十八般武藝查“挖礦”丨盛邦安全發(fā)布“挖礦”活動(dòng)主控端檢測方案

近年來，在巨大利益的驅(qū)使下，“挖礦”活動(dòng)愈演愈烈。與此同時(shí)，“挖礦”檢測與整治工作也在如火如荼地開展。然而，目前的“挖礦”治理方案雖多卻又良莠不齊，給廣大企事業(yè)單位帶來了困擾。為此，盛邦安全發(fā)布“挖礦”活動(dòng)主控端檢測方案，助力企事業(yè)單位徹底杜絕“挖礦”威脅。

“挖礦”愈演愈烈、貽害無窮

虛擬貨幣“挖礦”需要大規(guī)模、高功效的計(jì)算設(shè)備進(jìn)行長時(shí)間的運(yùn)算以謀取利益。隨著門羅幣等虛擬貨幣對(duì)GPU要求的降低，在拉低“挖礦”門檻的同時(shí)，也讓不法分子看到了其中的商機(jī)。自2017年以來，黑客通過非法控制服務(wù)器、計(jì)算機(jī)進(jìn)行“挖礦”的行為陡然增多，與此相關(guān)的攻擊也是層出不窮。

企事業(yè)單位的服務(wù)器、計(jì)算機(jī)一旦被植入“挖礦”軟件，首先面臨的就是長時(shí)間執(zhí)行高性能計(jì)算，會(huì)帶來網(wǎng)絡(luò)帶寬以及計(jì)算內(nèi)存等資源的浪費(fèi)。這不但造成更高的能耗，加快計(jì)算機(jī)硬件的老化速度，也將直接導(dǎo)致用戶的正常業(yè)務(wù)應(yīng)用資源被擠占，甚至被終止。

不僅如此，黑客一旦控制受害主機(jī)，還可以進(jìn)行機(jī)密竊取，導(dǎo)致企事業(yè)單位遭受更進(jìn)一步的損失。如果不能及時(shí)的檢測和排除這種危害植入，黑客還有可能進(jìn)一步利用被控制的主機(jī)作為跳板，進(jìn)行更大范圍的內(nèi)網(wǎng)滲透，甚至攻擊其他單位和應(yīng)用，讓受害者單位背負(fù)法律責(zé)任。

“挖礦”檢測“偏科”，面臨選擇困難

及時(shí)檢測“挖礦”活動(dòng)，避免成為“挖礦”主機(jī)，是各企事業(yè)單位都非常關(guān)心的事情。目前來看，常見“挖礦”活動(dòng)主要分為“挖礦腳本檢測”、“挖礦軟件檢測”、“礦機(jī)檢測”、“幣類協(xié)議檢測”、“礦池檢測”五大類，而每個(gè)大類下含多個(gè)小類，具體分布如下圖所示：

常見挖礦木馬種類和礦池

“挖礦”活動(dòng)檢測主要分為流量檢測、客戶端檢測、安全情報(bào)檢測和主動(dòng)檢測四種模式。幾種模式各具特性，由此構(gòu)建的方案也呈現(xiàn)出不同的優(yōu)缺點(diǎn)。例如，流量檢測模式無法分析加密流量；客戶端檢測模式無法對(duì)IoT設(shè)備進(jìn)行檢測；安全情報(bào)模式對(duì)于情報(bào)的準(zhǔn)確性和及時(shí)性要求較高等。

幾種主流檢測方式的優(yōu)劣勢對(duì)比

“挖礦”檢測方案這種偏科現(xiàn)象,不但讓企事業(yè)單位更加困惑，也使其在采用方案時(shí)面臨選擇困難。

全科狀元，一網(wǎng)打盡“挖礦”行為

針對(duì)以上“挖礦”檢測方案的不足，盛邦安全推出了“挖礦”活動(dòng)主控端檢測方案，可對(duì)近百種“挖礦”病毒進(jìn)行互聯(lián)網(wǎng)端的主動(dòng)檢測。該方案基于盛邦安全網(wǎng)絡(luò)空間資產(chǎn)探測系統(tǒng)（RaySpace），采用大數(shù)據(jù)分析技術(shù)，匯聚5種核心礦池識(shí)別技術(shù)，以主動(dòng)探測+情報(bào)+沙箱相結(jié)合的方式，鑄就“挖礦”檢測的全科狀元，實(shí)現(xiàn)對(duì)“挖礦”資產(chǎn)的全面檢測和精準(zhǔn)識(shí)別，一網(wǎng)打盡“挖礦”行為。

“挖礦”活動(dòng)主控端檢測原理圖

把“挖礦”行為、“挖礦”木馬研究透，是盛邦安全一網(wǎng)打盡“挖礦”行為的底氣所在。該檢測方案通過分析礦機(jī)和礦池的交互行為、過程，進(jìn)行網(wǎng)絡(luò)空間資產(chǎn)探測，分析“挖礦”木馬主控端，對(duì)“挖礦”木馬進(jìn)行通信協(xié)議識(shí)別、指紋識(shí)別、端口識(shí)別，在網(wǎng)絡(luò)通信等層面讓“挖礦”木馬無處遁形。

此外，盛邦安全還基于IOC情報(bào)的識(shí)別技術(shù)，通過互聯(lián)網(wǎng)情報(bào)收集、聯(lián)盟情報(bào)共享、蜜罐抓取等方式形成自有的大數(shù)據(jù)威脅情報(bào)系統(tǒng)。該系統(tǒng)將“挖礦”木馬相關(guān)信息與PDNS、WHOIS等數(shù)據(jù)進(jìn)行關(guān)聯(lián)拓展后形成注冊(cè)人信息-注冊(cè)域名-子域名-IP-端口-服務(wù)等信息關(guān)鍵鏈條，通過內(nèi)部關(guān)聯(lián)匹配，對(duì)探測到的內(nèi)容進(jìn)行自動(dòng)標(biāo)簽，并通過平臺(tái)進(jìn)行可視化展示。

不僅如此，盛邦安全還采用逆向分析識(shí)別技術(shù)，對(duì)空間探測結(jié)果進(jìn)行分析，獲取可執(zhí)行應(yīng)用程序；通過靜態(tài)文件的惡意行為檢測及動(dòng)態(tài)沙箱檢測技術(shù)，對(duì)應(yīng)用程序進(jìn)行“挖礦”木馬分析，讓新出現(xiàn)或還沒有進(jìn)入威脅情報(bào)庫的惡意木馬和病毒乖乖現(xiàn)出原形。

精準(zhǔn)識(shí)別、輕量無感，為“挖礦”治理工作提供“新思路”

目前，盛邦安全指紋庫數(shù)量已達(dá)到14萬+，“挖礦”指紋數(shù)量超過100+，且仍在不斷完善增加中，成為對(duì)“挖礦”資產(chǎn)精準(zhǔn)發(fā)現(xiàn)與識(shí)別的牢固根基。同時(shí)，依靠TCP SYN Scan高性能端口掃描技術(shù)和DPDK高性能數(shù)據(jù)包處理技術(shù)，盛邦安全可做到24小時(shí)內(nèi)即可完成全網(wǎng)存活探測。

輕量級(jí)的主動(dòng)探測數(shù)據(jù)包及多種探測方式，結(jié)合防護(hù)繞過方案，可有效降低對(duì)結(jié)果準(zhǔn)確性的影響。同時(shí)，探測過程也不會(huì)在目標(biāo)主機(jī)上產(chǎn)生任何會(huì)話記錄，對(duì)用戶的使用來說是“無感”的。近期，盛邦安全還將陸續(xù)推出礦池檢測、礦機(jī)檢測等技術(shù)方案，助力各企事業(yè)單位用戶高效整治“挖礦”活動(dòng)。