十八般武藝查“挖礦”丨盛邦安全發布“挖礦”活動主控端檢測方案
責編:gltian |2022-03-18 13:45:51近年來,在巨大利益的驅使下,“挖礦”活動愈演愈烈。與此同時,“挖礦”檢測與整治工作也在如火如荼地開展。然而,目前的“挖礦”治理方案雖多卻又良莠不齊,給廣大企事業單位帶來了困擾。為此,盛邦安全發布“挖礦”活動主控端檢測方案,助力企事業單位徹底杜絕“挖礦”威脅。
“挖礦”愈演愈烈、貽害無窮
虛擬貨幣“挖礦”需要大規模、高功效的計算設備進行長時間的運算以謀取利益。隨著門羅幣等虛擬貨幣對GPU要求的降低,在拉低“挖礦”門檻的同時,也讓不法分子看到了其中的商機。自2017年以來,黑客通過非法控制服務器、計算機進行“挖礦”的行為陡然增多,與此相關的攻擊也是層出不窮。
企事業單位的服務器、計算機一旦被植入“挖礦”軟件,首先面臨的就是長時間執行高性能計算,會帶來網絡帶寬以及計算內存等資源的浪費。這不但造成更高的能耗,加快計算機硬件的老化速度,也將直接導致用戶的正常業務應用資源被擠占,甚至被終止。
不僅如此,黑客一旦控制受害主機,還可以進行機密竊取,導致企事業單位遭受更進一步的損失。如果不能及時的檢測和排除這種危害植入,黑客還有可能進一步利用被控制的主機作為跳板,進行更大范圍的內網滲透,甚至攻擊其他單位和應用,讓受害者單位背負法律責任。
“挖礦”檢測“偏科”,面臨選擇困難
及時檢測“挖礦”活動,避免成為“挖礦”主機,是各企事業單位都非常關心的事情。目前來看,常見“挖礦”活動主要分為“挖礦腳本檢測”、“挖礦軟件檢測”、“礦機檢測”、“幣類協議檢測”、“礦池檢測”五大類,而每個大類下含多個小類,具體分布如下圖所示:
常見挖礦木馬種類和礦池
“挖礦”活動檢測主要分為流量檢測、客戶端檢測、安全情報檢測和主動檢測四種模式。幾種模式各具特性,由此構建的方案也呈現出不同的優缺點。例如,流量檢測模式無法分析加密流量;客戶端檢測模式無法對IoT設備進行檢測;安全情報模式對于情報的準確性和及時性要求較高等。
幾種主流檢測方式的優劣勢對比
“挖礦”檢測方案這種偏科現象,不但讓企事業單位更加困惑,也使其在采用方案時面臨選擇困難。
全科狀元,一網打盡“挖礦”行為
針對以上“挖礦”檢測方案的不足,盛邦安全推出了“挖礦”活動主控端檢測方案,可對近百種“挖礦”病毒進行互聯網端的主動檢測。該方案基于盛邦安全網絡空間資產探測系統(RaySpace),采用大數據分析技術,匯聚5種核心礦池識別技術,以主動探測+情報+沙箱相結合的方式,鑄就“挖礦”檢測的全科狀元,實現對“挖礦”資產的全面檢測和精準識別,一網打盡“挖礦”行為。
“挖礦”活動主控端檢測原理圖
把“挖礦”行為、“挖礦”木馬研究透,是盛邦安全一網打盡“挖礦”行為的底氣所在。該檢測方案通過分析礦機和礦池的交互行為、過程,進行網絡空間資產探測,分析“挖礦”木馬主控端,對“挖礦”木馬進行通信協議識別、指紋識別、端口識別,在網絡通信等層面讓“挖礦”木馬無處遁形。
此外,盛邦安全還基于IOC情報的識別技術,通過互聯網情報收集、聯盟情報共享、蜜罐抓取等方式形成自有的大數據威脅情報系統。該系統將“挖礦”木馬相關信息與PDNS、WHOIS等數據進行關聯拓展后形成注冊人信息-注冊域名-子域名-IP-端口-服務等信息關鍵鏈條,通過內部關聯匹配,對探測到的內容進行自動標簽,并通過平臺進行可視化展示。
不僅如此,盛邦安全還采用逆向分析識別技術,對空間探測結果進行分析,獲取可執行應用程序;通過靜態文件的惡意行為檢測及動態沙箱檢測技術,對應用程序進行“挖礦”木馬分析,讓新出現或還沒有進入威脅情報庫的惡意木馬和病毒乖乖現出原形。
精準識別、輕量無感,為“挖礦”治理工作提供“新思路”
目前,盛邦安全指紋庫數量已達到14萬+,“挖礦”指紋數量超過100+,且仍在不斷完善增加中,成為對“挖礦”資產精準發現與識別的牢固根基。同時,依靠TCP SYN Scan高性能端口掃描技術和DPDK高性能數據包處理技術,盛邦安全可做到24小時內即可完成全網存活探測。
輕量級的主動探測數據包及多種探測方式,結合防護繞過方案,可有效降低對結果準確性的影響。同時,探測過程也不會在目標主機上產生任何會話記錄,對用戶的使用來說是“無感”的。近期,盛邦安全還將陸續推出礦池檢測、礦機檢測等技術方案,助力各企事業單位用戶高效整治“挖礦”活動。