目前数字货币很火,火得一塌糊涂。尽管挖掘难度越来越高,但也阻挡不了全世界人民的挖币热情。挖币的成本只有电费。因此,当然有一些聪明的人就想到了如何利用他人的电为自己撬动数百万美元。你可以在工作的地方插上一个1900瓦特的 ASIC挖矿机悄悄挖矿。30个老旧样式的灯泡就能产生1900瓦特的电。难道会有人在办公大楼里注意到吗?
也有些人不惜冒着被逮捕的风险利用恶意软件僵尸大规模挖币。目前出现的一种论调就是,勒索软件已是明日黄花,挖币才是利润更高更难被检测到的新宠。但实际上挖币行为可被检测到。
为何检测挖币行为有这么重要?
电力
的确,挖矿恶意软件造成的损害要低于勒索软件或 APT组织,但说到底它还是属于恶意软件。你可以通过查找其它类型的恶意软件的方式找到挖币恶意软件。这里主要说明适用于这种情况的三种方法。
如何检测挖矿恶意软件?
方法1:监控网络
挖矿机一般使用挖矿池平台。例如,Stratum端口3333、1333、8333等。良好的“公认” SNAT防火墙应该能拦截挖矿请求流量。对于带外 Stratum连接来说,你应该警惕的网络异常情况包括使用和你用于带外检测其它类型恶意软件的同样工具的连接等。很多连接将会被加密并可能要求尽可能进行 SSL检测。P2P挖矿池可能使用 DNS定位其它主机。如果你足够幸运,发现的威胁恰好包括常见的池服务器如 IOCs (妥协指标)就太好了。否则,使用如下所列的其中一种工具或者以其它方式找到恶意软件。找到后,检查下 “pool_address”的配置并查看网络中与其连接的其它机器。这样你会发现更多的感染情况。
禁止员工在工位运行自己的硬件加密挖矿机。你能制定的最强大政策是,使用当前安全性最高的网络;禁止未知 MAC地址出现在自己的网络中。的确,说起来容易做起来难,但既然2018年已来,那就别自欺欺人了吧。如果公司现在很难实现这一点(确实并非每个人都拥有精良的安全团队),那么为公司政策添加附录内容即为合适措施,比如可以从发邮件开始。
以上提到电是受攻击的第三种资产。你已经在开始监控服务器,确保监控到服务器的 CPU使用情况及其温度。很多数据中心会检测风扇速度,这也是另外一种 IOC。如果某台服务器的 CPU在午夜达到100%且保持不变,那么就非常可疑了。即使是恶意挖矿机也不会占用100%的 CPU,负载本身也可能保持不变,所以也需要密切监控这一点。
路过式加密挖矿指的是影响浏览器的JavaScript。假设某个用户访问某个托管恶意 JavaScript的网站,那么这个脚本会在用户访问站点时挖币。用户系统的完整性虽然未受影响,但用户的 CPU以及电力消耗受到影响。MalwareBytes公司指出,即使用户已经关闭浏览器,但挖币行为仍在持续。对于管理员而言,这个问题更难以解决。很多管理员不监控网络、CPU使用情况或用户的风扇速度,尤其对待远程用户更是如此。在这种情况下,尝试拦截对托管挖币JavaScript网站的访问。如果你的威胁推送中并未包含这些 IOCs,那么可以试下 Good Samartitans维护的开源资源。
结论:回到基础。
退一步,你会意识到密币挖掘实际上只是另外一种形式的恶意软件,所以说你应该已经已经擅长查找它们了。就像你一直做的那样,查看图表找出是否存在恶意软件或其它内容。找到异常并追踪它们。它和密码管理是相通的。回到最基础即可。
IDCsped 提供最新的IT互联网资讯,本着分享、传播的宗旨,我们希望能帮助更多人了解需要的信息!
部分文章转载自互联网、部分是IDCsped原创文章,如果转载,请注明出处:www.idcsped.com !销售电话:13430280788
Copyright © 2012-2017 | www.idcsped.com 版权所有