十八般武艺查“挖矿”丨盛邦安全发布“挖矿”活动主控端检测方案

发布时间 - 2022-03-18 13:45:51    点击率:774次

近年来,在巨大利益的驱使下,“挖矿”活动愈演愈烈。与此同时,“挖矿”检测与整治工作也在如火如荼地开展。然而,目前的“挖矿”治理方案虽多却又良莠不齐,给广大企事业单位带来了困扰。为此,盛邦安全发布“挖矿”活动主控端检测方案,助力企事业单位彻底杜绝“挖矿”威胁。

“挖矿”愈演愈烈、贻害无穷

虚拟货币“挖矿”需要大规模、高功效的计算设备进行长时间的运算以谋取利益。随着门罗币等虚拟货币对GPU要求的降低,在拉低“挖矿”门槛的同时,也让不法分子看到了其中的商机。自2017年以来,黑客通过非法控制服务器、计算机进行“挖矿”的行为陡然增多,与此相关的攻击也是层出不穷。

企事业单位的服务器、计算机一旦被植入“挖矿”软件,首先面临的就是长时间执行高性能计算,会带来网络带宽以及计算内存等资源的浪费。这不但造成更高的能耗,加快计算机硬件的老化速度,也将直接导致用户的正常业务应用资源被挤占,甚至被终止。

不仅如此,黑客一旦控制受害主机,还可以进行机密窃取,导致企事业单位遭受更进一步的损失。如果不能及时的检测和排除这种危害植入,黑客还有可能进一步利用被控制的主机作为跳板,进行更大范围的内网渗透,甚至攻击其他单位和应用,让受害者单位背负法律责任。

“挖矿”检测“偏科”,面临选择困难

及时检测“挖矿”活动,避免成为“挖矿”主机,是各企事业单位都非常关心的事情。目前来看,常见“挖矿”活动主要分为“挖矿脚本检测”、“挖矿软件检测”、“矿机检测”、“币类协议检测”、“矿池检测”五大类,而每个大类下含多个小类,具体分布如下图所示:

image001(03-18-13-43-31)

常见挖矿木马种类和矿池

“挖矿”活动检测主要分为流量检测、客户端检测、安全情报检测和主动检测四种模式。几种模式各具特性,由此构建的方案也呈现出不同的优缺点。例如,流量检测模式无法分析加密流量;客户端检测模式无法对IoT设备进行检测;安全情报模式对于情报的准确性和及时性要求较高等。

image002(03-18-13-43-31)

几种主流检测方式的优劣势对比

“挖矿”检测方案这种偏科现象,不但让企事业单位更加困惑,也使其在采用方案时面临选择困难。

全科状元,一网打尽“挖矿”行为

针对以上“挖矿”检测方案的不足,盛邦安全推出了“挖矿”活动主控端检测方案,可对近百种“挖矿”病毒进行互联网端的主动检测。该方案基于盛邦安全网络空间资产探测系统(RaySpace),采用大数据分析技术,汇聚5种核心矿池识别技术,以主动探测+情报+沙箱相结合的方式,铸就“挖矿”检测的全科状元,实现对“挖矿”资产的全面检测和精准识别,一网打尽“挖矿”行为。

image003(03-18-13-43-31)

“挖矿”活动主控端检测原理图

把“挖矿”行为、“挖矿”木马研究透,是盛邦安全一网打尽“挖矿”行为的底气所在。该检测方案通过分析矿机和矿池的交互行为、过程,进行网络空间资产探测,分析“挖矿”木马主控端,对“挖矿”木马进行通信协议识别、指纹识别、端口识别,在网络通信等层面让“挖矿”木马无处遁形。

此外,盛邦安全还基于IOC情报的识别技术,通过互联网情报收集、联盟情报共享、蜜罐抓取等方式形成自有的大数据威胁情报系统。该系统将“挖矿”木马相关信息与PDNS、WHOIS等数据进行关联拓展后形成注册人信息-注册域名-子域名-IP-端口-服务等信息关键链条,通过内部关联匹配,对探测到的内容进行自动标签,并通过平台进行可视化展示。

不仅如此,盛邦安全还采用逆向分析识别技术,对空间探测结果进行分析,获取可执行应用程序;通过静态文件的恶意行为检测及动态沙箱检测技术,对应用程序进行“挖矿”木马分析,让新出现或还没有进入威胁情报库的恶意木马和病毒乖乖现出原形。

精准识别、轻量无感,为“挖矿”治理工作提供“新思路”

目前,盛邦安全指纹库数量已达到14万+,“挖矿”指纹数量超过100+,且仍在不断完善增加中,成为对“挖矿”资产精准发现与识别的牢固根基。同时,依靠TCP SYN Scan高性能端口扫描技术和DPDK高性能数据包处理技术,盛邦安全可做到24小时内即可完成全网存活探测。

轻量级的主动探测数据包及多种探测方式,结合防护绕过方案,可有效降低对结果准确性的影响。同时,探测过程也不会在目标主机上产生任何会话记录,对用户的使用来说是“无感”的。近期,盛邦安全还将陆续推出矿池检测、矿机检测等技术方案,助力各企事业单位用户高效整治“挖矿”活动。

最新文章 第十二版《网络安全企业100强》发布 开源推荐算法为什么并不“可靠”? 虹膜写真风靡年轻人:小心泄露敏感个人信息 国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首? Apache Struts文件上传漏洞 (CVE-2024-53677) 安全风险通告 工信部:关于防范新型勒索病毒Ymir的风险提示 美国报告揭示俄罗斯战略信息攻击:从攻击方法到战略效果 最危险的网络攻击:云勒索软件 个人信息保护合规审计:个人信息删除落地与审计 Forrester:Akamai创新微分段技术引领企业安全升级,实现 152%高ROI Fortinet发布《2025年网络威胁趋势预测报告》 揭秘四大威胁挑战 榜上有名!360入选2024年天津市网络安全应用场景优秀案例 只需一个暗号,即可戳穿语音克隆骗局 写在IDCC2024数字基础设施国际合作大会之前 IETF的运行方式及RFC的形成 《AI时代深度伪造和合成媒体的安全威胁与对策(2024版)》报告发布 UnitedHealth勒索软件攻击事件应吸取的六个备份教训 网络安全产品奥斯卡 2024年度赛可达优秀产品奖(SKD AWARDS) “危“”机“并存,五位网络安全大咖预警2025年安全态势 赋能智算未来,CDCE2024国际数据中心展12月5日上海璀璨开幕 俄罗斯黑客组织渗透和利用巴基斯坦黑客组织服务器案揭秘 国家安全部:警惕开源信息成为泄密源头 “清朗·网络平台算法典型问题治理”专项行动中的排名算法 游戏玩家请注意!Winos4.0木马已“潜伏” 2024 DAMS中国数据智能管理峰会即将在上海举办 WAF气数已尽? 网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞 数字城市AI安全运营中心签约揭牌,360赋能长三角城市安全新篇章 勒索软件忙招人,2024年网络威胁五大新趋势 360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞 值得关注的十二大网络安全风险评估工具及选型指南 俄黑客通过“近邻攻击”远程入侵美国企业WiFi网络 四校签约、六家授牌!360与河南高校再摘网络安全人才培育新果实 Apple多个在野高危漏洞在野利用通告 苹果官方警告:零日漏洞攻击瞄准Mac电脑用户 《密码法》颁布五周年:法治成效、实施难点与未来走向 27天!揭秘身份管理中凭证修复为何如此艰难? 微软“清理门户”,禁止杀毒软件访问Windows内核 云原生环境下的七大网络安全威胁及应对建议 ​透析恶意软件“四大家族”
在线客服
联系方式

热线电话

18556842815

上班时间

周一到周五

公司电话

027-85365976

二维码
线