随着加密货币市值的一路飙升,恶意挖矿软件正在全球肆虐,打击此类挖矿活动已经成为近期整治的重点。对此,8087金沙娱场城总结出挖矿行为以及感染挖矿木马对企业的影响,带你全面了解挖矿病毒的攻击链条,并对难以侦测和阻断的此类攻击行动提出了有针对性的建议。
挖矿病毒的“夺命三刀”
去年以来,我国虚拟货币监管政策持续加码,清退“挖矿”活动与禁止相关业务活动双管齐下。国家发改委等11个部门印发《关于整治虚拟货币“挖矿”活动的通知》,要求加强虚拟货币“挖矿”活动上下游全产业链监管,严查严处国有单位机房涉及的“挖矿”活动。接连的重拳出击,体现了国家对整治“挖矿”的决心。那么,一旦参与“挖矿”活动,或者是中招挖矿病毒之后,企业会有多大损失呢?
图:典型的挖矿木马攻击场景、步骤和通信过程
丢失算力,能耗成本巨大
“挖矿”需要一个庞大的计算系统,会导致组织的终端、服务器、网络设备等卡顿、CPU飚满,直接影响企业的正常业务往来。不仅企业整体算力大减,还会付出额外的电力成本和运维成本。数据显示,截至2020年,全球比特币“挖矿”的年耗电量大约是149.37太瓦时(1太瓦时为10亿度电),这一数字已经超过马来西亚、乌克兰、瑞典的耗电量,接近耗电排名第25名的越南。
点名通报,很有可能被“拉闸”
随着一系列针对虚拟货币“挖矿”活动整治文件和要求的发布,各省市区域相关单位已开始积极响应和开展行动,国内江苏、浙江、广东等省相继开展虚拟货币“挖矿”活动专项整治。而一旦被“通报”之后,如果 “屡教不改”,发电企业则有权利对你“拉闸断电”。
数据泄露,遭遇多重攻击
一些“挖矿”的主机还可能会被植入勒索病毒,携带APT攻击代码等,导致组织重要数据泄露,或者黑客利用已经控制的机器,作为继续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事件发生。
挖矿木马已全面进化
8087金沙娱场城通过近年对重要远控木马的样本分析发现,挖矿木马已经获得全面进化,专业化攻击团队的网络武器级,成为信息安全的最大威胁之一,发现、防御挖矿木马的手段已经不再是单一的通过网络协议检测实现。
首先是数量。目前,全球共2700万的挖矿木马,并且每周按照2万个增长。其次,不仅老病毒出现频繁更新,而且还出现了多个新型挖矿病毒,这其中包括通过WMI无文件挖矿实现双平台感染的病毒,利用“新冠病毒”邮件传播的LemonDuck无文件挖矿病毒,以及借助“海啸”僵尸网络发动DDoS攻击的挖矿病毒等等。
挖矿木马逐步进化,不过将近一半的人对挖矿木马的认知,仍然停留在“一种占用本地资源进行挖矿获利的程序,缺少破坏性”。但是,许多变种的挖矿木马,已经具备了团伙作案、持久性、隐蔽性、对抗性和跨平台等特征,以各种手段规避流量监测和主机的安全检测。
图:挖矿木马进化后的相关特征
检测恶意挖矿活动的方法
挖矿木马会占用CPU进行超频运算,从而占用主机大量的CPU资源,严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源,一般都会对全网进行无差别扫描,同时利用SSH爆破和漏洞利用等手段攻击主机。因此,可以从网络杀伤链分解,细致了大多数挖矿木马的攻击手段。
图:典型挖矿木马网络杀伤链分解
挖矿木马显著的行为特征就是极大的占用CPU及GPU资源主要包括:高CPU和GPU使用率、响应速度慢、 崩溃或频繁重新启动、系统过热、异常网络活动(例如,连接挖矿相关的网站或IP地址)。因此,其检测则可以部署在网络侧和主机侧,利用基于黑名单的检测技术、基于恶意行为的检测技术,以及基于机器学习的检测技术来实现。
此外,为了避免网络用户在不知情的情况下成为“挖矿”行为的“傀儡”,我们可以采用一款高效的安全产品来解决。为此,8087金沙娱场城提供了XDR整体方案,不仅可以帮助用户更早的发现挖矿木马威胁、定位高危资产,并且通过根因和范围分析,确定是否存在挖矿行为,攻击是怎么发生,从而确保终端和云端不留死角。