自2017年以来,挖矿木马日益猖獗,由于挖矿木马有极强的隐蔽性,安全管理人员难以发现。
挖矿危害
计算机一旦被挖矿木马感染,就成了黑客的苦工,大量的计算机成为了黑客牟利的载体,而计算机的资源也同时被耗尽,对用户的正常业务会造成非常严重的影响。
挖矿事件回顾
2017年,90后黑客控制100多台电脑 “挖矿”获利被;
2017年,黑客利用星巴克WiFi进行“挖矿”;
2018年1月,SANS Technology Institute报告中指明,黑客利用甲骨文漏洞在亚马逊AWS公共云服务上进行挖矿;
2018年2月,全球超过4200个政府网站被植入挖矿脚本;
2018年3月,有研究团队发现俄罗斯BitTorrent网站向用户分发恶意挖矿软件;
2018年7月,广东、重庆多家医院服务器遭入侵,服务器秒变矿机。
山石智·感发现挖矿事件
近日,山石智·感-智能内网威胁感知系统(BDS)在某客户网络中,发现多起利用数台终端主机大肆挖矿的事件,经过一系列应急处置,恢复了客户正常的业务。
发现过程
BDS智能内网威胁感知系统上线不久后,安全分析人员发现了大量的挖矿行为事件,通过分析策略进行筛选,发现多台终端主机和国外多个IP进行大量通讯。其中一台主机的事件展示如下图所示:
安全分析人员经过在第三方威胁情报平台进行溯源,发现所有目的IP均是矿池。以其中一个为例:
查看该事件详情,发现所有终端主机连接的目的端口均是20581,应该是多个矿池服务器进行通讯的端口。以下图为例:
安全分析人员迅速对内网存在挖矿行为的多台主机进行排查,经过对这些主机进行处置,终于剔除了内网中挖矿木马这颗“毒瘤”。
安全建议
-
部署山石网科智能内网威胁感知系统(BDS),及时发现挖矿事件;同时在计算机上安装sysmon服务,收集计算机相关进程进行精确研判,完成终端侧溯源。
-
使用漏洞扫描设备、配置核查设备对计算机进行扫描,最大限度减小脆弱性。
-
为计算机安装杀毒软件。
山石智·感—智能内网威胁感知系统(BDS)
产品简介
山石智·感——智能内网威胁感知系统,聚焦内网威胁风险感知,致力于核心业务安全;
山石智·感采用智能安全技术,重点监控核心资产,检测已知、未知威胁,精准定位风险资产。
核心技术
核心价值
发现高度可确信的已知及未知网络攻击及网络行为异常,精准定位失陷主机、跳板主机、风险服务器;
全局内网风险动态实时监控,透视内网主机及服务器的业务应用和互联流量,可视化管理内网全局威胁影响及互访关系;
通过网络威胁追踪、终端威胁溯源、威胁知识库、风险评估报表,为内网风险的判定、处置和预测提供信息支撑;
弥补传统边界网络安全建设的漏洞,联动山石NGFW,形成边界+内网的整体网络安全解决方案。
来源:freebuf.com 2018-11-05 10:43:31 by: Hillstone
请登录后发表评论
注册