如何檢測網絡中的惡意挖礦軟件?
隨著加密貨幣市值的一路飆升,惡意挖礦軟件正在全球肆虐,比員工上班摸魚更可怕的是,來自外部或內部的挖礦軟件正在悄悄消耗著企業的IT資源,侵蝕企業利潤。當不法分子通過 Web 服務器和瀏覽器劫持系統時,就會發生加密劫持(挖礦)。惡意 JavaScript 通常被注入或植入 Web 服務器,當用戶訪問網頁時,瀏覽器就會被感染,將他們的計算機變成礦工。
檢測惡意挖礦活動的方法有如下幾種:
監控網絡性能
首先,企業安全團隊需要檢查系統性能。終端用戶可能會注意到 CPU 使用率過高、溫度變化或風扇速度加快,這可能是業務應用程序編碼不當的征兆,但也可能表明系統上存在隱藏的惡意軟件,企業可以設置安全基線以更好地發現系統中的異常。不過,僅僅依靠性能異常來識別系統是否受影響也并不是萬全之策。
最近的事件表明,攻擊者正在限制對系統 CPU 的需求以隱藏其影響。例如,近期微軟數字防御報告就指出越南威脅組織 BISMUTH 針對法國和越南的私營部門和政府機構,正在通過“融入”正常網絡活動來避免檢測。因為加密貨幣礦工往往被安全系統視為優先級較低的威脅,所以 BISMUTH 能夠在不被注意的情況下潛入系統。
查看未經授權連接的日志
除了檢查表現異常的計算機之外,企業還應查看防火墻和代理日志,了解它們正在建立的連接,以檢測隱蔽的惡意挖礦活動。企業最好能準確地獲知有權連接的位置和IP地址,如果此過程過于繁瑣,請至少查看防火墻日志并阻止已知的加密礦工服務器地址。近日 Nextron 的一篇博客文章分析了常見加密礦池,推薦查看防火墻或 DNS 服務器是否受到影響。
例如,查看是否有包含 *xmr.* *pool.com *pool.org 和 pool.* 的日志,看看是否有人正在濫用企業網絡。如果企業有一個高度敏感的網絡,可以設置白名單允許必要的IP地址訪問,不過,在云計算時代,這種方法很難實現。舉例說明,當微軟為其 Azure 數據中心添加新范圍時,微軟客戶就可能需要調整授權 IP 地址列表,這無疑給客戶增加了負擔。
使用瀏覽器擴展組件,阻止惡意挖礦軟件
一些瀏覽器擴展組件能夠監控并阻止惡意挖礦軟件,例如NoCoin和MinerBlocker就能監控可疑活動,并阻止攻擊,兩者都是適用于 Chrome、Opera 和 Firefox 的擴展程序。企業還可以通過禁用瀏覽器 JavaScript 阻止惡意活動,因為惡意 JavaScript 應用程序通過橫幅廣告和其他網站操作技術傳播。不過,在企業中禁用瀏覽器JavaScript需要提前確認核實,因為這么做可能會對網站業務功能產生不利影響。
啟用Edge瀏覽器的 Super-Duper安全模式
微軟正在測試Edge瀏覽器的Super-Duper安全模式,通過在 V8 JavaScript 引擎中禁用即時 JIT 編譯來提高 Edge 的安全性。微軟表示,現代瀏覽器中的 JavaScript 漏洞是攻擊者最常用的載體。2019年 CVE 漏洞數據顯示,大約有45%的 V8 攻擊與 JIT 相關。不過,禁用 JIT 編譯確實會影響性能,Microsoft Browser Vulnerability Research 進行的測試證實了這一點。在Speedometer 2.0 這樣的JavaScript 基準測試中,其性能下降幅度高達58%。盡管如此,微軟表示用戶不會在意這種性能下降,因為用戶在日常使用中很少會注意到這種性能下降。
