时间:2022-12-10 19:25:01
为有效防范和化解虚拟货币开采活动盲目无序发展带来的风险隐患,支持实现二氧化碳排放高峰、碳中和目标,国家发改委近日举行新闻发布会,重点部署虚拟货币开采全链条管理工作。 连日来,各省级、市级、区县级政府及相关行业纷纷作出回应,通报多家单位,要求相关单位和行业对开采行为进行清理整顿。
01
纠正高压下,仍有恶意黑客作案
随着国家对虚拟货币的管制越来越严格,打击这种开采活动也将成为近期整治的重点。
开采行为不仅导致组织电脑卡顿、CPU满负荷,运输成本高昂,而且开采的主机中植入病毒,导致组织重要数据泄露,黑客利用已经被控制的机器,渗透到内部网和
小偷首先抓住了王,今年7月,安全团队成功捕获了主要开采病毒样本,对此深表信服,并揭露了其工作原理。 详情请点击《支持双系统挖矿,警惕新型AutoUpdate挖矿病毒入侵》
自动更新开采病毒的工作原理
1、通过网络钓鱼邮件、恶意网站、软件包下载等方式提示用户点击恶意脚本程序。
2、当用户单击恶意脚本loader.sh启动时,该脚本会清除安全软件并下载启动程序( kworker )。
3、Kworker程序检查并更新各功能组件,启动采掘程序dbus、攻击程序autoUpdate、隐藏脚本hideproc.sh、攻击脚本sshkey.sh。
4、autoUpdate程序针对某个网段中的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等组件、服务或协议漏洞
5 .用hideproc.sh脚本隐藏进程,使其不被用户发现。
6 .尝试使用sshkey.sh脚本从bash_history、etc/hosts、ssh/kownhost以及进程的现有连接中提取终端所连接的终端,如果连接成功,则脚本加载
7、采掘程序dbus在受害者设备上安静运行挖掘加密货币,同时将中毒设备接入矿池,为诈骗者获取非法“免费”计算能力,诈骗者直接将“免费计算力”挣来的加密货币放入自己的钱包。
即使施加压力,恶意黑客也在犯罪。 最近,安全团队在对某高校进行检查的过程中,通过安全态势感知设备的警告日志,深刻认同了内部网内准确检测到30台主机访问采掘恶意域名的情况。 最终在终端检测响应平台EDR应急响应专家的细致调查下,成功定位黑客,赃款均已到手。
02
快速反应,轻型部署,全面包围开采病毒
当前形势下,全面围剿开采病毒已不可避免,但如何快速检测和处置已成为各组织燃眉之急。
根据长期对采掘病毒的深入研究和多种案例实践,深入了解并推出“快响应、轻配置”的采掘病毒专项检测处置,为用户提供两种高效的采掘行为检测方法,通过“工具服务”的方式实现精准处置
如何有效检测开采行为?
结合新一代防火墙AF和AI规则库,快速识别风险
(1)办公网络或生产网络存在的开采安全隐患
在互联网边界一侧旁路或串联部署新一代防火墙AF,通过AF本地拥有的130万僵尸网络特征库,深入认同云端威胁信息,通过比较恶意URL和CC IP地址
)2)无法识别潜在开采行为的
深入信服新一代防火墙AF云NTA检测引擎,结合AI技术和规则的闭环迭代技术,不仅使用由不可读随机字符构成的域名,而且使用单词拼接方式模仿正常域名的恶意域名
安全感知管理平台SIP集成采掘专业检测模块
您还可以镜像交换机通信,使其成为令人信服的通信探测器,并将其转发到SIP平台进行分析。
可信安全感知管理平台SIP内置“采掘专项检查”模块,通过“采掘阶段图”、“受损资产”、“受损资产攻击数Top5”三个维度展示采掘的影响,用户可以明确识别资产的影响。
对开采场景进行加密,通过UEBA算法模型发现用户、机器和其他实体在用户网络中的异常和危险行为,判断该行为是否存在安全隐患,识别网络中的开采行为,实现用户简单高效的
它还可以连接到深度接受AF和SIP的安全运营中心,安全专家对检测到的异常外联行为进行进一步多元分析,利用云大数据分析平台和威胁狩猎平台,在准确定位开采主机的同时,为用户提供
检测到采掘行为后,如何正确进行闭环处理?
终端检测响应平台EDR开采处置专业安全服务
一旦在用户网络中发现采掘病毒,深以为然地建议用户在网络中引入终端检测应答平台EDR,结合深为信服的采掘处理专业安全服务,通过“工具服务”的方式实现全网采掘威
开采病毒的处理主要包括Linux系统和Windows系统的处理。
(1) Linux系统采掘病毒的处理
通过计划任务/服务删除、特定文件删除、文件中特定内容删除、目录删除、指定文件恢复、病毒进程文件处置、病毒文件删除等处置操作,将用户网络中的开采病毒
)2) Windows系统开采病毒的处理
通过进程内存处置、自动启动目录文件删除、自动启动附件文件删除/修改、注册表项删除/修改、计划任务删除、帐户删除、WMI自动启动删除、文件删除和恢复等处置操作,使用户
在采掘病毒的处理过程中,安全专家通过对AF、SIP、EDR安全日志和流量的关联分析,实现用户“边界-网络-终端”的整体联动,深入跟踪找到采掘入侵源,将病毒
03
“检查-处置-预防”,构建立体化防护解决方案
值得注意的是,检测和处置是应对采掘病毒的紧急手段。 面对越来越严峻的采掘病毒威胁,深表认同并提出建议,用户应从预防思路出发,建设立体化的采掘病毒防护解决方案,从源头上阻止采掘病毒进入组织内部。
对于采掘病毒的防治,我们深以为然地建议从边界侧、网络侧、终端侧三个方面建设立体化的防护体系。
在互联网边界端配置深度认可的AF,将核心交换机流量镜像到深度认可的SIP,同时安装深度认可的EDR在终端端快速响应处置,结合深度认可的采掘专业安全服务,“检测-处置-处置”
1 .变被动为主动,从源头上避免损失
有效检测和识别开采行为,避免开采病毒和程序的长期潜伏;
2 .网方配合安全,精准闭环处理
感染宿主,快速处理深度追踪,防止同类开采病毒复发;
3. 7*24小监控报警,贴心保障
加强安全防护措施,提供7*24小监测预警机制,有效预防采掘病毒入侵。
