恶意挖矿程序防御指南

admin 2024年11月1日22:58:44评论24 views字数 3124阅读10分24秒阅读模式
一,挖矿源起
1.挖矿是在做什么?

它是通过挖矿程序取得虚拟货币的过程.靠着使用者间彼此协助验证,而验证的过程是让电脑解出一连串复杂的密码学题目,完成解题与验证后,即可将 交易双方的钱包地址,交易金额和时间等相关资讯新增至新的区块中,这整个过程称作"挖矿",而成功完成验证的矿工可获得一定数量的虚拟货币作为奖励.

恶意挖矿程序防御指南

2.挖矿绑架威胁虽有减少,但未消失

从资安公司赛门铁克2019年第24期ISTR网路安全威胁报告可以得知,2018年 比2017年封锁了更多挖矿绑架事件,使挖矿绑架活动有下降趋势.挖矿绑

架活动在2017年12月至2018年2月达到顶峰,赛门铁克在此期间每月封锁约 800万次挖矿绑架事件.2018年1月至12月间挖矿绑架事件减少52%.

虽然挖矿绑架活动趋减,但赛门铁克仍在2018年12月阻止了超过350万次相关事件.

3.挖矿造成能源危机

根据统计,若比特币挖矿的能源消耗以现在的速度持续成长,预计再过三年,就 会消耗掉全球的电力能源.根据Dig iconomist比特币能源消耗指数统计,截至 2017年11月20日,比特币过去一年内挖矿的电力总消耗已累计达29.05

兆瓦小时(TWh),约占全球总电力消耗的0.13%.该数字甚至已经超过159个国家一年的电力消耗,包含爱尔兰和奈及利亚 ;若全球的比特币矿工自成 一国,该国的电力消耗排名可排上全球第61名.下图显示了哪些国家/地区

二、挖矿程序感染方式

1、网页挂码

在2018年大多数挖矿绑架活动,是源自浏览器加密货币挖矿程序,透过Web浏 览器的发动来将指令码挂码于网页中执行,当使用者读取该网页即开始挖矿, 藉著使用者装置的运算能力来挖掘加密货币,比较著名的是嵌入众多知名网站 的Coinhive挖扩程式.它会在使用者访问网页时,在使用者不知情或未经使用 者批准的情况下,执行门罗币的线上挖掘作业,使植入网页的
JavaScript会利用使用者主机上的资源进行挖矿,这可能造成系统崩溃.下 图即是网页被植入Coinhive挖扩程序进行挖矿的范例,从JavaScript的语 法中
可以看到分成两大段程序.

恶意挖矿程序防御指南

(1)至coin-hive.com网站下载无通知的Coinhive挖矿程序.

恶意挖矿程序防御指南

(2)使用JavaScript来启动Coinhive挖矿程序.

恶意挖矿程序防御指南

A."np0gtkzs4A2AUhhBktnJZTAyzA7op7QD"是在骇客完成注册Coinhive帐号 后所取得的Site Key (public).
B."threads:2"是指矿工应该从头开始的线程数,即主机内可用的CPU核心数 量.
C."miner.start();"指连线矿池,并开始挖矿.
D."setInterval(function() {…var
acceptedHashes=miner.getAcceptedHashes();"
为每秒更新一次即时的挖矿统计资讯,包含目前即时的每秒计算的hash 数目(挖矿速度),累计hash数目以及获得的门罗币总金额.
E."document.getElementById("11").textContent…=acceptedHashes"为 输出统计资讯,骇客可以登入Coinhive网站后在Dashboard页面中看到即 时的挖矿统计资讯.
2、主机入侵
透过入侵主机后执行挖矿程序进行挖矿的方式是很常见的感染方式,而感染途径以使用者开启社交工程的信件造成居多,例如:2018年3月Dofoil木马 程序程式透过网钓邮件散布,它会在主机植入挖矿程式CoinMiner.虽然如此,但 也有专门入侵伺服器来挖矿的感染方式,例如:2018年2月恶意程序
Smominru利用美国国家安全局外流的攻击工具EternalBlue散布与入侵
Windows伺服器,进行门罗币挖矿,而台湾为第三大受灾区.安全公司估计此攻击约有50多万台Windows伺服器感染,为骇客赚进8900个门罗币,价值约 280万到360万美元.
3、程序内嵌
使用伪造或修改有名软体(APP)让使用者执行后挖矿,为挖扩绑架(Cryptojacking)行为之一,例如:2018年1月Chrome扩充软体Archive Poster遭植入Coinhive采扩程序,用户只要开启Chrome浏览器,电脑资源就会 被用来开采门罗币.在学术网路中,比较典型的案例为2018年10月发现Ohsoft 软体(oCam,V i r t u al DVD,S e c r et Folder)在安装时会一起安装挖矿程序BRTSvc.exe,在软体安装的授权合约提到除了使用者同意成为挖扩程序的赞助者外,并且预设同意安装挖扩程式BRTSvc.exe.

恶意挖矿程序防御指南

感染挖矿程序后的症状
当受害主机感染挖矿程序后,通常会有下列特征出现在受害主机上.
1、CPU使用率上升
观察感染挖矿程序的受测主机之CPU实际运作情形,通常会发现CPU的使用率有冲高至100%之现象,导致此种现象的来源有两种,一种为开启Coinhive挂码的网页,另一种为主机本身存在挖矿程序程式.随着挖矿技术的演进,新型态的挖矿程序为了避免被使用者发现,通常会尽量让CPU使用率未达100%,如开启含有Coinhive挖矿服务的网页时,会因网站管理者的意愿或骇客的心思,设定CPU使用率的比例,例如设:定50%.

恶意挖矿程序防御指南

典型的挖矿程序只要一执行,CPU使用率就会冲高至100%如下图所示.因此, 如遇到典型的挖矿程序,此点是最好判断的特征.

恶意挖矿程序防御指南

2、对外链接矿池,网络使用率上升。

受害主机在感染挖矿程序后必定会有连线矿池的行为,而且通常会使用重 复数字的目的port,例如:3333或5555,可以从封包内容明显看到连线矿池 后所进行的动作,以Smominru挖矿攻击事件为例,它会连线目的
IP :107.191.99.95(port:5555),从封包内容可发现受测主机以钱包帐 号"43Lm9q14s7GhMLpUsiXY3MH6G67Sn81B5DqmN46u8WnBXNvJmC6FwH3ZMwAmkEB1nHSrujg thFPQeQCFPCwwE7m7TpspYBd"登入此目的IP主机矿(池),而目的IP主机会回传目前矿池状态与挖矿作业id资讯给受测主机.

恶意挖矿程序防御指南

目的IP主机指派一次挖矿作业含(job id回)传给受测主机后,受测主机 submit上传一次挖矿作业执行成果给目的IP主机,最后目的IP主机回应 目前矿池状态ok给受测主机,如此重复该项动作,进行挖矿.

恶意挖矿程序防御指南

3、其它攻击行为

挖矿程序除了会连线矿池外,有些挖矿程序会有其他攻击动作,以挖矿程 式Photo.scr为例,它会1秒间对外产生大量的目的21 port连线,也会在每次重新开机后启动.

恶意挖矿程序防御指南

以Smominru挖矿攻击事件为例,它会连线至目的IP:78.142.29.152 (port:13000)从封包内容发现受测主机会传送CPU规格与作业系统资讯给 IP:78.142.29.152:13000.

恶意挖矿程序防御指南

它也会连线至目的IP :118.184.176.15(port:80),从封包内容发现受测 主机与该IP进行IP报到验证,取得受测主机当下实体IP位置.

恶意挖矿程序防御指南

三、挖矿程序的防御方式

为了避免感染挖矿程序,有下列预防方式提供参考.
1、避免访问可疑网站.
2、定期更新系统,修补漏洞与更新应用软体.
3、安装防毒软体,定期更新病毒码与进行扫毒作业.
4、安装外挂扩充套件:No Coin,来阻挡网页挂码式的挖矿攻击.
5、关闭不安全的服务与不必须启用的port.
6、采用强密码,双因素验证,来避免主机被骇入后植入挖矿程序.
7、不随意安装不明来源的软件,安装程序时要留意是否有额外安装不明来源的程序.
8、不随意开启不明来源的信件或附件

原文始发于微信公众号(三沐数安):恶意挖矿程序防御指南

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月1日22:58:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   恶意挖矿程序防御指南https://cn-sec.com/archives/3344315.html

发表评论

匿名网友 填写信息