RSA 2018:如何检测和防止加密货币挖矿恶意软件
2018-06-11 来源:
2018 RSA大会 开幕了,这两天kand看到非常多的讨论 加密货币挖矿恶意软件 问题,黑客利用它感染企业基础架构来获得稳定、可靠、持续的收入,同时还有内部有意和无意的加密货币挖矿行为,攻击者在隐藏 恶意软件 方面变得非常聪明,这让网络加密货币挖矿的防御,面临各种反检测手段的挑战。前两天,在安全加的 RSA 2018创新沙盒冠军竞猜中,绿盟科技介绍了BluVector基于人工智能的高级威胁检测 ,今天我们来看看。
似乎加密货币挖矿行为只能寄希望于机器学习或人工智能
企业非常关注任何关键数据在 勒索软件 攻击中被盗或加密的迹象。Cryptojacking是隐身的,企业很难发现。它造成的损害是真实的,但并不总是显而易见的。如果 加密货币挖矿恶意软件 感染云基础设施或 加密电费账单 ,这种损害可能会立即产生财务影响,它也可能会减慢机器的生产力和性能。
Flashpoint的情报分析师Carles Lopez-Penalver说:
“对于不是专门用于加密挖掘的CPU,它可能对您的硬件不利,会让它们跑得更慢。Cryptojacking处于早期阶段。如果一家公司发现一种类型的攻击,那么会有四五个其他攻击者进入。一个训练有素的神经网络可能会阻止这些加密。”
这正是某些安全厂商正在做的 - 使用 机器学习 和其他 人工智能 (AI)技术来发现表明加密货币挖矿行为。
网络加密货币挖矿的防御 面临各种反检测手段的挑战
许多供应商正在检测网络级别的加密货币挖矿行为。SecBI有限公司的CTO亚历克斯Vaystikh说:
“检测[在终端]现在的问题是非常棘手的,加密货币挖矿影响了从移动设备到物联网、笔记本电脑、台式机和服务器任何东西。它可以是有意或无意的(小编,还可以是有文件或无文件类型的),非常广泛。“
Vaystikh说,所有加密的恶意软件都有一个共同点。
“为了挖掘任何加密货币,你必须能够沟通,接收新的哈希值,然后在计算它们之后,将它们返回给服务器并将它们放入正确的钱包中。”
这意味着检测加密货币挖矿行为的最佳方式,是监视网络是否存在可疑活动。不幸的是, 加密货币挖矿 流量很难与其他类型的通信区分开来。实际的消息非常短,恶意软件编写者使用各种技术来混淆它们。Vaystikh说:
“为这样的事情写出规则是非常困难的,因此,没有多少公司能够发现它,几乎所有5000人以上的企业都已经拥有这些数据,浏览他们拥有的大量数据是非常非常困难的。”
SecBI的自主调查技术已经学会检测密码劫持
SecBI的自主调查技术,通过使用 机器学习 在通过企业网络发现的大量海量数据中,查找可疑模式来解决此问题。Vaystikh说,SecBI看起来有几千个因素。例如,尽管恶意软件编写者会尝试用各种手段来掩饰通信的规律性质,通过随机化间隔,但加密挖掘流量是周期性的,
加密货币挖矿 也具有不寻常的消息长度。传入流量、散列是很短的。传出的结果会稍长。相比之下,与正常的互联网流量相比,最初的请求很短,响应时间很长。Vaystikh说在比特币挖掘中,实际上传的内容比下载的要多一点,这是我们期待的。这项技术可以应用于像亚马逊这样的公共云基础设施以及内部网络。
即使现在605的网络流量是加密的 ,通信的周期性、消息的长度和其他细微指标组合起来可以帮助系统发现感染。实际上,当加密货币挖矿首次出现时,SecBI的平台甚至可能在它知道它是什么之前就会将其标记为恶意的。现在,我们的用户看到它后,会说:
“这是 加密货币挖矿 ,现在的软件已经可以进行分类了。”
在过去的几个月中,SecBI的系统已经学会检测密码劫持,将其正确分类,甚至可以立即采取纠正措施。例如,您可以自动向防火墙发布新规则,以隔离流量并阻止它。但并非每个人都会选择自动化这种响应。如果一个合法的网站已被劫持,我们的技术有能力推荐最佳解决方案 -重新成像机器或阻止目标,并且客户可以在该特定情况下选择最佳的行动方案。
Darktrace企业免疫系统技术能够进行网络异常检测
另一家正在分析网络流量以发现潜在加密挖掘活动的安全厂商是Darktrace及其企业免疫系统技术。该公司网络智能和分析主管Justin Fier说:
“我们在网络层面进行异常检测,可以捕获任何计算机上的微妙偏差,如果你的电脑习惯于XYZ,并且突然开始做我们以前从未见过的事情,这种情况很容易发现。当它发生在成千上万台计算机上时就更容易了。”
这不仅仅是易受攻击的计算机。Fier说:
“任何计算周期都可以用于此。我们被连接到互联网的许多IP地址所包围,可以连接成一台超级计算机来挖掘加密货币。一个恒温器不会产生任何东西,但是当你将它们放在有数十万个的开发池中时,这足以产生影响。“
另一个并没有太大影响的平台,但可以增加一些严重的基于浏览器的密码,比如Coinhive的资金。加密挖掘工具以JavaScript运行,并由受感染的网站加载,或者有时由业主故意决定通过劫持访问者的机器来筹集资金的网站加载。一台或两台电脑可能不是什么大不了的事,但如果你有数千台电脑,你就开始影响公司的整体资源和带宽,由于各种监管原因,某些公司甚至可能不会被合法地开采加密货币。
预防基于浏览器的加密货币挖矿行为 可以有多种措施
防止基于浏览器的加密攻击的一个有效方法是关闭JavaScript。这是一个核选项,因为JavaScript被用于整个网络的合法目的。杀毒软件还可以阻止一些基于浏览器的攻击,Bad Packets Report的安全研究员Trope Mursch说,包括Malwarebytes、ESET、Avast、卡巴斯基和Windows Defender。它们有局限性,反病毒公司和浏览器供应商尚未明确确定谁应该负责阻止糟糕的JavaScript,网络级检测是至关重要的。
Mursch说:
“还没有看到任何AV产品的端点检测是基于单独行为的加密攻击 - 基于浏览器的加密挖掘。更有针对性的方法是安装浏览器扩展。他推荐minerBlock。
WatchGuard Technologies信息安全威胁分析师Marc Laliberte说:
“另一个可行的扩展是NoCoin,它在阻止Coinhive及其克隆方面做得不错,但是有几起合法扩展感染了Crytocurrency挖掘恶意软件的案例。”
像SecBI和Darktrace一样,WatchGuard为cryptojacking提供了基于网络的防御策略。Laliberte说:
“WatchGuard防火墙可以代理连接并检查流量,并寻找像cryptocurrency矿工这样的恶意行为,在过去的一个月中,我们在美国排名前十的攻击名单中有两名加密货币矿工。”
该公司寻找标志,例如与已知加密矿池的连接,并使用 沙盒技术 。Laliberte说:
“我们喜欢在将某些东西标为不好或不好之前查看多种行为。”
这些指标越来越微妙,我们真的开始看到攻击者将时间倒退到恶意软件不像发生勒索软件那样公开的地方。持续的收入来源比勒索软件等一次性完成的攻击更有价值。 因此,攻击者不会让他们的恶意软件变得完整。这变得令人怀疑,你不能仅仅关注资源利用率,而是考虑网络流量和其他潜在的折衷指标。
在终端上实施智能的加密货币挖矿检测 面临了合法软件及行为的欺骗
加密检测的另一种方法是保护端点。根据Tripwire产品管理和战略副总裁Tim Erlin的说法,攻击者可以通过使用加密技术和不太明显的通信渠道来逃避基于网络的防御。检测加密货币挖掘的最有效方法是直接在终端上进行检测。这就是为什么能够有效监控系统变化并确定它们是否被授权至关重要的原因。
端点保护厂商CrowdStrike的服务总监Bryan York表示,终端保护技术必须足够聪明才能捕获以前未知的威胁,而不仅仅是阻止已知的不良活动。这不仅限于可执行的恶意软件。攻击者现在正在使用脚本语言,利用在您的计算机和系统上合法使用的软件,并以非法的方式使用它。
CrowdStrike既可以在传统的终端设备(如员工桌面)上运行,也可以在基于云的虚拟机上运行。我们遇到了一些在云环境中安装加密货币挖矿软件的案例,例如AWS EC2实例。我们采取了类似的方法来防止这些问题,还有一个独特的方面,那就是了解它是如何到达那里的,要理解这一点,您需要使用AWS提供的API日志数据,这使得这些调查有点更具挑战性,但更有趣一点。
内部人员恶意或非恶意的加密货币挖矿行为
约克说,当加密货币挖矿软件被合法用户故意安装时,发现它就更具挑战性。几周前我刚刚参与了一起案件,一名流氓内部人员的调查,一名心怀不满的员工,在他离开公司的时候,决定在整个环境中部署加密货币挖矿软件,也是展示他对公司蔑视的一种方式。
特别困难的是,这个家伙知道他的公司是如何检测加密货币挖掘并防止其传播的机制。约克说:
“他开始使用谷歌搜索并阅读已发表的一些文章,我们在他的网络浏览器历史中发现了相关资料,他正试图颠覆我们。”
公司政策可能并未明确禁止员工使用公司资源运行加密货币挖矿软件,但设置此类操作对于员工而言可能具有风险。Ixia公司应用与 威胁情报 研究中心高级主管Steve McGregory说该法案将会出现,这个人会被解雇。所以这可能是一个短暂的计划,但如果有能力控制日志,一个流氓员工可以在一段时间内赚到一个体面的钱。
他补充说,教育机构尤其脆弱。很多向我们求助的人都是大学,学生们只需将他们的ASIC [加密挖掘]系统插入宿舍并启动电费账单即可,大学支付账单,所以费用很高,学生没有非法进入系统。员工也可以插入自己的设备,并且很难追踪电费高峰的真正原因。他们可能会通过四处走动,看到最暖和的地区是什么。
ForeScout新兴技术副总裁Robert McNutt说,值得信赖的内部人员还可以在AWS、Azure或Google云上启动虚拟机,进行计算,然后在任何人注意之前快速关闭虚拟机。这是企业应该考虑的真正风险,因为它很难被发现,而且有些企业可能非常有利可图,从而使其变得更加普遍。
他补充道,偷窃证件的外部攻击者也可以这样做。事实上,亚马逊现在提供带有GPU的EC2实例,这使得加密挖掘更加高效,但这使该公司支付账单的成本更高。
来源:csoonline
转自:http://toutiao.secjia.com/currency-mining-detection
标签: Google 安全 防火墙 服务器 谷歌 互联网 计划 脚本 美国 排名 企业 搜索 通信 网络 网站 问题 信息安全 选择 用户
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。