【期刊精选】虚拟货币挖矿木马行为监测技术研究与应用

admin 2022年11月4日18:24:54程序逆向评论11 views2506字阅读8分21秒阅读模式

2022

 · 

November



虚拟货币挖矿木马行为监测技术研究与应用


作者简介:


周 成 胜:硕 士 研 究 生,工 程 师,主 要 研 究 方 向:网 络 安 全、工 业 互 联 网 安 全、车 联 网 安 全 等。

董 伟:硕 士 研 究 生,高 级 工 程 师,主 要 研 究 方 向:网 络 安 全、工 控 安 全 等。













01

论文简介


《虚拟货币挖矿木马行为监测技术研究与应用》一文发表于《网络安全与数据治理》期刊2022年第4期。

近年来,在利益驱动下通过传播挖矿木马程序,利用受害者主机算力进行挖矿获取虚拟货币的行为愈演愈烈。从攻击者视角分析了挖矿木马的暴力爆破、漏洞利用、木马植入、横向传播等典型攻击路径,基于挖矿协议的流量识别、威胁情报匹配、攻击链模型关联分析、AI基因模型监测等开展技术研究,结合研究成果进行了实际网络流量监测应用,为挖矿木马的防范和治理提供思考与借鉴。


 2022 · November




02

主要内容


一、引言

近年来,随着比特币的发展和经济价值不断扩大,同类型的虚拟货币开始在互联网中不断发展,如以太币、门罗币、莱特币等。这类虚拟货币并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得。矿工通过矿机等设备运行挖矿程序,利用设备的CPU、GPU来获取虚拟货币,通过算力去获取虚拟货币的过程称为“挖矿”。高昂的挖矿成本导致一些不法分子通过网络攻击手段将矿机程序植入被控制的主机中,利用受害者主机算力进行挖矿,从而获取非法经济利益。这类在用户不知情的情况下植入受害者主机的挖矿程序称为挖矿木马。本文基于企事业单位出入口流量开展挖矿木马行为监测分析,可在传播、潜伏、横向扩散等阶段进行预警,提早发现威胁,帮助政企单位及时发现挖矿木马并降低影响,减少损失。


二、 挖矿木马

挖矿木马攻击路径分析

挖矿木马通过漏洞利用、暴力破解、钓鱼欺诈、恶意链接等方式,与僵尸网络、黑产结合,获取受害者主机权限,并在被感染的主机上持久化驻留,利用被感染主机的算力资源进行挖矿活动,从而获取非法收益;部分挖矿木马还具备横向传播的特点,将被感染主机作为跳板,进一步入侵其他内网主机,扩散传播挖矿木马程序或进行其他恶意网络攻击行为。以驱动人生挖矿木马为例说明黑客攻击流程,该木马主要通过“人生日历”等驱动人生系列产品升级组件下发,感染后通过添加计划任务、修改注册表、添加启动项等方式维持自身权限,开启特定端口,标记主机已经被感染。同时通过抓取本地主机密码来猜解其他主机登录密码,利用永恒之蓝、SMB弱口令、MSSQL数据库弱口令等漏洞进行横向传播。
挖矿木马行为监测技术
当前挖矿木马行为监测治理存在以下难点:一方面挖矿木马入侵主机后会检测并关闭安全防护软件,且能够隐藏自身进行挖矿,还会利用混淆、加密、加壳等手段对抗检测;另一方面挖矿木马行为产生海量流量和日志,涉及大量局域网终端设备,难以精准定位挖矿威胁,分析溯源难。本文针对挖矿木马攻击阶段分析,构建以协议识别、行为检测、关联分析、AI基因检测技术为主,威胁情报匹配为辅的挖矿木马行为监测系统,为整治挖矿木马提供精准高效的方法
挖矿木马行为监测应用
为验证上述挖矿木马行为监测模型,选取20个疑似感染挖矿木马的企事业单位,在网络出入口通过分光或镜像网络流量旁路部署监测设备,对流经的网络流量进行全流量监测。
近一个月累计监测,单一挖矿协议流量识别发现98台企业主机存在虚拟货币挖矿通信行为,单一威胁情报匹配发现56台主机疑似感染挖矿木马病毒,进一步基于攻击链模型关联识别及AI基因模型监测研判确认75台主机感染挖矿木马病毒,挖矿通信行为近1 100万余次,涉及CoinMiner、BitCoin、XMRig、CoinHive等数十种挖矿木马家族,主要从事门罗币挖矿。
同时,监测设备可与涉事企业防火墙联动,下发策略过滤挖矿病毒木马,阻断受控主机与矿池连接。进一步联动企业终端检测响应系统,对挖矿程序及进程隔离、清除,实现系统级防御。


三、结论

近年来,伴随着虚拟货币交易市场的发展以及虚拟货币的经济价值不断提升,挖矿木马网络攻击已经成为影响最为广泛的网络安全威胁之一,影响着广大企事业单位和个人用户。建议行业监管单位依托流量技术手段,建立虚拟货币“挖矿”拦截情报中心,将“挖矿”程序从前期的入侵,中期的植入扩散,到后期的回连全流程进行全程监测,形成纵深联动防御,保障人民利益。同时建议涉事企事业单位及个人加强网络安全意识培训,禁止使用弱口令,避免一密多用,关闭非必要端口,切勿随意打开来历不明的程序、文档、邮件等,尽量从官方网站下载安装程序,及时更新重要补丁和升级组件。进一步加强网络安全监测,对主机进行安全扫描,清除相关恶意程序,同时对入侵通道进行封堵修复,避免二次感染,修复系统、组件、服务存在的相关远程利用漏洞,增加程序访问许可和控制访问对象权限。








 2022 ·November



 阅读原文 



【期刊精选】虚拟货币挖矿木马行为监测技术研究与应用

扫描上方二维码即可获取全文

期刊介绍




2022年7月,国内首本兼备网络安全和数据治理双领域的学术性期刊《网络安全与数据治理》(刊号:CN10-1863/TP)正式创刊出版。该刊由中国电子主管,华北计算机系统工程研究所主办,清华大学-中国电子数据治理工程联合研究院和中国电子数字办协办。该刊聚焦网络空间安全和数据治理前沿领域最新科研动态,密切关注政产学研用各环节在网络强国和数字中国建设过程中跨学科学术成果,坚持技术与应用、产品与研发、产业与市场相结合,服务国家网络空间安全和数据治理工程建设。
《网络安全与数据治理》由中国电子首席科学家、中国工程院院士方滨兴担任主编,中国电子第六研究所所长张尼和清华大学公共管理学院教授、长江学者特聘教授、清华中国电子数据治理工程研究院院长孟庆国担任副主编,数十名院士和知名专家组成专家编辑委员会。该期刊将主动开展理论研究,聚焦学术生态资源,拓展网络安全和数据治理领域基础研究,打造一流学术成果交流展示窗口;充分发挥学界专家力量,组织高水平学术会议,组织出版学术专著;坚持理论与实践相结合,服务国家网络空间安全和数据治理工程建设。
投稿方式请点击下方“阅读原文”。

原文始发于微信公众号(网络安全与数据治理):【期刊精选】虚拟货币挖矿木马行为监测技术研究与应用

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年11月4日18:24:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  【期刊精选】虚拟货币挖矿木马行为监测技术研究与应用 http://cn-sec.com/archives/1390927.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: