近年来,在巨大利益驱动下,“挖矿”活动愈演愈烈。与此同时,“矿山”的排查整治工作也在紧锣密鼓地进行。然而,目前“挖矿”治理方案虽多,但鱼龙混杂,给广大企事业单位带来了困扰。为此,盛邦安全发布了“挖矿”活动主控端检测方案,助力企事业单位彻底杜绝“挖矿”威胁。“挖矿”愈演愈烈,危害无穷。虚拟货币“挖矿”需要大规模、高效率的计算设备进行长期计算,以谋取利益。随着门罗币等虚拟货币对GPU要求的降低,在降低“挖矿”门槛的同时,不法分子也看到了商机。2017年以来,黑客非法控制服务器和电脑“挖矿”的事件急剧增多,相关攻击也层出不穷。企事业单位的服务器和电脑一旦被植入“挖矿”软件,首先要面对的就是长时间进行高性能计算,这会造成网络带宽、计算内存等资源的浪费。这不仅导致更高的能耗,加快计算机硬件的老化速度,还会直接导致用户正常的业务应用资源被占用甚至终止。不仅如此,黑客一旦控制了受害主机,还可以窃取机密,给企事业单位造成进一步的损失。如果不能及时发现并清除此类有害植入,黑客可能进一步以被控主机为跳板,进行更大范围的内网渗透,甚至攻击其他单位和应用,使受害单位承担法律责任。“挖矿”检测“偏”,面临选择困难,及时检测“挖矿”活动,避免成为“挖矿”宿主,是各企事业单位非常关心的问题。目前常见的“挖矿”活动主要分为五类:“挖矿脚本检测”、“挖矿软件检测”、“矿机检测”、“币种协议检测”、“矿池检测”。该类下有多个子类,具体分布如下图:常见类型的挖矿木马和矿池“挖矿”活动检测主要分为四种模式:流量检测、客户端检测、安全情报检测和主动检测。几种模式各有特点,构建的解决方案也各有优缺点。例如,流量检测模式无法分析加密流量;客户端检测模式无法检测物联网设备;安全情报模式对情报的准确性、时效性等要求较高,对比了几种主流检测方式与“挖矿”检测方案的优缺点。这种偏颇的现象,不仅让企事业单位更加迷茫,也让他们在方案选择上面临困难。各学科冠军,一网打尽所有“挖矿”行为针对以上“挖矿”检测方案的不足,盛邦安全推出了“挖矿”活动主控检测方案,可检测近百种互联网端“挖矿”病毒主动检测。该方案基于盛邦安全网络空间资产检测系统(RaySpace),采用大数据分析技术,汇聚5大核心矿池识别技术,结合主动检测+智能+沙箱,打造“挖矿”检测系统的冠军全学科,实现对“挖矿”资产的全面检测和精准识别,一网打尽所有“挖矿”行为。“挖矿”活动主控端检测原理图,深入研究“挖矿”行为和“挖矿”木马,是盛邦安全一扫“挖矿”行为的底气。该检测方案通过分析矿机与矿池的交互行为和过程,对网络空间资产进行检测,分析“挖矿”木马的主控端,对矿机进行通信协议识别、指纹识别、端口识别等。“挖矿”特洛伊木马。网络通信等方面让“挖矿”木马无处遁形。此外,基于IOC情报识别技术,盛邦通过互联网情报收集、联盟情报共享、蜜罐捕获等方式,形成了自己的大数据威胁情报体系。系统将“挖矿”木马相关信息与PDNS、WHOIS等数据进行关联,形成注册人信息-注册域名-子域名-IP-端口-服务等信息的钥匙链。通过内部关联匹配,对检测到的内容进行自动标记,并通过平台进行可视化展示。不仅如此,盛邦安全还采用逆向分析识别技术,对空间检测结果进行分析,获得可执行应用;通过静态文件恶意行为检测和动态沙箱检测技术,对应用程序进行“挖矿”木马分析,从而发现新的尚未进入威胁情报库的恶意木马和病毒。精准识别,轻量无感,为“挖矿”治理提供“新思路”目前,盛邦安全指纹库数量已达14万+,“挖矿”指纹数量超过100+,且仍在改进和增加其中,已成为准确发现和识别“矿业”资产的坚实基础。同时,盛邦安全依托TCPSYNScan高性能端口扫描技术和DPDK高性能数据包处理技术,可在24小时内完成全网生存检测。轻量级主动检测包和多种检测方式,结合保护旁路方案,可有效降低对结果准确性的影响。同时,检测过程不会在目标主机上产生任何会话记录,对用户来说是“不敏感”的。近期,盛邦安全还将推出矿池检测、矿机检测等技术解决方案,帮助各类企事业单位用户高效整治“挖矿”行为。
