威脅的組織來說,可以綜合部署亞信安全深度威脅發現平臺(Deep Discovery,DD)、發揮深度威脅發現設備(TDA)、深度威脅安全網關(DE)、深度威脅郵件網關(DDEI)、深度威脅分析設備(DDAN)、深度威脅終端取證及行為分析系統(DDES?)等產品,發揮其聯動效果,在挖礦病毒傳播的各個環節建立“抑制點”。
其中,亞信安全郵件安全網關IMSA與亞信安全深度威脅郵件網關DDEI組成的主動防護體系,可對郵件整體的安全生命周期進行主動控制與多層次的風險控制,對終端系統進行主動監控,可以用于偵測社交工程郵件攜帶的挖礦軟件,對于挖礦病毒的行為給予主動阻止運行,盡可能的降低終端感染惡意軟件的幾率。
從“人”開始打贏挖礦軟件之戰
在挖礦病毒發現與防范過程中,“人”會扮演重要的角色,組織的IT人員應該加強對于組織網絡資產的監測,對于出現的異常情況進行及時排查與處理。另外,強化員工的網絡安全教育也有利于員工降低點擊不明郵件、鏈接與文件的幾率,并能通過及時的自查與事件上報降低PC的染毒幾率。
此外,亞信安全還提醒企業用戶要構建覆蓋全網的終端威脅發現系統,特別防范未知安全威脅,加強安全態勢感知能力提升,并通過精密編排的防御體系提升網絡安全恢復補救能力。