如何阻止贪婪的挖矿病毒？绿盟专家来支招

近日，山东警方破获一起通过制造挖矿木马病毒牟利的网络犯罪案件，辽宁大连涉案企业将病毒植入389万台电脑中，涉案金额高达1500万元。从2013年的诞生到2016爆发，挖矿(MiningCryptocurrency) 的高回报率，使其成为了一把双刃剑。攻击者利用漏洞、钓鱼等方式将加密货币挖矿程序植入目标主机，让目标主机作为矿工长时间满负荷运行，占用大量CPU资源，影响正常业务运行。被入侵的主机通常连接矿池，因此可以监测挖矿程序与矿池的通信，发现挖矿行为。

现已发生过多起利用漏洞向服务器植入挖矿程序的事件，如利用WebLogic wls-wsat 组件漏洞的Watch-smartd 挖矿恶意软件、利用永恒之蓝漏洞的Wanna Mine 挖矿恶意软件等。绿盟企业安全平台（NSFOCUS ESP）和绿盟安全态势感知（NSFOCUS TSA）针对每一个事件进行量化分析，并对事件类型进行分类，实现快速响应。

01

主机挖矿行为攻击流程

服务器、物联网设备等主机被攻击者入侵并植入挖矿程序，挖矿程序自动连接矿池服务器。或者Web站点被攻击者以某种方式嵌入Javascript挖矿脚本，用户访问网站时，脚本会自动在访问者的浏览器中运行，利用访问者的计算资源挖矿。

02

绿盟“主机挖矿行为”规则解决方案

在网民和一些企事业单位中不断被发现，挖矿病毒在网络上入侵各种主机。为了应对这种危险绿盟企业安全平台（NSFOCUS ESP）和绿盟安全态势感知（NSFOCUS TSA）中已经添加了该事件的发现规则。

（规则设置及事件类型描述）

一般而言绿盟对这种“主机挖矿行为”的网络攻击有着相关的规则：

（IPS/IDS相关规则）

因此，如若某主机作为源IP命中规则0001 / 0002 / 0003（即前述IPS/IDS规则中被攻击者为源IP的规则）中的任意一条，即可确认该主机正在运行挖矿程序。

同样的，若某主机作为目的IP命中规则[0004] 网页包含挖矿脚本代码（即前述IPS/IDS规则中被攻击者为目的IP的规则），即可确认该网站服务器已被植入挖矿脚本。

而通过全流量会话日志也可以将其识别出来，在这个方法中我们会将已知的各个矿池的域名解析为IP，在全流量会话日志中查询目的IP为这些IP的会话，如果存在，且目的端口与已知的矿池端口一致，即可认为该会话的源IP正在运行挖矿程序。

一般而言，在确认被植入挖矿程序的主机后，可以按照以下方式处理：

1

利用漏洞传播的情况，参考对应漏洞的处理手册修补漏洞。

2

确认占用CPU资源的进程，找到其对应的文件，并杀掉进程。

3

删除恶意软件相关文件。

03

总结

通过对挖矿事件的整体分析，我们发现，由于网上现成攻击代码的泛滥，和恶意文件对PE、ELF等可执行文件的依赖性减弱，使攻击者的技术门槛进一步降低。例如，在Jboss Miner中，由于借助Wmi实现自启动，使用Regsvr32.exe等下载恶意脚本执行，加之功能主要由Vbs脚本实现，最后又借用了Metasploit等成熟的攻击套件。这一系列的“基础”，使得攻击者不需要专业的编码能力，即可完成攻击。

从勒索软件、到挖矿木马，如何提升自身的防御水平，不是简单的拉长防线，而是业界和企业，需要警惕和思考的问题。绿盟企业安全平台（NSFOCUS ESP）和绿盟安全态势感知（NSFOCUS TSA）可以通过事件规则有效发现失陷主机，同时也可以通过绿盟企业安全平台（NSFOCUS ESP）持续发现和管理安全漏洞，先一步阻止恶意软件的传播。

	请点击屏幕右上方“…” 关注绿盟科技公众号 NSFOCUS-weixin

↑↑↑长按二维码，下载绿盟云APP