01
整治高压下,仍有恶意黑客顶风作案
国家对虚拟货币的管控愈发严格,打击此类挖矿活动也将成为近期整治的重点。
挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维本钱暴涨,一些挖矿的主机还可能会被植入病毒,导致组织主要数据透露,或者黑客利用已经掌握的机器,作为连续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事宜等。
擒贼先擒王,早在今年7月,深信服安全团队已经成功捕获到一款主流的挖矿病毒样本,并对其事情事理进行了揭秘。详细内容可点击查看:《支持双系统挖矿,当心新型AutoUpdate挖矿病毒入侵》
AutoUpdate挖矿病毒事情事理
1、通过钓鱼邮件、恶意站点、软件捆绑下载等办法勾引用户点击其恶意脚本程序。
2、在用户点击启动恶意脚本loader.sh后,该脚本将打消安全软件,下载启动程序(kworker)。
3、Kworker程序检讨并更新各功能组件,以及启动挖矿程序dbus、攻击程序autoUpdate、隐蔽脚本hideproc.sh、攻击脚本sshkey.sh。
4、autoUpdate程序扫描并攻击所在网段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等组件、做事或协议漏洞,以及海内用户常用的泛微OA、致远OA、通达OA、phpcms、discuz等做事,并利用干系漏洞写入操持任务并实行。
5、通过hideproc.sh脚本隐蔽进程,防止被用户创造。
6、通过sshkey.sh脚本考试测验从bash_history、etc/hosts、ssh/kownhost及进程已有连接中提取该终端连接过的终端,如果可以成功连接则下载并启动脚本loader.sh,达到传播目的。
7、挖矿程序dbus在受害者的设备上悄悄运行以便挖掘加密货币,同时将中毒设备上连接到一个矿池,为敲诈者获取未经授权的“免费”打算能力,敲诈者直接将“免费算力”挣来的加密货币放入自己的钱包。
即便在整治高压下,仍有恶意黑客顶风作案。近期,深信服安全团队在为某高校进行检测排查过程中,通过安全态势感知设备上的告警日志,精准检测到内网存在30台主机访问挖矿恶意域名的情形。终极在终端检测相应平台EDR应急相应专家的严密排查下,成功定位到黑客,人赃俱获。
02
快速相应、轻量支配,全面围剿挖矿病毒
当前形势下,全面围剿挖矿病毒势不可挡,但如何快速检测处置成为各组织的燃眉之急。
基于长期对挖矿病毒的深入研究与多个案例实践,深信服推出『快速相应、轻量支配』的挖矿病毒专项检测处置,为用户供应两种有效检测挖矿行为的办法,并以“工具+做事”的办法实现精准处置。
如何有效检测挖矿行为?
下一代防火墙AF结合AI+规则库快速识别隐患
(1) 针对办公网或者生产网中存在的挖矿安全隐患
在互联网边界侧以旁路或串联的办法支配深信服下一代防火墙AF,通过AF本地具备的130万僵尸网络特色库,结合深信服云端威胁情报,以恶意URL和C&C IP地址比拟的办法来监测失落陷主机的造孽外联行为。
(2)对付无法识别潜在的挖矿外联行为
通过深信服下一代防火墙AF云端NTA检测引擎,结合AI技能与规则的闭环迭代技能,不仅能检测出不可读的随机字符构成的域名,还能检测出利用单词拼接办法仿造正常域名的恶意域名,快速识别非常外联流量,定位组织网络中的挖矿主机。
安全感知管理平台SIP内置挖矿专项检测模块
用户还可以选择通过镜像交流机流量到深信服流量探针,并传输至SIP平台进行剖析。
深信服安全感知管理平台SIP内置了“挖矿专项检测”模块,通过「挖矿阶段图」、「受害资产」、「受害资产攻击数Top5」3个维度,将挖矿影响展现出来,用户可以清晰定位资产的受影响情形(受影响的资产数量、种别、所处阶段、攻击程度等)。
对付加密挖矿的场景,通过UEBA算法模型,创造用户、机器和其他实体在用户网络上的非常和危险行为,并确定此行为是否具有安全隐患,从而定位网络中的挖矿行为,帮助用户实现大略有效运营。
此外,还可以将AF和SIP接入深信服安全运营中央,安全专家可以进一步对检测到的非常外连行为进行多元剖析,利用云端大数据剖析平台和威胁佃猎平台,精准定位挖矿主机,同时为用户供应724小时挖矿行为持续监测做事。
检测到挖矿行为后,如何精准闭环处置?
终端检测相应平台EDR+挖矿处置专项安全做事
一旦在用户网络中创造挖矿病毒,深信服建议用户在网络中支配终端检测相应平台EDR,通过结合深信服挖矿处置专项安全做事,以“工具+做事”的办法实现全网挖矿病毒处置事情。
挖矿病毒的处置紧张包括Linux系统与Windows系统的处置:
(1) Linux系统挖矿病毒的处置
通过定时任务/做事的打消、特定文件的删除、文件中特定内容的删除、目录的删除、指定文件的规复、病毒进程文件处置、病毒文件删除等处置动作,彻底打消用户网络中的挖矿病毒。
(2) Windows系统挖矿病毒的处置
通过进程内存处置、自启动目录文件删除、自启动配件文件的打消/修正,注册表项的打消/修正,操持任务删除、账号删除、WMI自启动删除、文件的删除和规复等处置动作,彻底打消用户网络中的挖矿病毒。
在挖矿病毒处置过程中,深信服安全专家通过对AF、SIP、EDR安全日志和流量的关联剖析,可以帮助用户实现“边界-网络-终端”的整体联动,深度溯源找到挖矿入侵源头,打消病毒的同时帮忙用户完成安全加固。
03
“检测-处置-预防”,构建立体化防护办理方案
值得把稳的是,检测和处置只是应对挖矿病毒的应急手段。面对日益严厉的挖矿病毒威胁,深信服建议,用户应从预防思路出发,培植立体化的挖矿病毒防护办理方案,从源头杜绝挖矿病毒进入组织内部。
对付挖矿病毒的预防,深信服建议从边界侧、网络侧、终端侧三个方面培植立体化的防护体系。
通过在互联网边界侧支配深信服AF,镜像核心交流机流量到深信服SIP,同时安装深信服EDR在终端侧快速相应处置,结合深信服挖矿专项安全做事,构建集“检测-处置-预防”于一体的724小时挖矿病毒防护办理方案。
1. 化被动为主动,从源头避免丢失
有效检测识别挖矿行为,避免挖矿病毒和程序长期潜伏;
2. 网端安全协同,精准闭环处置
快速处置传染主机、深度溯源,防止同类挖矿病毒复发;
3. 724小监测预警,知心保障
加强安全防护方法,供应724小监测预警机制,有效预防挖矿病毒入侵。
