sip|全面围剿挖矿病毒,深信服解决您快速检测、轻量部署的燃眉之急
为有效防范及处置虚拟货币挖矿活动盲目无序发展带来的风险隐患,助力实现碳达峰、碳中和目标,近日,国家发改委举行新闻发布会,重点提及虚拟货币挖矿的全链条治理工作。这几天,各省级、市级、区县级政府和相关行业纷纷响应,通报了多家单位,要求相关单位及行业针对挖矿行为进行清理整顿。
文章插图
01
整治高压下,仍有恶意黑客顶风作案
国家对虚拟货币的管控愈发严格,打击此类挖矿活动也将成为近期整治的重点。
挖矿行为不仅仅会导致组织的电脑卡顿、CPU飚满、运维成本暴涨,一些挖矿的主机还可能会被植入病毒,导致组织重要数据泄露,或者黑客利用已经控制的机器,作为继续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事件等。
擒贼先擒王,早在今年7月,深信服安全团队已经成功捕获到一款主流的挖矿病毒样本,并对其工作原理进行了揭秘。详细内容可点击查看:《支持双系统挖矿,警惕新型AutoUpdate挖矿病毒入侵》
【 sip|全面围剿挖矿病毒,深信服解决您快速检测、轻量部署的燃眉之急】
文章插图
AutoUpdate挖矿病毒工作原理
1、通过钓鱼邮件、恶意站点、软件捆绑下载等方式诱导用户点击其恶意脚本程序。
2、在用户点击启动恶意脚本loader.sh后,该脚本将清除安全软件,下载启动程序(kworker)。
3、Kworker程序检查并更新各功能组件,以及启动挖矿程序dbus、攻击程序autoUpdate、隐藏脚本hideproc.sh、攻击脚本sshkey.sh。
4、autoUpdate程序扫描并攻击所在网段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等组件、服务或协议漏洞,以及国内用户常用的泛微OA、致远OA、通达OA、phpcms、discuz等服务,并利用相关漏洞写入计划任务并执行。
5、通过hideproc.sh脚本隐藏进程,防止被用户发现。
6、通过sshkey.sh脚本尝试从bash_history、etc/hosts、ssh/kownhost及进程已有连接中提取该终端连接过的终端,如果可以成功连接则下载并启动脚本loader.sh,达到传播目的。
7、挖矿程序dbus在受害者的设备上悄悄运行以便挖掘加密货币,同时将中毒设备上连接到一个矿池,为欺诈者获取未经授权的“免费”计算能力,欺诈者直接将“免费算力”挣来的加密货币放入自己的钱包。
即便在整治高压下,仍有恶意黑客顶风作案。近期,深信服安全团队在为某高校进行检测排查过程中,通过安全态势感知设备上的告警日志,精准检测到内网存在30台主机访问挖矿恶意域名的情况。最终在终端检测响应平台EDR应急响应专家的缜密排查下,成功定位到黑客,人赃俱获。
02
快速响应、轻量部署,全面围剿挖矿病毒
当前形势下,全面围剿挖矿病毒势不可挡,但如何快速检测处置成为各组织的燃眉之急。
基于长期对挖矿病毒的深入研究与多个案例实践,深信服推出『快速响应、轻量部署』的挖矿病毒专项检测处置,为用户提供两种有效检测挖矿行为的方式,并以“工具+服务”的方式实现精准处置。
如何有效检测挖矿行为?
下一代防火墙AF结合AI+规则库快速识别隐患
(1) 针对办公网或者生产网中存在的挖矿安全隐患
在互联网边界侧以旁路或串联的方式部署深信服下一代防火墙AF,通过AF本地具备的130万僵尸网络特征库,结合深信服云端威胁情报,以恶意URL和C&C IP地址对比的方式来监测失陷主机的非法外联行为。
(2)对于无法识别潜在的挖矿外联行为
- 摩卡DHT-PHEV开启预售,魏牌全面加速智能混动赛道|新车
- iqoo|用料够“狠”的全面旗舰!数字旗舰iQOO 9系列展现强大竞争力
- Python|2022年空调业三雄争霸, 战火在线上线下全面点燃
- 华为|国产科技巨头开始全面反击! 华为/小米双双上榜: 华为霸气拿下第一
- nas|2K全面屏+11代标压处理器,当realme涉足笔电会擦出怎样的火花?
- vivo NEX|vivo NEX 5或放弃真全面屏,使用超大尺寸挖孔屏,主打影像系统
- AMD|最高可选锐龙9!MoreFine迷你PC上新:全面拥抱AMD
- 高通骁龙|iQOO Neo5S全面体验: 手游党不容错过的“驯龙”新品!
- 科技|国产科技巨头开始全面反击!华为/小米双双上榜:华为霸气拿下第一
- 上汽通用五菱|地平线与上汽通用五菱达成全面战略合作 合作车型今年上半年起陆续推出