首页 > 安全 > 正文

“挖矿”整治力度再度升级 奇安信:多行业深受“挖矿”危害

2021-11-22 10:51:07   来源:IT运维网>

随着国家发改委开展一系列专项治理工作,虚拟货币“挖矿”进入强监管时代。在11月16日国家发改委举行的例行发布会上,国家发改委新闻发言人孟玮表示,将持续做好虚拟货币“挖矿”全链条治理工作,以高压态势持续整治虚拟货币“挖矿”活动。这是继国家发展改革委等部门联合印发《关于整治虚拟货币“挖矿”活动的通知》后,整治虚拟货币“挖矿”的又一有力举措。

从奇安信集团近年来收到的应急响应事件来看,很多企业被发现感染挖矿木马,这些挖矿木马不仅严重占用相关企业计算机、网络和电力等宝贵生产资源 , 而且严重危害企业运营和生产安全。根据奇安信发布的《网络安全应急响应典型案例集(2021)》显示,2021年上半年,奇安信安服团队共参与和处置了590起网络安全应急响应事件,其中挖矿木马占所有恶意程序类型的18.8%,仅次于勒索病毒位居第二位。毫无疑问,挖矿木马已经成为网络安全防护的主要挑战。


 
全国范围内重点整治虚拟货币“挖矿”
此前,《关于整治虚拟货币“挖矿”活动的通知》要求全面梳理排查虚拟货币“挖矿”项目,严禁新增项目投资建设;加快存量项目有序退出。11月10日,国家发改委在虚拟货币“挖矿”治理专题视频会议上,要求各省区切实负起属地责任,建制度、抓监测,对本地区虚拟货币“挖矿”活动进行清理整治,并严肃查处国有单位机房涉及的“挖矿”活动。

随后,在16日召开的国家发改委例行发布会上,国家发改委新闻发言人孟玮表示,下一步,国家发改委将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。从严查国有单位机房涉及的“挖矿”活动到全国范围内“挖矿”活动,发改委明确采取“零容忍”态度重点整治,治理范围和力度进一步扩大。

虚拟货币“挖矿”活动背后,一方面是庞大算力带来的高耗能、高碳排,对产业发展带来不利影响;另一方面,盲目无序的发展“挖矿”活动,将会扰乱我国正常金融秩序、催生违法犯罪活动,以及对网络安全带来严重的威胁,从而进一步威胁了社会稳定和国家安全。

一直以来,虚拟货币的流行发展为利用“挖矿”木马控制肉鸡的网络黑产状态,提供了犯罪土壤和发展时机。实际上,“挖矿”木马影响政企机构组织系统运行速度、占用计算机资源,极大可能中断业务正常运行。此外,“挖矿”木马通常会关闭防火墙、获取管理员权限、植入后门等,这意味着大家眼中的“良性病毒”随时可能会“病变”,窃取核心业务数据、发动勒索等其他网络攻击,其危害性不容小觑。

挖矿木马影响多行业  政府、制造、交通等深受其害
2021年8月,奇安信安服团队接到制造业某客户应急响应求助,公司服务器感染挖矿病毒,在恢复快照后依然出现重新感染的情况,客户希望对受害服务器进行排查,溯源入侵途径。

奇安信应急响应人员迅速抵达现场后进行排查,经过分析之后,确认服务器感染了AutoUpdate挖矿病毒,经过安全工程师的分析溯源,彻底解决了挖矿病毒肆虐。奇安信为客户提供防范建议,包括在服务器上部署安装杀毒软件,定期对服务器进行病毒查杀,使用态势感知类产品,防范漏洞利用,提高系统安全基线,防范黑客入侵等。

今年2月,安服应急响应团队接到交通运输行业某客户应急响应请求,客户现场大量主机感染病毒,并且与国外地址建立通讯。奇安信迅速到达客户现场,部署天眼威胁感知预警设备,配置镜像全网流量,对天眼告警及日志进行分析,确认客户外网区电教室的数十台台主机感染挖矿病毒,并外连境外矿池。经过病毒样本分析,确定感染新型WannaMine4.0变种。

“挖矿病毒特征变化快,很难通过一个产品实现有效的防护,需要基于纵深式防护体系构建多重防护机制,结合病毒特性,进行有针对性的多重检测保护。”奇安信安全专家表示。

 那么挖矿木马究竟是如何入侵组织的呢?基于长期对各类挖矿家族的跟踪与分析,奇安信威胁情报中心总结出了以下三个步骤:第一步,寻找初始攻击入口,包括利用1-day或N-day的漏洞,对公网上存在漏洞的主机和服务进行远程攻击,针对目标服务器和主机开放的Web服务和应用进行暴力破解等。

第二步主要是植入,执行和持久性。例如在奇安信安服团队某次政府客户应急响应过程中,攻击者利用已拿到的服务器权限,上传SystemdMiner挖矿木马程序,并配置计划任务,定时连接矿池域名,挖矿程序本身具有自动扫描与自传播功能,同时开展内网的横向感染。

第三步,竞争与对抗。攻击者在植入挖矿程序后,不仅仅会利用和安全设备进行对抗,甚至会和其他挖矿程序之间展开“火拼”,企图独占资源。

 面对咄咄逼人的挖矿木马,奇安信专家认为,大量的应急响应案例,挖矿木马的安全防护应当遵守以下四大原则。
首先是及时安装补丁或者更新相关应用到最新版本,或在未推出安全更新时采取恰当的缓解措施。

其次是对于在线系统和业务需要采用正确的安全配置策略,使用严格的认证和授权策略,并设置复杂的访问凭证。
再次是加强企业机构人员的安全意识,避免企业人员访问带有恶意挖矿程序的文件、网站,或者使用安全性未知的U盘等移动存储介质。

最后是采购相应的检测和防护方案。尽管感染挖矿木马后,主机一般会出现CPI、GPU或者网络资源占用异常升高,有经验的运维人员很容易通过卡顿、资源占用异常等进行手工排查,但一个体系化的检测和防护方案依然是首选。

贯穿“边-网-主机-终端”,体系化检测方案必不可少
为了更好的配合国家对“挖矿”的全面整治行动,近日,奇安信发布了《企业针对“挖矿”行为开展专项整治的建议与方案》(简称:应对“挖矿”专项方案),从“挖矿”病毒的监测、分析、处置、溯源的闭环处置等进行规划和设计,形成了非常有针对性的专项整治工具,主要包括天眼(新一代安全感知系统)、椒图(服务器安全管理系统)、天擎(终端安全管理系统),以及奇安信安全专家服务、安全访问服务(Q-SASE)等。


 
其中在监测和分析环节,主要通过部署天眼,提供威胁情报与威胁监测与分析能力。天眼包括传感器、文件威胁鉴定器(即沙箱系统)、分析平台三大产品设备组件,可提供挖矿病毒专项威胁情报检测、可疑挖矿病毒变种样本分析、未知挖矿病毒异常外联行为检测、挖矿病毒传播过程分析等功能服务。

在处置环节,通过部署椒图,针对操作系统内核、中间件、系统应用进行深层次入侵防护与加固,并结合资产清点、漏扫、风险发现、(挖矿)病毒查杀、基线检查等功能,对攻击行为进行分析、溯源、阻断等措施,进行服务器从内而外的立体防护;通过部署天擎,有效的对终端进行“挖矿”病毒的查杀与安全加固,提供防护能力,抵御外来的攻击。

同时,客户可以部署邮件威胁检测系统、DNS威胁检测系统等,从钓鱼/诈骗邮件检测、邮件账号被控、邮箱暴力破解检测,以及恶意域名检测、恶意域名阻断、DNS隐蔽通道、DGA域名检测等层面,提供高效的检测和处置方案。
该方案还提供了专家服务的快速处置。根据天眼、椒图、天擎发现的异常情况和告警,通过奇安信安全服务专家进行安全事件的分析、研判,快速采取相应措施进行“挖矿”病毒的应急处置。

除此之外,针对拥有大量分支机构的大型集团企业而言,奇安信还可提供互联网访问流量收口服务,应对复杂的挖矿木马排查工作。奇安信安全访问服务(Q-SASE)融合了安全运营、零信任、安全SD-WAN、云安全管理等优势能力,能够对互联网访问流量进行全面排查,同时联动各类安全设备对可疑挖矿程序进行精准告警、定位和溯源,形成处置方案和建议,在企业单位进行全面自查自纠以及整治后的自检过程中提供参考。



免责声明:本网站(www.365master.com)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。电话:010-88558043)

相关热词搜索:奇安信 挖矿木马

上一篇:Check Point: 物联网设备安全刻不容缓
下一篇:F5林耕:从多云到跨云,帮助企业更轻松地实现安全互联

扫码关注公众号

扫码订阅杂志

扫码下载2020年《混合多云行业应用调查报告》

扫码参与有奖调查