郑州市科技工业学校 虚拟货币挖矿防护治理手册

作者: 时间:2022-04-07 点击数:

郑州科技工业学校

虚拟货币挖矿防护治理手册




目录

一、 挖矿简介

1.1 挖矿定义、原理

1.2 挖矿危害

1.3 挖矿方式

1.4 挖矿重要阶段

二、 挖矿原因、防治重难点

2.1 高校常见的挖矿原因

2.2 高校挖矿防治重难点

三、 如何做挖矿监测?

3.1 挖矿事件基本排查方法

3.2 挖矿事件实时监测

四、 如何做挖矿处置?

4.1 挖矿IP及域名验证

4.2 挖矿IP及域名封堵

4.3 挖矿终端处置

五、 如何做挖矿溯源?

5.1 选择合适的挖矿记录方式

5.2 结合统一身份认证,追溯到个人

六、 用户端如何做好挖矿防护?

6.1 学校端日常防范措施

6.2 个人端日常防范措施

七、 其他问题

八、 简易排查步骤

8.1态势感知检查

8.2防火墙临时封堵

8.3挖矿从根处置










一、挖矿简介

1.1 挖矿定义、原理

虚拟货币“挖矿”是对加密货币(比如比特币)开采的一个俗称,是利用计算机的设备资源(如算力、带宽、硬盘存储等)去解决复杂数学运算的一个过程。开采比特币就像是求解一道数学题,最先得到答案,就获得相应的奖励,所以整个求解并验证的过程就叫做挖矿。

为了确保尽可能快地计算出问题答案,从而获取虚拟货币奖励,参与“挖矿”的“矿工”们需要投入尽可能多的算力资源,因此获取控制尽可能多的“矿机”成为增加“挖矿”收益的一个主要手段。

挖矿主要有三种方式:第一使用专业的矿机,第二使用高速显卡挖矿,第三使用cpu挖矿。

1.2 挖矿危害

直接危害

1)主机长时间执行高性能计算,浪费网络带宽,CPU和内存占用较高,不能及时处理用户的正常请求或任务;

2)增加电力消耗,加快CPU、内存等硬件老化速度。

3)“挖矿”活动需要通过专用“矿机”计算,产生的能源消耗和碳排放量大,对产业发展、科技进步不具有积极的带动作用,会导致学校电力资源的大量耗费,还可能被增加惩罚性电价。

间接危害

1)黑客通过挖矿程序窃取机密信息,比如机密文件、关键资产的用户名和密码等,导致校园IT资产遭受更进一步的资产损失。

2)黑客控制主机作为“肉鸡”攻击互联网上的其他单位,违反网络安全法,遭致网信办、网安等监管单位的通报处罚。

3)黑客利用已经控制的机器,作为继续对业务系统区域渗透的跳板,产生更严重的网络安全攻击事件。

1.3 挖矿方式

常见“挖矿”的方式主要分为基于程序的“挖矿”方式和基于网站脚本的“挖矿”方式这两大类。

基于程序的“挖矿”方式是“挖矿”者通过上传“挖矿”木马程序,然后通过设置计划任务或者修改系统文件权限等方式,实现“挖矿”木马程序的持久化运行。

基于网站脚本的方式是通过JavaScript等编写的“挖矿”脚本在浏览器中执行,通过在网站中嵌入含有“挖矿”代码的脚本,当浏览器访问带有“挖矿”脚本的网站时,浏览器将解析并执行“挖矿”脚本(如Coinhive、JSEcoin等),在后台进行“挖矿”。这种方式比传统的基于程序的“挖矿”方式更加隐蔽,难以被发现。

1.4 挖矿重要阶段

初始攻击入口

1)远程代码执行漏洞:实施恶意挖矿攻击的黑客团伙通常会利用 1-day 或 N-day 的漏洞利用程序或成熟的商业漏洞利用包对公网上存在漏洞的主机和服务进行远程攻击利用并执行相关命令达到植入恶意挖矿程序的目的。

2)暴力破解:黑客团伙通常还会针对目标服务器和主机开放的 Web 服务和应用进行暴力破解获得权限外,例如暴力破解 Tomcat 服务器或 SQL Server 服务器,对 SSH、RDP 登录凭据的暴力猜解。

3)未正确配置导致未授权访问:由于部署在服务器上的应用服务和组件未正确配置, 导致存在未授权访问的漏洞。黑客团伙对相关服务端口进行批量扫描,通过注入执行脚本和命令实现进一步的下载植入恶意挖矿程序。

4)僵尸网络:攻击者通过各种途径传播僵尸程序感染互联网上的大量主机,而被感染的主机将通过一个控制信道接收攻击者的指令,组成一个僵尸网络。当前利用僵尸网络渠道分发挖矿木马是其主要传播手段之一,僵尸网络在分发挖矿木马的同时,还会下载自动更新模块、远程控制模块、持久化模块等,甚至会利用漏洞来进行传播,感染更多的主机,以此来不断扩大僵尸网络的规模。例如 DTL Miner(永恒之蓝下载器木马)、H2Miner、GuardMiner 等老牌僵尸网络,背后团伙不断更新其攻击方法,使其在出现后的数年里仍然保持很高的活跃度。

植入,执行和持久性

恶意挖矿攻击通常利用远程代码执行漏洞或未授权漏洞执行命令并下载释放后续的恶意挖矿脚本或木马程序。

恶意挖矿木马程序通常会使用常见的一些攻击技术进行植入,执行,持久化。例如使用 WMIC 执行命令植入,使用 UAC Bypass 相关技术,白利用,使用任务计划持久性执行或在 Linux 环境下利用 crontab 定时任务执行等。

竞争与对抗

恶意挖矿攻击会利用混淆,加密,加壳等手段对抗检测,除此以外为了保障目标主机用于自身挖矿的独占性,通常还会出现“黑吃黑”的行为。例如:

·  修改 host 文件,屏蔽其他恶意挖矿程序的域名访问

·  搜索并终止其他挖矿程序进程

·  通过 iptables 修改防火墙策略,甚至主动封堵某些攻击漏洞入口以避免其他的恶意挖矿攻击利用

二、挖矿原因、防治重难点

2.1 常见的挖矿原因

1)内部人员私自利用学校公共资源“挖矿”(主动挖矿)。

2)黑客通过漏洞利用、暴力破解口令等方式入侵主机,获得主机控制权使主机失陷,植入“挖矿”程序进行“挖矿”。(被动挖矿)

3)黑客利用部分校园网用户安全意识淡薄的特点传播病毒,比如钓鱼欺诈、恶意链接、伪装成普通文件等手段,让用户毫不知情的情况下进行“挖矿”。(被动挖矿)


2.2 挖矿防治重难点

挖矿病毒事前难防御

1)传播入口多

①挖矿病毒可利用智慧校园业务对外暴露端口、应用、系统中存在的危漏洞、弱口令和不合适的安全策略等问题进行入侵

②内部用户自身遭遇钓鱼邮件,恶意链接,访问网页挂马,下载捆绑病毒的注册机破解软件等也可能造成入侵

2传播技术隐蔽

①传输通道隐蔽,难以被发现,如DNS隐蔽隧道

②自动化慢速爆破,潜伏时间长,攻击频率低,难以被安全设备察觉

③病毒样本变种频繁,无法及时识别。

3)挖矿产业化发展

①挖矿软件包(挖矿软件即服务)代码质量高,安全攻击能力强

②从制作到分发到洗钱每个节点都能找到对应的服务

挖矿病毒事中难发现

①单一设备难发现:由于挖矿病毒的隐蔽性,往往需要多源数据共同分析才可以完成问题发现,而当前许多用户虽然买了很多安全设备,不会精细配置,安全策略没关联,也没有足够的能力自主分析安全设备日志。

②挖矿技术迭代快:挖矿病毒技术迭代快,传统安全设备依靠库表逻辑,难以防护新型的挖矿病毒,不全面有疏漏。

③监控时间不连续:许多挖矿病毒有意设计在凌晨夜深入静时才启动,白天运维人员上班时由于不影响业务,没有明显现象。

挖矿病毒事后难处置

①通报终端难反查:收到上级通报时,往往只有一个外网挖矿IP,由于高教行业挖矿往往经过了NAT,如果该IP是实训室或学生个人电脑,则难以反查溯源到人,及时像上级回复处理结果。

②主机感染难处置:失陷主机的挖矿进程隐藏性强,有些无法直接杀死,需要一定的系统、安全能力的技术人员才能完成处置。

③设备处置不及时:高校数据中心中存在较多非信息中心的托管设备,如各二级部门、院系托管在信息中心的业务系统。当这类设备出现挖矿问题时,往往需要由设备归属部门进行处置,信息中心无法把控处置进度,及时完成处置,小问题拖成大事件。

三、如何做挖矿监测?

3.1 挖矿事件基本排查方法

终端检测

监控资源利用率

通常挖矿木马非常消耗计算机资源,计算机被植入挖矿木马后, CPU 或 GPU的使用率明显高于正常使用时的数值或达到了 100%。
排查恶意软件及进程
 排查计算机中安装的可疑软件,查看任务管理器中的可疑进程。
网络连接状态
 netstat 命令查看计算机网络连接状态和对应进程,查看是否存在异常连接。
 ④自启动或计划任务
 查看自启动或定时任务列表,例如通过 crontab 查看当前的定时任务, 确认是否存在异常。
 ⑤配置文件
 查看主机配置文件, 例如 hosts 文件、 iptables 配置等是否异常。
 ⑥日志文件
 查看主机及应用日志。

校园网监测

关注安全设备告警信息
   及时查看安全设备告警信息,如果部署有防火墙或态势感知类产品,通常能够准确的告警主机回连挖矿木马相关的 IP 及域名,或者准确的给出挖矿木马家族标签。
   ②识别挖矿流量
   基于挖矿木马的流量特征、挖矿回连域名、挖矿回连 IP 等信息,通过流量分析,识别挖矿行为。

3.2 挖矿事件实时监测

多维度发现挖矿行为,包括但不限于边界流量、终端行为等,建立实时挖矿监测机制,全面发现校园网络边界和关键区域的安全威胁,深入业务应用监测,精准定位业务安全问题。

针对办公网存在的挖矿安全隐患

在互联网边界侧以旁路或串联的方式部署防火墙,结合防火墙本地库及云端威胁情报,以恶意URL和C&C IP地址对比的方式来监测失陷主机的非法外联行为。

对于无法识别潜在的挖矿外联行为

通过防火墙云端全流量威胁检测引擎,结合AI技术与规则的闭环迭代技术,检测出不可读的随机字符构成的域名,同时能检测出使用单词拼接方式仿造正常域名的恶意域名,快速识别异常外联流量,定位组织网络中的挖矿主机。

态势感知专项挖矿监测

学校可以通过镜像交换机流量到流量探针,并传输至态势感知平台进行分析,进行挖矿的专项检测。通过挖矿阶段、受害资产、受害资产攻击情况等维度,将挖矿影响展现出来,定位资产的受影响情况(包括不限于受影响的资产数量、类别、所处阶段、攻击程度等)。

对于加密挖矿的场景,通过UEBA算法模型,发现用户、机器和其他实体在学校网络上的异常和危险行为,并确定此行为是否具有安全隐患,从而定位网络中的挖矿行为,建立起简单有效监测运营机制。

此外,可以配合安全运营服务,安全专家进一步对检测到的异常外连行为进行多元分析,利用云端大数据、威胁狩猎等平台,更加精准定位挖矿主机,实现7*24小时挖矿行为持续监测。

四、如何做挖矿处置?

4.1 挖矿IP及域名验证

验证工具及要点

①验证挖矿主机常使用以下工具:

ü 威胁情报社区如微步在线(https://x.threatbook.cn

ü 搜索引擎如百度(https://www.baidu.com

ü wieresharktcpdump等抓包工具

②分析挖矿主机事件只需要记住几个要点即可:

ü 访问了可疑挖矿域名

ü 访问了可疑IP尤其是境外IP

ü 访问目标主机的时间存在可疑行为如非工作时间,访问时间间隔有一定规律性。

使用微步在线

①常见挖矿域名关键字,在分析之前,我们先学习几个挖矿相关的单词或简写:

ü mine 矿井;采矿

ü 相关词汇: minerminingpool

ü monero 门罗币

ü 引申词:xmrCryptoNight

以上词汇,是一些挖矿服务器域名常用的关键词。

②获取威胁情报

我们以某个挖矿主机为例,演示如何通过微步在线进行挖矿行为的分析与验证。在态势感知中【潜伏威胁感知】-【安全事件视角】-【事件详情】可以查看

点击威胁情报,跳转到微步在线首页。

在【威胁情报】这一栏目并无相关可疑信息,点击其它栏目如【端口与服务】、【反查域名】等,进行进一步确认。

在【端口与服务】这一栏,我们看到该IP开放了较多的端口并提供服务,而443端口的HTTP头部信息存在pool.minexmr.com相关信息,而这正是一个门罗币矿池域名!

继续【反查域名】这一栏,我们看到该chinamining.vipxmr.kiss58.org等可疑域名指向该IP,更进一步落实了这个IP的不可靠。

至此,我们使用微步在线可以基本确定139.99.120.50这个IP基本是矿池服务器IP

使用百度分析

在获取到了域名后,我们完全可以针对此域名在搜索引擎搜索一下相关信息。

简单对相关结果进行查看,就可知道,这个域名指向的是门罗币挖矿域名。打开minexmr.com网站,我们发现门罗币使用了如下端口进行挖矿,这与日志的端口也符合。

对日志进行分析

一般来讲,在非正常的时间访问可疑目标,是一种极度可疑的行为。在态势感知中安全事件的安全检测日志中,查询某个IP的访问记录,如我们可以看到在非工作时间,主机对境外IP有较多访问记录,此行为也极度可疑。我们可以和主机使用者确认之后,判断是人为还是挖矿程序行为。

对流量进行分析

当前的挖矿程序基本都是一键式配置然后运行。大致流程是输入矿池服务器地址和端口,跟上挖矿者的虚拟货币钱包,然后开始挖矿,比如下面这个软件。

我们针对挖矿时候的流量进行抓包,然后对关键信息进行抓包分析,可以看到挖矿程序进行登陆或认证。所以,从终端主机上抓包也是进行验证分析的一个可行方法。


结合以上种种验证方法,我们基本可以判断主机是否具有挖矿行为。根据经验,我们推荐以微步在线和搜索引擎为主,日志访问记录和流量分析为辅的手段进行综合判断挖矿行为。

4.2 挖矿IP及域名封堵

通过DPI阻断:通过流控设备上的流控管控规则,把“虚拟货币”的应用进行阻断

②通过矿池黑名单阻断:创建矿池域名群组,自定义挖矿域名,然后创建HTTP管控规则,对挖矿域名进行阻断,创建DNS管控规则,对挖矿域名的DNS递归解析进行阻断。

③通过防火墙进行阻断:配置僵尸网络防护策略以及IPS防护策略,策略动作开启拒绝 可以有效防护

④网络侧与端点联动阻断:网络可通过防火墙对恶意流量特征进行深度检测与防御,终端有丰富的威胁上下文信息,两者协同联动可充分定位泛化的恶意威胁,形成优势互补。当发生威胁时,可通过防火墙进行一键处置,联动终端安全软件将终端域风险迅速隔离,并在网络域自动生成联动封锁规则,快速定位挖矿病毒并设置联动阻断挖矿通信,全面封锁恶意威胁。

③通过态势感知平台与边界防火墙联动封堵:态势感知平台作为统一监控运维平台,汇报挖矿相关安全日志,采用UEBA、AI等关联分析,定位失陷源头,联动防火墙封锁挖矿通信。

4.3 挖矿终端处置

一旦在学校网络中发现挖矿病毒,建议在网络中部署终端杀毒软件,搭配挖矿处置专项安全服务,以“工具+服务”的方式实现全网挖矿病毒处置工作。

挖矿病毒的处置主要包括Linux系统与Windows系统的处置:

Linux系统挖矿病毒的处置

通过定时任务/服务的清除、特定文件的删除、文件中特定内容的删除、目录的删除、指定文件的恢复、病毒进程文件处置、病毒文件删除等处置动作,彻底清除用户网络中的挖矿病毒。

②Windows系统挖矿病毒的处置

通过进程内存处置、自启动目录文件删除、自启动配件文件的清除/修改,注册表项的清除/修改,计划任务删除、账号删除、WMI自启动删除、文件的删除和恢复等处置动作,彻底清除用户网络中的挖矿病毒。

在挖矿病毒处置过程中,安全专家通过对防火墙、态势感知平台、终端杀毒等设备安全日志和流量的关联分析,实现“边界-网络-终端”的整体联动,深度溯源找到挖矿入侵源头,清除病毒的同时完成安全加固。

五、如何做挖矿溯源?

5.1 选择合适的挖矿记录方式

通过MAC地址定位:由于大部分学校IP为DHCP模式,建议使用MAC地址作为挖矿记录方式。在防火墙上设置用户认证,以MAC上线,根据MAC地址去对应真实主机;在态势感知平台,将IP分配模式设置为动态分配,内网将DHCP的数据流量镜像给探针,实际上将每次分配IP与终端设备的MAC地址进行了关联,SIP平台获取动态IP,实际读取设备MAC地址,从而实现内网DHCP环境下终端定位溯源。


5.2 结合统一身份认证,追溯到个人

联动行为管理/网络控制/态势感知平台等设备,把网络认证和业务认证统一起来,做到一次认证即可访问互联网也能访问业务系统,供给上线用户信息给态势感知平台或终端安全管理平台,以实现实名制记录。IDTrust 做为身份源供给给SIP,将其态势感知平台联动,提供用户认证功能,实现全网统一身份管理、全网统一身份认证,以及实现应用授权联动。

此外,关联态势感知平台和上网行为管理,也能实现对用户的定位和溯源(如DHCP下精准定位IP)。

六、用户端如何做好挖矿防护?

6.1 学校端日常防范措施

①学校网络或系统管理员以及安全运维人员应该在其学校内部使用的相关系统,组件和服务出现公开的相关远程利用漏洞时,尽快更新其到最新版本,或在为推出安全更新时采取恰当的缓解措施。
   ②对于在线系统和业务需要采用正确的安全配置策略,使用严格的认证和授权策略,并设置复杂的访问凭证。

③加强学校人员的安全意识,避免校内师生人员访问带有恶意挖矿程序的文件、网站
制定相关安全条款,杜绝内部人员的主动挖矿行为。在学校内部加强虚拟货币挖矿治理宣传,明确挖矿的危害性及参与虚拟货币投资交易活动存在法律风险。

6.2 个人端日常防范措施

①Windows服务器挖矿木马防护建议:

ü 及时为系统打补丁。避免漏洞攻击;

ü 及时更新Web服务端、数据库等对外开放服务的应用到最新版本,避免漏洞攻击;

ü 使用强度高的Windows登录密码以及Web应用、数据库登录密码,防御弱口令爆破攻击;

ü 安装杀软软件或服务器安全软件防御挖矿木马攻击。

②PC挖矿木马防护建议:

ü 及时为系统打补丁。避免漏洞攻击;

ü 不打开来历不明的文档,以及带有图片、文件夹、文档、音视频等图标的文件;

ü 不浏览被安全软件提示为恶意的站点;

ü 不安装来历不明的软件、外挂等,不打开被安全软件标记为恶意的文件;

ü 安装杀毒软件防御挖矿木马攻击。

七、其他问题

如何实现学生上网流量的挖矿安全防护?

出口新增/更换防火墙:出口增设有挖矿行为、流量检测能力的防火墙,配置僵尸网络防护策略以及IPS防护策略,策略动作开启拒绝,可以有效阻断内部主机与外界的挖矿流量。

采取引流措施:在出口无法新增或更换防火墙的前提下,建议引流至内网防火墙,从核心交换机设计引流,将上网流量引到防火墙,相当于防火墙作为过滤,此方案对网络的影响和用户端感知较小;次选方案为引流到内网DNS服务器,由于其对内网DNS服务器有较大影响,可能影响用户域名解析的速度。

ipv6地址挖矿如何防护?

需要在防护墙支持ipv6地址挖矿流量、行为防护,开启ipv6和Ipv4双栈并配置相应策略即可。

八、简易排查步骤

8.1态势感知检查

查看态势感知平台挖矿筛选标签,筛选出存在挖矿可疑的IP地址,并登记记录下来

②查看态势感知挖矿出去挖矿的域名并记录下来


8.2防火墙临时封堵

①从态势感知上记录的IP地址封堵掉,禁止从出口的安全设备上禁止上网。

②从态势感知上筛选出校内挖矿出去的域名,临时在出口防火墙上禁止访问



8.3挖矿从根处置

①查找到的终端或者服务器安装专业版杀毒软件或者深信服EDR全盘扫描并处理

②关闭本机的运维端口如3389或则22,更换操作系统的密码,关闭电脑SMB共享功能

③加强本机的安全漏洞补丁更新以及服务器的软件版本漏洞补丁升级

④终端必须安装杀毒软件,避免下载恶意软件,U盘病毒传播



















郑州市科技工业学校

202246


Copyright © 2006-2008信息实训处. Cn All Rights Reserved