2022-03-25
什么是挖矿病毒?
大家都知道比特币是用计算力(POW协议)来达成共识的。达成共识需要依靠节点计算力,当然,达成后也会有对应奖励。这里就促成了一种新的职业:矿工。他们通过利用手中的计算资源,来帮助交易达成共识,从而赚取奖励。所谓的挖矿病毒,也就是黑客偷偷利用漏洞盗取别人计算力来挖矿获得收益的病毒。
简而言之,挖矿病毒就是一段代码或一个软件,可在用户的个人电脑或智能手机上悄悄运行挖矿程序。攻击者可以利用不知情的受害者的计算机来挖掘加密货币。
挖矿病毒如何工作?
首先,挖矿病毒想要达到挖矿这一目的需要传播,感染受害者计算机。其传播途径与勒索病毒类似,通常通过未修复的N day漏洞、钓鱼邮件、捆绑软件、渗透攻击等途径对计算机进行感染。
随即,挖矿病毒便开始“工作”,其原理非常简单。感染计算机后,挖矿病毒会执行一个隐藏的挖矿程序,并将该计算机连接到一个矿池。这些操作会占用设备的处理器,为欺诈者获取未经授权的“免费”计算能力,欺诈者直接将“免费算力”挣来的加密货币放入自己的钱包。
挖矿病毒会大量消耗计算机资源,在生产环境中则会给性能带来巨大的负担,影响工作效率。
实际场景案例
某科技公司是从事精密激光仪器和测量仪器研发生产的龙头企业,2021年6月上线企业安全管理中心SaaS服务以来已多次帮助客户发现重大安全事件。部署方案如图所示:
今年1月份,客户公司网络突然发生大量门罗币挖矿行为告警。我们的云端运营专家第一时间向客户反映了该情况。
告警信息显示,感染挖矿病毒的主机为公司生产网络的生产管理系统,该系统一直在与境外矿池进行频繁地数据交互,对该系统的使用已经造成一定的影响。
安服专家登录设备后,发现该主机CPU几乎100%使用,挖矿病毒大量占用了计算资源,针对感染主机进行深度排查后发现该主机root用户目录下存在恶意计划任务。
这些计划任务目的是病毒感染持久化并保证更新,其中的字符串pw.pwndns.pw为已确认僵尸网络、挖矿木马的恶意域名。
这些计划任务目的是病毒感染持久化并保证更新,其中的字符串pw.pwndns.pw为已确认僵尸网络、挖矿木马的恶意域名。
中新赛克安服专家帮助客户及时禁用了挖矿进程,并找到挖矿程序的路径将其删除。进行根除操作后,生产管理系统的服务器主机已恢复正常。客户反馈近期明显感觉该系统使用时经常出现页面卡顿、无响应等情况,所幸及时排查处理,没有对正常生产造成影响。
安全建议
1.对服务器防火墙和网络防火墙策略进行最小化限制;
2.加强日常安全巡检制度,定期对系统配置、网络设备配合、安全日志以及安全策略落实情况进行检查,常态化信息安全工作;
3.定义信息系统补丁更新策略、防病毒更新策略等安全要求;
4.以企业安全管理中心为核心,开展持续性管理与运营。企业安全管理中心以网络流量深度解析为基础,结合失陷分析、网络攻击检测、威胁情报分析、异常流量行为挖掘等技术,对全网流量实时进行威胁感知、可疑流量分析,在遇到勒索病毒、挖矿病毒、网络攻击等高级威胁入侵时,及时察觉,及时止损。
地址:南京市江宁区正方中路888号中新赛克大楼
EMAIL: sales@sinovatio.com