随着加密货币市值的飙升,恶意挖矿软件在全球肆虐。比上班打鱼更可怕的是,外部或内部的挖矿软件正在悄悄消耗企业IT资源,侵蚀企业利润。当犯罪分子通过网络服务器和浏览器劫持系统时,就会发生加密劫持(挖矿)。恶意JavaScript经常被注入或植入Web服务器,当用户访问网页时,他们的浏览器被感染,使他们的计算机变成矿工。检测恶意挖矿活动有几种方法:监控网络性能首先,企业安全团队需要检查系统性能。最终用户可能会注意到CPU使用率高、温度变化或风扇速度加快,这可能是业务应用程序编码不当的症状,但也可能表明系统中隐藏了恶意软件,企业可以设置安全基线以更好地检测系统中的异常情况.然而,仅仅依靠性能异常来识别系统是否受到影响并不是万无一失的解决方案。最近的事件表明,攻击者正在限制对系统CPU的需求以隐藏其影响。例如,最近一份微软数字防御报告指出,越南威胁组织BISMUTH正以法国和越南的私营部门和政府机构为目标,通过“融入”正常的网络活动来避免被发现。由于加密货币矿工通常被安全系统视为低优先级威胁,因此BISMUTH能够在不被发现的情况下渗透系统。查看日志中是否存在未经授权的连接除了检查行为异常的计算机外,企业还应查看防火墙和代理日志中的连接以检测隐蔽的恶意挖矿活动。企业最好清楚地知道他们有权连接到哪些位置和IP地址,如果这个过程过于繁琐,至少要检查防火墙日志并阻止已知的加密矿工服务器地址。最近的一篇Nextron博客文章分析了常见的加密矿池,并建议检查防火墙或DNS服务器是否受到影响。例如,查找包含*xmr.**pool.com*pool.org和pool.*的日志,看看是否有人在滥用公司网络。如果企业有高度敏感的网络,可以设置白名单,允许必要的IP地址访问,但在云计算时代,这种方式很难实现。例如,当微软为其Azure数据中心增加新范围时,微软客户可能需要调整授权IP地址列表,这无疑增加了客户的负担。使用浏览器扩展程序阻止矿工恶意软件一些浏览器扩展程序监视和阻止矿工恶意软件,例如NoCoin和MinerBlocker以监视可疑活动和阻止攻击,这两种扩展程序都可用于Chrome、Opera和Firefox扩展程序。企业还可以通过禁用浏览器JavaScript来防止恶意活动,因为恶意JavaScript应用程序通过横幅广告和其他网站操纵技术传播。但企业禁用浏览器JavaScript需要事先确认和验证,因为这样做可能会对网站的业务功能产生不利影响。启用Edge浏览器的Super-Duper安全模式微软正在测试Edge浏览器的Super-Duper安全模式,该模式通过禁用V8JavaScript引擎中的即时JIT编译来提高Edge的安全性。微软表示,现代浏览器中的JavaScript漏洞是攻击者最常使用的向量。2019年的CVE漏洞数据显示,大约45%的V8攻击与JIT相关。但是,禁用JIT编译确实会影响性能,正如MicrosoftBrowserVulnerabilityResearch进行的测试所证实的那样。在Speedometer2.0等JavaScript基准测试中,性能下降可高达58%。尽管如此,微软表示用户不会关心这种性能影响,因为用户在日常使用中很少注意到它。
