如何檢測(cè)網(wǎng)絡(luò)中的惡意挖礦軟件?

aqniu
企業(yè)安全團(tuán)隊(duì)需要檢查系統(tǒng)性能。終端用戶可能會(huì)注意到CPU使用率過高、溫度變化或風(fēng)扇速度加快,這可能是業(yè)務(wù)應(yīng)用程序編碼不當(dāng)?shù)恼髡?,但也可能表明系統(tǒng)上存在隱藏的惡意軟件,企業(yè)可以設(shè)置安全基線以更好地發(fā)現(xiàn)系統(tǒng)中的異常。

隨著加密貨幣市值的一路飆升,惡意挖礦軟件正在全球肆虐,比員工上班摸魚更可怕的是,來自外部或內(nèi)部的挖礦軟件正在悄悄消耗著企業(yè)的IT資源,侵蝕企業(yè)利潤。當(dāng)不法分子通過Web服務(wù)器和瀏覽器劫持系統(tǒng)時(shí),就會(huì)發(fā)生加密劫持(挖礦)。惡意JavaScript通常被注入或植入Web服務(wù)器,當(dāng)用戶訪問網(wǎng)頁時(shí),瀏覽器就會(huì)被感染,將他們的計(jì)算機(jī)變成礦工。

2345截圖20211028093243.png

檢測(cè)惡意挖礦活動(dòng)的方法有如下幾種:

監(jiān)控網(wǎng)絡(luò)性能

首先,企業(yè)安全團(tuán)隊(duì)需要檢查系統(tǒng)性能。終端用戶可能會(huì)注意到CPU使用率過高、溫度變化或風(fēng)扇速度加快,這可能是業(yè)務(wù)應(yīng)用程序編碼不當(dāng)?shù)恼髡?,但也可能表明系統(tǒng)上存在隱藏的惡意軟件,企業(yè)可以設(shè)置安全基線以更好地發(fā)現(xiàn)系統(tǒng)中的異常。不過,僅僅依靠性能異常來識(shí)別系統(tǒng)是否受影響也并不是萬全之策。

最近的事件表明,攻擊者正在限制對(duì)系統(tǒng)CPU的需求以隱藏其影響。例如,近期微軟數(shù)字防御報(bào)告就指出越南威脅組織BISMUTH針對(duì)法國和越南的私營部門和政府機(jī)構(gòu),正在通過“融入”正常網(wǎng)絡(luò)活動(dòng)來避免檢測(cè)。因?yàn)榧用茇泿诺V工往往被安全系統(tǒng)視為優(yōu)先級(jí)較低的威脅,所以BISMUTH能夠在不被注意的情況下潛入系統(tǒng)。

查看未經(jīng)授權(quán)連接的日志

除了檢查表現(xiàn)異常的計(jì)算機(jī)之外,企業(yè)還應(yīng)查看防火墻和代理日志,了解它們正在建立的連接,以檢測(cè)隱蔽的惡意挖礦活動(dòng)。企業(yè)最好能準(zhǔn)確地獲知有權(quán)連接的位置和IP地址,如果此過程過于繁瑣,請(qǐng)至少查看防火墻日志并阻止已知的加密礦工服務(wù)器地址。近日Nextron的一篇博客文章分析了常見加密礦池,推薦查看防火墻或DNS服務(wù)器是否受到影響。

例如,查看是否有包含*xmr.**pool.com*pool.org和pool.*的日志,看看是否有人正在濫用企業(yè)網(wǎng)絡(luò)。如果企業(yè)有一個(gè)高度敏感的網(wǎng)絡(luò),可以設(shè)置白名單允許必要的IP地址訪問,不過,在云計(jì)算時(shí)代,這種方法很難實(shí)現(xiàn)。舉例說明,當(dāng)微軟為其Azure數(shù)據(jù)中心添加新范圍時(shí),微軟客戶就可能需要調(diào)整授權(quán)IP地址列表,這無疑給客戶增加了負(fù)擔(dān)。

使用瀏覽器擴(kuò)展組件,阻止惡意挖礦軟件

一些瀏覽器擴(kuò)展組件能夠監(jiān)控并阻止惡意挖礦軟件,例如NoCoin和MinerBlocker就能監(jiān)控可疑活動(dòng),并阻止攻擊,兩者都是適用于Chrome、Opera和Firefox的擴(kuò)展程序。企業(yè)還可以通過禁用瀏覽器JavaScript阻止惡意活動(dòng),因?yàn)閻阂釰avaScript應(yīng)用程序通過橫幅廣告和其他網(wǎng)站操作技術(shù)傳播。不過,在企業(yè)中禁用瀏覽器JavaScript需要提前確認(rèn)核實(shí),因?yàn)檫@么做可能會(huì)對(duì)網(wǎng)站業(yè)務(wù)功能產(chǎn)生不利影響。

啟用Edge瀏覽器的Super-Duper安全模式

微軟正在測(cè)試Edge瀏覽器的Super-Duper安全模式,通過在V8 JavaScript引擎中禁用即時(shí)JIT編譯來提高Edge的安全性。微軟表示,現(xiàn)代瀏覽器中的JavaScript漏洞是攻擊者最常用的載體。2019年CVE漏洞數(shù)據(jù)顯示,大約有45%的V8攻擊與JIT相關(guān)。不過,禁用JIT編譯確實(shí)會(huì)影響性能,Microsoft Browser Vulnerability Research進(jìn)行的測(cè)試證實(shí)了這一點(diǎn)。在Speedometer 2.0這樣的JavaScript基準(zhǔn)測(cè)試中,其性能下降幅度高達(dá)58%。盡管如此,微軟表示用戶不會(huì)在意這種性能下降,因?yàn)橛脩粼谌粘J褂弥泻苌贂?huì)注意到這種性能下降。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無評(píng)論