一、背景
2021年9月,国家发展改革委、中央宣传部、中央网信办等11部委印发了《关于整治虚拟货币“挖矿”活动的通知》,明确了对于各种“挖矿”行为的整治措施,严禁以数据中心的名义开展虚拟货币“挖矿”活动。
1.1挖矿的危害
“挖矿”是通过计算机下载软件后运行特定的算法,然后与远程矿池地址通讯,计算生成虚拟货币。期间产生的通讯,产生的能源消耗和碳排放量大,对产业发展、科技进步不具有积极的带动作用,会导致学校电力资源的大量耗费,还可能被增加惩罚性电价。
长期处于“挖矿”的设备,因其设备资源如CPU、GPU、存储等长期处于高负荷运转状态,会加速其老化,减少其使用年限,带来严重的经济损失和安全威胁。
以“挖矿”产生的虚拟货币促使了网络黑产快速升级,变相滋生了各种网络犯罪,如勒索病毒往往都和虚拟货币关联在一起,时刻威胁着网络环境。
1.2挖矿木马的传播方式
利用漏洞传播
攻击者会通过批量对互联网机器进行漏洞扫描,发现主机上存在的高危漏洞,利用系统漏洞快速获取主机权限,并植入病毒木马等程序。
通过弱密码暴力破解传播
挖矿木马程序采用对弱口令的机器暴力破解的形式进行入侵,控制目标主机,并植入病毒木马等程序。
僵尸网络传播
远程控制大批量主机,并通过计划任务、WMI等方式对主机进行持久化攻击,被控制的主机可通过远端服务器进行病毒木马的自动更新。
无文件攻击方式传播
通过PowerShell中嵌入PE文件加载的形式,达到执行“无文件”形式挖矿攻击,可直接在 PowerShell.exe进程中运行。
网页挂马传播
通过在一些网页中内嵌 JavaScript 脚本,一旦访问此网页,脚本便自动运行,开始下载木马程序。
利用社交平台、邮件传播
攻击者将木马程序伪装成正规的软件、邮件、文件等形式,通过社交平台或邮件的形式发送至目标群体,诱使受害者点击激活木马程序。
内部人员行为不规范传播
木马程序可通过U盘、移动硬盘等外置存储设备传播,人员随意拷贝文件等行为也将导致木马程序在网内传播。
1.3当前现状
网络管理中,面向互联网提供服务的网站系统、终端、服务器都面临着挖矿程序侵扰的风险,风险来源如下:
1)不法分子利用网站漏洞修补不及时,通过非法入侵手段植入挖矿程序,占用服务器资源攫取利益;
2)不法分子利用网站挂马、恶意程序伪装等诱骗受害者访问和下载含有挖矿程序的文件,这类威胁往往具备蠕虫特征,侵染大量计算机终端;
3)部分内部人员违规操作,利用高性能计算机、服务器非法挖矿;
4)由于挖矿程序属于复合型病毒,往往存在着其他后门,给安全管理造成极大风险。
因此,信息中心管理者需要利用安全技术和行政管理手段,严格消除挖矿程序造成的安全风险。
二、需求分析
挖矿程序主要利用主机的运算力进行挖矿,当挖矿程序运行时明显特征是CPU的使用率非常高,且长时间维持在90%以上,造成机器响应速度慢、卡顿、机器过热、自动重启等现象,并伴随大量对外的网络连接记录。
因此,应通过技术手段监测主机系统负载运行状态,及造成负载升高的相关进程,进而关联分析其外联网络行为,从而定位和处置挖矿程序。
除此之外,还应通过行政手段加强人员安全意识宣贯,消除人员引入挖矿程序的潜在风险。
2.1发现和排查
由于挖矿程序在运行时会占用大量的系统资源和网络资源,通过查看主机CPU和内存的占用率可大致判断是否被感染挖矿病毒,查看主机对外的网络连接信息,根据目的IP或域名结合威胁情报数据可判断是否感染挖矿病毒。
当主机出现发热、异常变慢、卡顿、网络慢等现象可通过以下方式排查:
1)Linux系统发现和排查方法:
通过系统命令top查看CPU的使用率,找到CPU占用率最高的进程,若CPU占用最高的进程与业务运行无关,且长时间占用率高,可以预估感染挖矿病毒;
通过使用系统命令netstat -antp 查看主机的网络连接状态和对应进程,发现主机存在非法外联的目的域名,经过威胁情报数据查询结果,若显示矿池或僵尸网络等结果时可判断被感染挖矿病毒。
2)Windows系统发现和排查方法:
通过打开任务管理器,查看进程列,找到CPU占用率最高的进行,判断是否为业务或系统运行关键进程,非关键可尝试结束进程并观察一段时间,自动运行且占用高可判断有可能感染挖矿病毒。
通过查看主机网络现象分析,利用抓包工具Wireshark查看网络连接和数据包进行判断,数据包中查看到的目的端域名或IP可通过威胁情报进行关联查询,若显示矿池或僵尸网络等结果时有可能被感染挖矿病毒。
因发现排查主要是主机的进程和网络连接,需登录到每一台主机上逐个排查,相对于机器数量比较多或影响严重的环境效率很低,由于挖矿具备网络传播特性,内网已被感染的情况下不容易被彻底清除。
2.2监测和处置
日常运维中,可通过具有流量审计和网络通信审计功能的设备进行常态化监测,识别出内网主机对外的非法连接或发起的端口探测等异常行为,发现异常后及时告警。识别方式主要为通过流量中分析出目的端回连挖矿木马相关的 IP 及域名信息,挖矿木马的一个特性是需要连接公网的矿池提供服务,所以及时是否与矿池有网络连接可作为判断感染挖矿木马的重要形式。从流量中需要监测到基于挖矿木马的流量特征、挖矿回连域名、挖矿回连 IP 等信息,通过流量分析,定位挖矿行为。
当发现某个主机或服务器有可能存在挖矿行为时,可结合设备告警日志、DNS日志等,并根据回连的矿池域名定位实际的挖矿主机。一旦发现主机或服务器存在上述现象,则极有可能已经感染了挖矿病毒。可以通过以下步骤来进行处置:
1)Linux系统:
排查主机上资源占用比较高的进程,并结合网络连接查看是否同时存在不正常的网络连接,若将进程强制结束任务后自动启动,可考虑存在守护进程或开机自启动等任务,可检查/var/spool/cron/root 和/etc/crontab 和/etc/rc.local等目录是否含有新增或未知文件。
由于攻击者入侵成功后会留下后门或免密钥登录,需对/root/.ssh/检查是否设置了免密钥登录,并查看ssh_config文件是否被改动。
2)Windows系统:
对恶意程序进行清除操作时,由于挖矿木马具有很强存活能力,不建议手工查杀,可使用杀毒软件对主机进行全盘扫描和查杀,无法清除的需要重新安装系统及应用。
在网络的出口处对恶意域名进行访问限制。
2.3安全培训
挖矿病毒的风险来源于外部非法攻击者和内部违规人员,因此应利用行政手段组织安全培训,培训内容应包含以下方面:
1)提升全体人员网络安全意识,养成良好的安全上网和办公习惯,规范移动设备载体的使用,控制校园网账号的安全使用,防止不法分子利用人员安全意识淡薄,将恶意程序植入计算机和服务器中;
2)加强虚拟货币违法违规的法律宣传,提示全体人员参与虚拟货币挖矿、投资和交易活动的安全风险,杜绝内部人员违规挖矿行为。
三、技术支撑建议
3.1挖矿行为监测体系架构
攻击者通过扫描互联网资产的漏洞,突破网络边界对服务器、终端发起入侵,在服务器上释放木马程序。被入侵的服务器经过网络边界与远程矿池地址通讯,计算生成虚拟货币。在此过程中,流量分析工具可实时监测攻击者入侵服务器时的恶意行为,若服务器与矿池有通讯行为也会被实时监测,流量分析工具通过威胁情报可确认服务器外联的地址是否为矿池的地址。
主机管理工具通过对服务器的关键进程、敏感目录、用户组、启动项、网络连接等维度进行分析,排查服务器的运行状态是否发生异常,判断服务器是否感染挖矿木马。
3.2专项说明
3.2.1排查挖矿主机
挖矿主机排查是一项长期而繁琐的事情,若没有有效的排查工具将会严重影响工作效率,造成大量工作时间被处理挖矿病毒而占用。推荐采用主机安全管理工具进行排查,该工具由管理端和Agent端两部分组成,管理端部署在一台服务器上,Agent端分别部署在所有业务主机上,部署完成后可通过资产清点和入侵检测的功能完成对挖矿行为的一键检测。
挖矿排查时可通过资产清点功能从管理端直接定位所有主机可疑的进程和组件,对外开放的端口清单,快速识别进程异常的主机的范围,一般来说,挖矿病毒主要表现为系统占用资源高,使用高权限执行文件,进程持续留存恶意文件,病毒开机自启等特性。所以分析挖矿病毒主要从主机上的可利用脆弱点分析病毒的入侵路径,可造成主机高资源占用点分析主机是否存在挖矿病毒。主机安全管理工具主要从进程、用户、启动项、可被利用的高危漏洞、弱口令、恶意文件6项进行统一检查,若发现进程中的单例进程、用户组中存在未知用户、启动项和计划任务中存在未知项目等问题,可初步判断存在挖矿木马。
结合入侵检测功能实现进行进一步分析,入侵检测主要通过恶意文件检测、主机命令审计、异常连接、暴力破解、本地提权等方面做实时检测,检测主机可能存在恶意文件的目录,针对/bin、/usr/bin、/sbin、/usr/sbin、/usr/local、/tmp、/home、/opt等目录进行恶意文件扫描,在病毒库中对文件md5查询,将风险样本下载至本地沙箱中运行分析,识别是否为危险程序。
3.2.2监测挖矿行为
由于挖矿的传播方式非常广,需要实时对挖矿行为进行监测。基于挖矿行为的网络外联特性,当木马病毒植入主机后,通常会接受攻击者的控制或者将主机信息和数据传回到攻击者控制的服务器中,在内部关键网络节点进行全流量审计工具,对流量中的动态域名、协议异常、心跳检测、非常见端口、规律域名统计、URL访问统计、流量异常进行监测,通过木马的流量通信特征识别已经失陷的主机和正在进行的控制行为,标记出攻击隶属的工具或组织,结合威胁情报中的黑IP、黑DNS、黑URL等信息,经过确认的和矿池相关的情报数据比对,可快速定位出网络中已感染挖矿的主机,以便进行处置。
3.2.3加固主机资产
为降低主机等资产感染挖矿病毒的风险,需要对主机进行安全加固操作:
安装具备实时监测能力的管理工具;
安装杀毒软件;
定期进行主机安全扫描;
及时更新系统补丁;
定期进行业务系统扫描,防止漏洞被利用;
定期更换操作系统及各个业务系统的口令;
3.2.4专项培训
专项培训主要通过以下内容进行:
网络安全法规培训
学习网络安全法,掌握基本法律法规,规范合法使用网络;
密码安全培训
防止口令被破解而导致感染病毒或中木马;
上网行为安全培训
防止通过网络服务感染病毒;防止通过网络泄露敏感信息。
文件传输安全培训
防止通过网络下载和存储介质拷贝等方式获取含有病毒的文件。
防钓鱼安全培训
识别常见钓鱼的方式,防止攻击者通过钓鱼入侵网络。
邮件安全培训
防止打开恶意邮件的附件造成的病毒木马入侵。
