股票代码:688225
打开微信“扫一扫”,开启安(ān)全数字世界之旅
截图或長(cháng)按保存至相册,使用(yòng)微信扫一扫
首页(yè) > 安(ān)全通告
安(ān)全通告
“挖矿”带来难以名(míng)状之殇 如何诊断你已中(zhōng)招?
发布时间 :2022年02月24日
分(fēn)享:
随着加密货币市值的一路飙升,恶意挖矿软件正在全球肆虐,打击此类挖矿活动已经成為(wèi)近期整治的重点。对此,亚信安(ān)全总结出挖矿行為(wèi)以及感染挖矿木(mù)马对企业的影响,带你全面了解挖矿病毒的攻击链条,并对难以侦测和阻断的此类攻击行动提出了有(yǒu)针对性的建议。
挖矿病毒的“夺命三刀(dāo)”
去年以来,我國(guó)虚拟货币监管政策持续加码,清退“挖矿”活动与禁止相关业務(wù)活动双管齐下。國(guó)家发改委等11个部门印发《关于整治虚拟货币“挖矿”活动的通知》,要求加强虚拟货币“挖矿”活动上下游全产(chǎn)业链监管,严查严处國(guó)有(yǒu)单位机房涉及的“挖矿”活动。接连的重拳出击,體(tǐ)现了國(guó)家对整治“挖矿”的决心。那么,一旦参与“挖矿”活动,或者是中(zhōng)招挖矿病毒之后,企业会有(yǒu)多(duō)大损失呢(ne)?
图:典型的挖矿木(mù)马攻击场景、步骤和通信过程
丢失算力,能(néng)耗成本巨大
“挖矿”需要一个庞大的计算系统,会导致组织的终端、服務(wù)器、网络设备等卡顿、CPU飚满,直接影响企业的正常业務(wù)往来。不仅企业整體(tǐ)算力大减,还会付出额外的電(diàn)力成本和运维成本。数据显示,截至2020年,全球比特币“挖矿”的年耗電(diàn)量大约是149.37太瓦时(1太瓦时為(wèi)10亿度電(diàn)),这一数字已经超过马来西亚、乌克兰、瑞典的耗電(diàn)量,接近耗電(diàn)排名(míng)第25名(míng)的越南。
点名(míng)通报,很(hěn)有(yǒu)可(kě)能(néng)被“拉闸”
随着一系列针对虚拟货币“挖矿”活动整治文(wén)件和要求的发布,各省市區(qū)域相关单位已开始积极响应和开展行动,國(guó)内江苏、浙江、广东等省相继开展虚拟货币“挖矿”活动专项整治。而一旦被“通报”之后,如果 “屡教不改”,发電(diàn)企业则有(yǒu)权利对你“拉闸断電(diàn)”。
数据泄露,遭遇多(duō)重攻击
一些“挖矿”的主机还可(kě)能(néng)会被植入勒索病毒,携带APT攻击代码等,导致组织重要数据泄露,或者黑客利用(yòng)已经控制的机器,作(zuò)為(wèi)继续对内网渗透或攻击其他(tā)目标的跳板,导致更严重的网络安(ān)全攻击事件发生。
挖矿木(mù)马已全面进化
亚信安(ān)全通过近年对重要遠(yuǎn)控木(mù)马的样本分(fēn)析发现,挖矿木(mù)马已经获得全面进化,专业化攻击团队的网络武器级,成為(wèi)信息安(ān)全的最大威胁之一,发现、防御挖矿木(mù)马的手段已经不再是单一的通过网络协议检测实现。
首先是数量。目前,全球共2700万的挖矿木(mù)马,并且每周按照2万个增長(cháng)。其次,不仅老病毒出现频繁更新(xīn),而且还出现了多(duō)个新(xīn)型挖矿病毒,这其中(zhōng)包括通过WMI无文(wén)件挖矿实现双平台感染的病毒,利用(yòng)“新(xīn)冠病毒”邮件传播的LemonDuck无文(wén)件挖矿病毒,以及借助“海啸”僵尸网络发动DDoS攻击的挖矿病毒等等。
挖矿木(mù)马逐步进化,不过将近一半的人对挖矿木(mù)马的认知,仍然停留在“一种占用(yòng)本地资源进行挖矿获利的程序,缺少破坏性”。但是,许多(duō)变种的挖矿木(mù)马,已经具(jù)备了团伙作(zuò)案、持久性、隐蔽性、对抗性和跨平台等特征,以各种手段规避流量监测和主机的安(ān)全检测。
图:挖矿木(mù)马进化后的相关特征
检测恶意挖矿活动的方法
挖矿木(mù)马会占用(yòng)CPU进行超频运算,从而占用(yòng)主机大量的CPU资源,严重影响服務(wù)器上的其他(tā)应用(yòng)的正常运行。黑客為(wèi)了得到更多(duō)的算力资源,一般都会对全网进行无差别扫描,同时利用(yòng)SSH爆破和漏洞利用(yòng)等手段攻击主机。因此,可(kě)以从网络杀伤链分(fēn)解,细致了大多(duō)数挖矿木(mù)马的攻击手段。
图:典型挖矿木(mù)马网络杀伤链分(fēn)解
挖矿木(mù)马显著的行為(wèi)特征就是极大的占用(yòng)CPU及GPU资源主要包括:高CPU和GPU使用(yòng)率、响应速度慢、 崩溃或频繁重新(xīn)启动、系统过热、异常网络活动(例如,连接挖矿相关的网站或IP地址)。因此,其检测则可(kě)以部署在网络侧和主机侧,利用(yòng)基于黑名(míng)单的检测技(jì )术、基于恶意行為(wèi)的检测技(jì )术,以及基于机器學(xué)习的检测技(jì )术来实现。
此外,為(wèi)了避免网络用(yòng)户在不知情的情况下成為(wèi)“挖矿”行為(wèi)的“傀儡”,我们可(kě)以采用(yòng)一款高效的安(ān)全产(chǎn)品来解决。為(wèi)此,亚信安(ān)全提供了XDR整體(tǐ)方案,不仅可(kě)以帮助用(yòng)户更早的发现挖矿木(mù)马威胁、定位高危资产(chǎn),并且通过根因和范围分(fēn)析,确定是否存在挖矿行為(wèi),攻击是怎么发生,从而确保终端和云端不留死角。
分(fēn)享到微信
X