在其鼎盛时期,加密货币挖矿是一场军备竞赛。 加密货币价格的飙升引发了“挖矿狂潮”,无数人花高价购买显卡、图形处理器(GPU)等挖矿设备,建造矿场和矿池,投入大量精力和财力挖掘加密货币。
图 1. 加密货币挖矿
然而,由于比特币等顶级加密货币的开采难度越来越大,加密货币挖矿淘金热很快就结束了,但挖矿加密货币仍然有利可图,源源不断的人不断涌入该行业,甚至催生了专门为挖矿设计的病毒硬币-挖矿木马。 那么,什么是挖矿? 挖矿木马是如何运作的? 你如何防御它? 本文将仔细研究这些问题。
文末可扫描二维码下载《如何避免成为黑客的“矿机”》视频讲解
什么是挖矿?
简单来说,“挖矿”是指在受害人不知情或未经许可的情况下,利用他人的设备在受害人的设备上秘密开采加密货币的行为。
以比特币挖矿为例。 在某个时间点,比特币系统会在节点上生成一个随机代码。 互联网上的所有计算机都可以搜索到此代码。 谁找到这个代码就会生成一个区块。 根据比特币发行的奖励机制,每个促成区块生成的节点都会获得相应的奖励。 谁能先算出并通知全网验证,谁就能挖到这个区块,并获得这个区块的奖励和打包费。 寻找代码获得奖励的过程就是挖矿。
要计算出满足条件的随机码,需要进行数万亿次哈希运算。 用于挖矿的电脑一般都有专业的挖矿芯片,大多通过烧显卡来工作,消耗大量电量。 因此,被挖矿病毒感染的计算机的资源会被很快消耗掉清除木马软件,CPU使用率甚至可以达到100%。 因此,有的黑客会采用侵入服务器等方式,让别人的电脑帮助自己挖矿。
如果您在上网时遇到以下情况,您的服务器很可能被植入挖矿木马,变成了为他人工作的“矿机”:
没有打开任何东西但CPU占用率很高;
l 运行速度慢,网络请求量大;
l 冷却风扇快速旋转。
挖矿木马如何运作?
加密货币挖矿恶意软件自 2011 年以来就已出现,但随着越来越多的人开始投资加密货币,其事件在 2017 年底急剧增加。 加密货币越有价值,黑客就越有动力去挖掘它,挖矿木马也就越多。
一般来说,挖矿木马可以通过三种方式嵌入到受害者的计算机中:
1. 网络钓鱼诈骗:用户通过点击网络钓鱼电子邮件中的链接,无意中将加密货币挖矿软件加载到计算机上。
2. 受感染的网站:攻击者将恶意代码或“脚本”注入到访问该网站的任何计算机上运行的网站中,以挖掘新的加密货币。
3.蠕虫:也有挖矿蠕虫的情况。 挖矿病毒可以将自身复制到其他计算机、设备或服务器上。 此类威胁相对更难检测和彻底消除。
一旦植入,挖矿木马就会在受害者计算机的后台运行,而毫无戒心的受害者则在设备上进行业务。 挖矿脚本解决复杂的数学问题后,将结果发送给黑客,黑客将挖矿结果放入加密货币钱包中,以达到获取收益的目的。
图 2. 挖矿活动的步骤
挖矿木马的危害
挖矿木马攻击是一种发生率较高、容易造成业务系统中断的威胁。 它们是最常见的网络攻击之一。 据海外科技媒体报道,挖矿木马攻击占所有安全事件的25%以上。 挖矿木马很受攻击者欢迎,因为被捕获的风险远低于勒索软件等其他形式的网络犯罪。 勒索软件需要受害者付费才能成功,而挖矿木马可以在受害者不知情的情况下消耗其计算机资源。
很多人认为感染挖矿木马没什么大不了的。 最多只会减慢系统速度,消耗系统资源,但不会产生破坏性的后果。 这是一起“良性攻击事件”。 这种观点严重低估了挖矿木马的危害。 挖矿木马的影响远不止于此。 受挖矿木马影响的人可能会面临以下困难:
1、消耗大量资源。 挖矿导致计算机系统速度急剧下降,电费飙升;
2.核心数据可能会丢失。 一旦黑客渗透到受害者的计算机,他们可能会跳转到网络的其他区域并窃取用户的核心数据或知识产权。
一些专家表示,流媒体和游戏网站通常是挖掘代码潜伏的热门场所。 调查数据显示,至少有 35,000 个网站潜伏着挖矿软件。
如何防范挖矿木马?
“挖矿”活动的泛滥,不仅意味着用户资源的消耗和安全风险,更严重的是,“挖矿”活动的盲目、无序发展,会扰乱正常的金融秩序,滋生违法犯罪活动,从而影响社会。稳定和国家安全。 因此,防御“挖矿”既是企业为了自身利益而采取的“自保措施”,也是满足合规要求的必然选择。
挖矿病毒防御可以从事前预防、事中响应、事后修复三个方面同时进行。
1、提前全面预防,最大限度减少挖矿木马的攻击面
无论是本地感染还是通过浏览器感染,事后都很难手动检测入侵。 同样,识别高 CPU 使用率的来源也很困难。 进程可能会隐藏自己或将自己伪装成合法文件来迷惑用户。 此外,受感染的主机在挖矿时运行速度会非常慢,这会使故障排除过程变得更加困难。
因此,与其他恶意软件防御措施一样,用户需要在被感染之前采取安全预防措施。 提前发现系统的漏洞并提醒系统管理者修复。 系统漏洞越少,被植入挖矿的概率就越低。
2、事件发生时快速响应,将挖矿木马的影响降到最低
从技术角度来看,挖矿木马本质上与大多数其他木马相同,例如DDoS木马、远程控制木马。 唯一的区别是黑客发起攻击的目的不同,所以防护思路基本相同。 遭遇挖矿攻击时,挖矿木马整体应急应对思路如下:
隔离主机->阻断异常网络通信->清除挖矿计划任务、启动项、公钥文件->杀掉挖矿进程。
l 及时隔离宿主。 一些具有蠕虫功能的挖矿木马获得本地机器的控制权后,会以本地机器为跳板,扫描并进一步利用同一局域网内其他主机上的已知漏洞。 因此,发现挖矿后应及时隔离感染主机。
l 阻断异常网络通信。 挖矿木马不仅连接矿池,还可能连接黑客的C2服务器,接收并执行C2指令,传递其他恶意木马,因此需要及时进行网络封堵。
l 清除定时任务、启动项、公钥文件。 大多数挖矿进程会向服务器写入计划任务、添加启动项或公钥文件,以保持程序常驻,保证系统重启后可以重新启动挖矿进程,或者无需登录就可以登录被感染机器。密码。 要彻底清除挖矿木马,必须将这些木马删除。
lkill 挖矿进程。 对于单进程挖矿程序,可以直接结束挖矿进程。 但对于大多数挖矿进程来说,如果挖矿进程带有守护进程,则应先杀死守护进程,然后再杀死挖矿进程,以免清除不彻底。
很多用户感觉挖矿木马总是很难清理。 他们已经杀死了进程并删除了木马文件,但不久之后CPU使用率又上升了。 根本原因是清洁不够彻底。 大多数用户只是杀掉挖矿进程和对应的文件,而没有清理定时任务和启动项。
图3 挖矿木马响应流程
3、事后追踪总结,修复强化系统薄弱环节
清除挖矿木马之后,还有一件更重要的事情要做。 无论何种类型的木马以何种方式进行攻击,用户都有必要找出为什么别人能够成功攻击本服务器。 你不可能在不知道原因的情况下受到攻击。 这就需要重点分析入侵附近时间段的登录日志和攻击者的入侵行为,查找系统漏洞,进行安全加固,防止挖矿木马下次再感染同样的方法。
防范挖矿木马的最佳实践
总体而言,挖矿木马正在迅速成为网络犯罪分子手中的新工具,初步迹象表明网络犯罪分子已经以几乎零成本的挖矿活动获利。 这意味着他们将继续大规模、高频率地使用这种方法。 相应地,用户将面临更加严峻的网络安全形势,但挖矿木马并不是一个无法解决的问题,用户可以预防和补救。
青腾万向主机自适应安全平台是预防、识别和处理挖矿木马的最佳实践平台。 包括三大产品设备组件:Agent、Engine分析引擎、Console控制台,可提供挖矿木马特殊威胁情报检测、可疑挖矿木马变种样本分析、未知挖矿病毒异常外部行为检测、挖矿病毒传播过程分析等功能性服务。
图4 青藤万向挖矿木马处置功能
青腾万向的风险发现功能,基于对用户资产的细粒度盘点,从安全补丁、漏洞扫描、弱口令检测、应用风险发现等角度,持续、全面、彻底地发现潜在风险和安全弱点。
病毒检测功能不仅支持客户根据自身发生的真实攻击情况配置病毒检测规则,还可以在检测到木马后通过青腾自研沙箱快速验证清除木马软件,生成自动化专杀工具,快速彻底清除木马完整的安全事件闭环处理; 安全日志功能可以完整重现黑客入侵行为,分析黑客如何进来、拿走什么、留下什么,为用户修复漏洞提供指导。
除了挖矿攻击之外,青腾还致力于研究并帮助客户了解各种网络安全威胁和解决方案,包括勒索软件和漏洞利用。 如果您公司的网站或 Web 应用程序受到这些恶意软件的影响,您可以拨打 400-188-9287 分机 400-188-9287。 1、或扫描下方二维码接收视频教程《如何避免成为黑客的“矿机”。您还可以通过青藤云安全官网获取更多网络安全报告()。点击“阅读原文”即可申请免费试用青腾主机安全产品~
扫描二维码下载《如何避免成为黑客的“矿机”》
