挖矿软件概念
1.什么是挖矿
简单来说,挖矿就是将算力转换为比特币:挖矿会通过算力去计算区块链中,下ー个哈希值的过程。谁能第一个计算出来,并通知全网得到验证,谁就算挖到了这个区块,拥有这个区块的奖励和打包的矿工费(比特币)。
2.为什么要挖矿
因为比特币目前在市场上有很高的价值。(其中既有合法层面的价值:例如被部分国家认定为合法货币。也有非法价值:比特币无法被追踪,对于不法分子来说是洗钱的手段之一)
3.黑产挖矿
既然挖矿需要的是算力,也就是需要计算机进行大量的数学运算。这时候如果用自己的设备挖矿,需要支出:大量时间+设备费+电费+降温等运维费+...= 大量的成本。
所以不法分子就会通过各种方式,入侵含有脆弱点的系统,将这些系统的算力据为己有,也就是盗取算力。然后将这部分窃取来的算力转换为比特币。
不法分子如何黑产挖矿
制造病毒:不法分子首先会通过各种方式制造挖矿病毒,挖矿病毒一般会通过各种方式隐藏自己,以便在主机拥有者不知情的情况下窃取主机算力进行挖矿。
入侵系统:通过手动或者自动方式入侵存在脆弱点的系统。手动或者自动将病毒植入受害系统内网。
横向扩散:挖矿病毒会尝试攻击可以通信的其他机器,如果攻破了某台机器,就会复制自身,将自己植入另一台机器中。然后新的被攻破机器继续横向….直到内网不存在脆弱点或者所有机器都被植入挖矿木马
持续优化挖矿病毒:挖矿病毒制造者根据最新爆发的漏洞,安全产品的防御逻辑等。改变病毒的特征,增加新的横向手段。
黑产挖矿的特点
1.系统的脆弱越少,被植入挖矿概率就越低
只要提升系统的安全系数,可以攻破对应系统的挖矿病毒种类就会减少:不同挖矿病毒的横向能力往往是参差不齐的。例如:H2Miner挖矿病毒一般就只会通过ssh弱密码进行横向扩散。如果系统不存在ssh弱密码,就不会被该种病毒入侵。但HolesWarm、LemonDuck等挖矿病毒可以利用几十乃至近百种不同的漏洞横向自身。
所以只要提升系统的安全系数,可以攻破对应系统的挖矿病毒种类就会减少,系统中挖矿的概率也会减小。而且如果希望确保系统不中挖矿,则需要对系统的安全做持续的监控、运维。
2.隐蔽性高,进化快
由于不法分子的最终目的是将挖矿持久的留在系统中,所以会采用各种各样的手段确保挖矿病毒不被发现:包括但不限于,破坏系统自带的进程查看软件,让其不显示挖矿进程和cpu占用;限制自身只使用50%的cpu(仍会对业务产生较大影响);在系统各处留下”不死马”,让自身很难被删除等。
同时,不法分子在不断分析安全软件,不断通过新技术绕过旧的检测逻辑。例如2020年之前,一种常见的检测逻辑是:检测进程是否和矿池ip通信。这种结合了威胁情报的检测可以有效针对挖矿病毒的变种。但是2021年后的一个大趋势是:挖矿病毒不直接和矿池通信了,而是通过访问各种各样的代理去连接矿池。这就导致该检测逻辑的可靠性下降。只能靠漏洞利用痕迹、行为特征等去进一步判断。
3.动态对抗
由于上面提到的特点2(挖矿病毒的隐蔽性高,进化快),挖矿病毒的检测往往是一件动态对抗的事情,理论上再巧妙精确的检测规则都有被绕过的可能。然后安全人员可能会去分析不法分子通过哪些行为特征进行的绕过,再去对这些绕过特征做检测,直到不法分子再次发明新的绕过姿势的检测绕过姿势,安全人员再对绕过姿势的检测绕过姿势进行检测.....这种对抗会一直持续。
即使所有规则都有被绕过的可能,但例如使用了多锚点的检测技术,往往能最大程度的确保系统不会存在未被发现的挖矿。多锚点就是对病毒的从入侵到横向的每个环节和特征,都去进行检测,可能中间会有4~7层检测逻辑。精心构筑的挖矿病毒绕过其中一层相对容易,但如果想绕过所有层的检测逻辑,是一件非常困难的事情。
服务器安全卫士检测防护挖矿
1.提高攻击门槛,有效缩减90% 攻击面
事实证明,90% 的攻击事件都利用了未修补的漏洞,且攻击者的手段不断变化,网络安全状况也在随着安全漏洞的增加变得日益严峻。而传统的漏洞扫描器仅为按季度或按年的周期性扫描,在未进行检测期间,新的漏洞很容易被黑客利用入侵。因此,企业需要能够实现风险持续性地监测与分析产品,能够化被动为主动,深入发现内部暴露的问题和风险,持续有效地对风险进行处理,从而提高攻击门槛,缩减修复窗口期。
- 持续更新的补丁库以及agent 探针式的主动扫描,能及时、精准发现系统需要升级更新的重要补丁,第一时间帮助用户发现潜在可被黑客攻击的漏洞。深入检测系统中各类应用、内核模块、安装包等各类软件的重要更新补丁,结合系统的业务影响、资产及补丁的重要程度、修复影响情况,智能提供最贴合业务的补丁修复建议。
- 自动识别应用配置缺陷,通过比对攻击链路上的关键攻击路径,发现并处理配置中存在的问题,大大降低可被入侵的风险。如下图中黑客利用redis 应用漏洞的攻击链路,针对黑客的每一步探测,系统均会进行持续性的检测,及时发现并处理某个配置缺陷,将有效解决潜在安全隐患、阻断黑客的进一步活动。
- 持续关注国内外最新安全动态及漏洞利用方法,不断推出最新漏洞的检测能力,至今已积累50000+ 的高价值漏洞库,包括系统 / 应用漏洞、EXP/POC 等大量漏洞,覆盖全网 90% 安全防护。同时,基于 Agent 的持续监测与分析机制,能迅速与庞大的漏洞库进行比对,精准高效地检测出系统漏洞。
- 精准检测几十种应用弱密码,覆盖企业常用应用如SSH、Tomcat、MySQL、Redis、OpenVPN 等。获取应用账号密码的明文或哈希值,与弱密码表中的明文密码或者明文密码计算出的哈希值比较,确定是否为弱密码。如口令未发生新的变更,不再重复对弱口令进行检测。通过分布式的 Agent 对全量主机的弱口令检测,一方面极大的提高工作效率,另一方面对流量及业务的影响也降到了最低。同时,结合企业特征,系统能智能识别更多组合弱口令,支持用户自定义口令字典以及组合弱口令字典,能有效预防被黑客定向破译的风险。
2.多锚点的检测能力,实时发现失陷主机
传统的入侵防护方案能够很好地抵御已知的攻击,但是对于未知和迅速变化的攻击手段则缺乏相应的检测能力。因此,如何实现有效的入侵检测并提供实时的告警和响应手段已经成为安全建设亟需解决的问题。当前的攻击手段千变万化,但是攻击成功后要做的事情却是归一化的。因此,服务器安全卫士将视角从了解黑客的攻击方式,转化成对内在指标的持续监控和分析,无论多么高级的黑客其攻击行为都会触发内部指标的异常变化,从而被迅速发现并处理。
- 通过实时监控登录行为,可以及时且自动化地发现黑客使用不同服务尝试暴力破解用户登录密码的攻击行为,并进行自动化封停处理,使得黑客不能进行更多的尝试,自动封停后会根据预定义的封堵时间进行解封。
- 自动化地监控关键的Web 目录,结合恶意样本库、正则库、相似度匹配等多种检测方法,实时感知文件变化,从而能够及时发现 Web 后门,并对后门的恶意代码内容进行清晰标注。
- 通过对用户进程行为进行实时监控,结合行为的识别方法,及时发现进程的非法Shell 连接操作产生的反弹 Shell 行为,有效感知“0Day”漏洞利用的行为痕迹,并提供反弹 Shell 的详细进程树。
- 通过对用户进程行为进行实时监控,结合行为识别技术,我们能及时发现进程的提权操作并通知用户,并提供提权操作的详细信息。
- 通过分析常见的远程命令漏洞利用实例,利用模式识别的方式,实时监控用户进程行为的各项特征,对主机中进程异常的执行行为和执行命令内容进行精确匹配,能有效发现黑客利用漏洞执行命令的行为痕迹,并及时进行告警。告警信息提供整个漏洞利用过程的进程树信息,帮助用户准确分析黑客的入侵路径和目的,功能同时也支持用户自定义规则进行检测,可帮助适应客户多样化的业务流程,精准覆盖各类RCE 攻击的监控场景。
- 通过分析挖矿木马程序的行为特征,针对挖矿常见的特征研制多种检测模型,对挖矿进程执行的命令、挖矿在主机中的行为、挖矿文件的信息以及挖矿本身具备的属性都设置了相应的锚点进行监控,提供用户全方位的挖矿检测和防护能力。云端+ 客户端的双重检测模式,让挖矿程序的每一个特征和行为,都会被实时发现并上报告警,同时给出专业角度的安全分析。不仅支持对挖矿进行隔离、删除、修复验证等多种处理方式,同时也提供检测规则的高度自定义能力,方便用户对挖矿木马进行快速响应和预防。功能实现了从监控发现、检测分析、响应处理、设置预防的安全闭环能力,为用户提供稳定持续高效的安全服务。
受到挖矿软件的攻击
1、事前:
通过风险发现功能,有效识别系统中存在的漏洞、弱口令、风险配置。
通过本地后门功能,及时发现挖矿行为。
通过本地后门功能,第一时间阻断挖矿行为。
2、事中:
通过入侵检测功能,快速对失陷范围进行确认。
结合资产清点功能快速识别实现主机信息。
3、事后:
结合资产清点功能、风险发现、入侵检测功能,对挖矿软件进行攻击溯源。