沐鸣APP如何检测和防止加密挖掘恶意软件 - 沐鸣新闻 - 沐鸣官网资讯 - 沐鸣网络电子科技有限公司 

全国统一热线:0755-29925678

沐鸣新闻

沐鸣平台资讯

行业动态

沐鸣相关新闻

沐鸣APP如何检测和防止加密挖掘恶意软件

浏览次数:775日期:2019-05-14小编:沐鸣

  欢迎访问沐鸣娱乐注册网址www.huayu21.com,黑客们正在转向使用加密采矿软件感染企业基础设施的加密攻击 - 以获得稳定,可靠,持续的收入流。结果,他们在隐藏恶意软件方面变得非常聪明。


  企业非常关注任何关键数据在勒索软件攻击中被窃取或加密的迹象。 Cryptojacking更隐蔽,公司很难发现。它造成的损害是真实的,但并不总是很明显。


  如果加密挖掘软件感染云基础设施或增加电费,则损害可能会立即产生财务影响。它还可以通过减慢机器来降低生产率和性能。


  “对于不专门用于加密挖掘的CPU,它可能对你的硬件有害,”Flashpoint的情报分析师Carles Lopez-Penalver说。 “他们可以燃烧或运行得更慢。”


  他补充说,Cryptojacking处于早期阶段。如果一家公司发现了一种类型的攻击,那么将有四到五个其他攻击。 “如果有可能阻止矿工加密的东西,那就像是训练有素的神经网络,”Lopez-Penalver说。


  这正是一些安全供应商正在做的事情 - 使用机器学习和其他人工智能(AI)技术来发现指示加密挖掘的行为,即使之前从未见过特定的攻击。


网络加密挖掘防御

  许多供应商正致力于检测网络级别的加密挖掘活动。 SecBI公司首席技术官Alex Vaystikh说:“现在检测[端点]是非常棘手的。它可以是从移动设备到物联网到笔记本电脑,台式机和服务器的任何东西。它既可以是有意的也可能是无意的。非常非常广泛。“


  Vaystikh说,所有加密劫持恶意软件都有一个共同点。 “为了挖掘任何加密货币,您必须能够进行通信,接收新的哈希值,然后在计算它们之后,将它们返回到服务器并将它们放入正确的钱包中。”这意味着检测加密挖掘的最佳方法是监视网络是否存在可疑活动。


  不幸的是,加密挖掘流量很难与其他类型的通信区分开来。实际的消息非常短,恶意软件编写者使用各种技术来混淆它们。 “为这样的事情写一条规则是非常困难的,”Vaystikh说。 “所以没有多少公司可以检测到它。几乎每个拥有5,000名员工的组织都拥有数据 - 唯一的问题是,他们非常非常难以查看他们拥有的大量数据。”


  SecBI的自主调查技术通过使用机器学习来查找通过企业网络传输的大量数据中的可疑模式来解决这个问题。 Vaystikh说,SecBI有数千个因素。例如,加密挖掘流量是周期性的,但恶意软件编写者将试图通过例如随机化间隔来伪装通信的常规性质。


  加密挖掘也有一个不寻常的消息长度。传入流量,哈希值很短。传出的结果略长。相比之下,对于正常的互联网流量,初始请求很短,响应很长。 “在比特币挖掘中,我实际上传的内容比我下载的多一点,”Vaystikh说。 “这是我们寻找的东西。”他说,该技术可以应用于亚马逊等公共云基础设施以及本地网络。


  即使流量被加密 - 现在是所有网络流量的60% - 通信的周期性,消息的长度和其他微妙的指标相结合,以帮助系统发现感染。实际上,当加密挖掘首次出现时,SecBI的平台在它甚至不知道它是什么之前就标记为可能是恶意的。 “现在,在我们的用户看到它之后,他们会说,'啊,这是加密的挖掘!'现在,软件也正确地对它进行了分类,“Vaystikh说。



  在过去几个月中,SecBI的系统已经学会了检测加密劫持,正确分类,甚至可以立即采取纠正措施。 “例如,您可以自动向防火墙发布新规则,以隔离该流量并阻止它,”Vaystikh说。

沐鸣APP如何检测和防止加密挖掘恶意软件

  他补充道,并非所有人都会选择自动化这种反应。例如,合法网站可能已被劫持。 “我们的技术能够推荐最佳解决方案 - 重新映像机器或阻止目的地 - 客户可以选择在特定情况下最佳的行动方案。”


  另一家正在分析网络流量以发现潜在加密采矿活动的安全厂商是Darktrace及其企业免疫系统技术。 “我们在网络层面进行了异常检测,可以捕获任何计算机上的细微偏差,”该公司网络情报和分析主管贾斯汀菲尔说。 “如果你的计算机习惯于做XYZ,它会突然开始做我们以前从未见过的事情,很容易发现。当它开始在数千台计算机上发生时,它更容易被发现。”


  它不仅仅是易受攻击的计算机。 “任何具有计算周期的东西都可以用于此,”Fier说。 “我们周围有很多东西,其IP地址连接到互联网,可以连接成一台超级计算机来开采加密货币。一个恒温器实际上不会产生任何东西,但当你把它放在一起时大矿池,其中有十万个,这足以让它产生影响。“


  另一个不会在隔离方面产生太大影响但可以增加一些资金的平台是基于浏览器的加密,如Coinhive。加密挖掘工具在JavaScript中运行,由受感染的网站加载,或者有时由网站所有者故意决定通过劫持访客的机器来筹集资金。


  “一台或两台计算机可能不是什么大问题,但如果你有数千台计算机,你就会开始影响公司的整体资源和带宽,”菲尔说。 “出于各种监管原因,某些公司甚至可能在法律上不允许开采加密货币。”


  防止基于浏览器的加密攻击的一种有保证的方法是关闭JavaScript。这是一个核选项,因为JavaScript在整个网络中用于合法目的。 Bad Packets报告的安全研究员Troy Mursch表示,防病毒软件还可以阻止一些基于浏览器的攻击,包括Malwarebytes,ESET,Avast,Kaspersky和Windows Defender。


  他们有局限性。 “反病毒公司和浏览器厂商尚未明确确定谁应该负责阻止糟糕的JavaScript,”他说。他补充说,网络级检测至关重要。


  “我没有看到任何带有端点检测密码劫持的AV产品 - 基于浏览器的加密挖掘 - 仅基于行为,”Mursch说。更有针对性的方法是安装浏览器扩展。他推荐minerBlock。


  WatchGuard Technologies的信息安全威胁分析师Marc Laliberte表示,另一个运行良好的扩展是NoCoin,它在阻止Coinhive及其克隆方面做得不错。 “但是有几起合法扩展案件被感染了加密货币恶意软件,”他警告说。


  与SecBI和Darktrace一样,WatchGuard为加密设备提供基于网络的防御策略。 “WatchGuard防火墙可以代理连接并检查流量,并查找加密货币矿工等恶意行为,”Laliberte说。 “在过去的一个月里,我们在美国十大攻击名单中有两名加密货币矿工”


  该公司寻找红旗,例如与已知的加密采矿池的连接,并使用沙盒技术。 “我们喜欢在将某些内容标记为坏或好之前先考虑多种行为,”Laliberte说。


  他补充道,这些指标越来越微妙。 “我们真的开始看到攻击者将时钟倒回到恶意软件没有像勒索软件一样公开的地方,”Laliberte说。 “持续的收入来源比勒索软件这样的一次性攻击更有价值。”他说,因此,攻击者不会让他们的恶意软件全面爆发。 “这变得可疑。你不仅可以关注资源利用率,还可以关注网络流量和其他潜在的妥协指标。”


智能端点加密挖掘防御

  另一种加密检测方法是保护端点。 Tripwire产品管理和战略副总裁Tim Erlin表示,攻击者可以通过使用加密和不太明显的通信渠道来规避基于网络的防御。 “检测加密货币挖掘的最有效方法是直接在端点上,”他说。 “这就是为什么能够有效监控系统变化并确定它们是否被授权至关重要的原因。”


  端点保护供应商CrowdStrike的服务总监Bryan York表示,端点保护技术必须足够智能,以捕获以前未知的威胁,而不仅仅是阻止已知的不良活动。他补充说,这不仅限于可执行的恶意软件。 “攻击者现在正在使用脚本语言,利用在您的计算机和系统上合法使用的软件,并以非法的方式使用它。”


  CrowdStrike既适用于员工桌面等传统终端设备,也适用于基于云的虚拟机。 “我们遇到过一些在云环境中安装加密挖掘软件的案例,例如AWS EC2实例,”他说。 “我们采取类似的方法来防止这些。还有一个独特的方面,那就是了解它是如何实现的。要理解这一点,你需要使用AWS提供的API日志数据。这使得这些调查有点更具挑战性,但更有趣。“


内幕人员加密威胁

  约克说,当合法用户故意安装加密挖掘软件时,检测它会更具挑战性。 “几周前我刚刚收到一个案子,与一名流氓内幕人员,一名心怀不满的员工进行调查,”约克说。 “他决定在整个环境中部署加密minng软件将成为他走出家门的一部分,并展示他对公司的蔑视。”


  特别困难的是,内部人员知道他的公司如何检测加密采矿并防止其扩散。 “他开始谷歌搜索我们并阅读已发表的一些文章,”约克说。 “我们在他的网络浏览器历史中找到了他们。他正在积极地试图颠覆我们。”


  公司策略可能不会明确禁止员工使用公司资源运行加密挖掘操作,但设置此类操作可能会对员工造成风险。 Ixia的应用和威胁情报研究中心高级主管Steve McGregory说:“该法案将会出现,你会被解雇。” “所以这可能是一个短命的计划,但如果你有能力控制日志,一个流氓员工可以在一段时间内做出相当不错的一分钱。”


  他补充说,教育机构尤其脆弱。 “许多来我们寻求帮助的人都是大学,”麦格雷戈里说。 “学生们只是将他们的ASIC [加密采矿]系统插入宿舍并开动电费账单。大学正在支付账单,因此确实需要付费。学生们并没有非法进入系统。”


  他补充说,员工也可以插入自己的设备,并且很难追查电费账单高峰的实际原因。 “他们可能会通过四处走走看看最温暖的地区找到它,”麦格雷戈里建议道。


  ForeScout新兴技术副总裁Robert McNutt表示,受信任的内部人员还可以在AWS,Azure或Google云上启动虚拟机,进行计算,然后在任何人注意到之前快速关闭它们。 “这是组织应该考虑的真正风险,因为它更难以发现,而且有些可能非常有利可图,从而使它变得更加普遍,”他说。


  他补充说,拥有被盗证书的外部攻击者也可以这样做。事实上,亚马逊现在提供带有GPU的EC2实例,这使得加密挖掘更加高效,McNutt说。这使得公司支付账单的成本更高。

关注沐鸣官网,获取更多最新行业资讯。


如果你对我们的服务感兴趣,可以给我们留言,我们会第一时间联系您。

扫描关注微信

Copyright © 2017 沐鸣网络科技有限公司 版权所有