服务器变“矿机”,中了挖矿木马怎么办?
在鼎盛时期,加密货币挖矿堪称一场军备竞赛。加密货币价格不断飙升,曾一度掀起一股“挖矿狂潮”,无数人高价购入显卡、图形处理单元 (GPU) 等挖矿设备,搭建矿场、矿池,投入大量精力、财力挖掘加密货币。
图1. 加密货币挖矿
不过,由于开采比特币等顶级加密货币的难度不断增加,加密采矿淘金热很快就结束了,但挖掘加密货币仍然可以盈利,源源不断的大军还在持续涌入这个行业,甚至催生了一种专门用于挖币的病毒——挖矿木马。那么,什么是挖矿?挖矿木马如何运作?又该如何防御?本文将仔细研究这些问题。
01、什么是挖矿?
简单来说,“挖矿”指的一种使用他人设备,并在他人不知晓、未允许的情况下,秘密地在受害者的设备上挖掘加密货币的行为。
以比特币挖矿为例,每隔一个时间点,比特币系统会在节点上生成一个随机代码,互联网中的所有计算机都可以去寻找此代码,谁找到此代码,就会产生一个区块。根据比特币发行的奖励机制,每促成一个区块的生成,该节点便获得相应奖励。谁能第一个计算出来,并通知全网得到验证,谁就算挖到了这个区块,也就拥有了这个区块的奖励和打包的矿工费。这个寻找代码获得奖励的过程就是挖矿。
要计算出符合条件的随机代码,需要进行上万亿次的哈希运算,用于挖矿的电脑一般有专业的挖矿芯片,多采用烧显卡的方式工作,耗电量较大,所以被挖矿病毒感染的电脑资源会消耗得非常快,CPU使用率甚至能达到100%。于是部分黑客就会通过入侵服务器等方式让别人的计算机帮助自己挖矿。
如果你在上网过程中遇到以下情况,那你的服务器十有八九是被植入挖矿木马,变成给人打工的“矿机”了:
什么都没打开但是CPU占用率非常高;
运行缓慢,出现大量网络请求;
散热风扇狂转。
02、挖矿木马如何运作?
早在2011年就出现了加密货币挖矿恶意软件,但随着越来越多的人开始投资加密货币,加密货币挖矿事件在2017年底急剧增加。加密货币越有价值,黑客挖掘它的动机就越大,挖矿木马也就出现得越频繁。
一般来说,挖矿木马可以通过三种方式嵌入到受害者的计算机中:
1. 网络钓鱼诈骗:用户通过单击网络钓鱼电子邮件中的链接,无意中将加密挖矿软件加载到他们的计算机上而成为攻击者的“矿机”。
2. 受感染的网站:攻击者将恶意代码或“脚本”注入网站,这个脚本会在访问该网站的任何计算机上运行以挖掘新的加密货币。
3. 蠕虫:也有挖矿蠕虫的案例。挖矿病毒可以将自身复制到其他计算机、设备或服务器上,这类威胁相对更难被检测到和彻底删除。
一旦植入成功,挖矿木马就会在受害者计算机的后台运行,而不知情的受害者则在设备上开展业务。在挖掘脚本解决了复杂的数学问题后,会将结果发送给黑客,黑客随后将挖掘到的结果放入加密货币钱包中,以达成获取收益的目的。
图2. 挖矿活动的步骤
03、挖矿木马的危害
挖矿木马攻击是发生率较高,极可能造成业务系统中断的一类威胁,是最常见的网络攻击之一。有境外科技媒体报道,挖矿木马攻击在所有安全事件中占比超过25%。挖矿木马很受攻击者的欢迎,因为被抓到的风险比勒索软件等其他形式的网络犯罪要低得多。勒索软件需要受害者付费才能成功,而挖矿木马能在受害者毫无察觉的情况下消耗其计算机资源。
很多人觉得中了挖矿木马并不是什么大不了的事儿,顶多让系统变慢,消耗系统资源,不会有破坏性后果,属于“良性攻击事件”,这种看法严重低估了挖矿木马的危害,挖矿木马的影响远不止这些。受挖矿木马影响的人可能会面临以下困境:
1. 资源被大量消耗。挖矿使得计算机系统急剧下降,电费飙升;
2. 核心数据可能丢失。一旦黑客侵入了受害者的计算机,他们可能会跳转到网络的其他区域并窃取用户的核心数据或知识产权。
一些专家表示,流媒体和游戏网站往往是挖矿代码潜伏的热门场所。调查数据显示,一个挖矿软件至少潜伏在35,000多个网站上。
04、如何防御挖矿木马?
覆盖面如此之广的“挖矿”活动背后,不仅意味着对用户资源的消耗与安全风险,更严重的是,盲目无序的发展“挖矿”活动,会扰乱正常金融秩序、催生违法犯罪活动,从而影响社会稳定和国家安全。因此,对“挖矿”的防御不仅仅是企业为自身利益而采取的“自保手段”,更是为了满足合规要求的必然选择。
对挖矿病毒的防御可以从事前预防、事中响应、事后修复三方面同时着手。
1. 事前全面预防,使挖矿木马可攻击面最小化
无论是在系统本地还是通过浏览器被挖矿木马感染,事后都很难手动检测入侵。同样,找出高CPU使用率的根源也很困难。进程可能会隐藏自己或伪装成合法的文件以迷惑用户。此外,被感染的主机在进行挖矿时会运行得非常慢,这会使排除故障的过程更加困难。
因此,与其他恶意软件的预防措施一样,用户需要在被感染之前做好安全防护。提前发现系统存在的脆弱点,提醒各系统负责人进行修复。系统的脆弱点越少,被植入挖矿概率就越低。
2.事中快速响应,使挖矿木马影响范围最小化
仅从技术角度而言,挖矿木马与大多数的其他木马,如DDoS木马、远控木马等并无本质区别,只是黑客发起攻击的目的不一样,因此在防护思路也基本一致。在实际遭遇挖矿攻击的时候,针对挖矿木马的总体应急思路如下:
隔离主机->阻断异常网络通信->清除挖矿计划任务、启动项、公钥文件->kill挖矿进程。
及时隔离主机。部分带有蠕虫功能的挖矿木马在取得本机的控制权后,会以本机为跳板机,对同一局域网内的其他主机进行已知漏洞的扫描和进一步利用,所以发现挖矿现象后应该及时隔离受感染主机。
阻断异常网络通信。挖矿木马不仅会连接矿池,还有可能会连接黑客的C2服务器,接收并执行C2指令、投递其他恶意木马,所以需要及时进行网络阻断。
清除计划任务、启动项、公钥文件。大部分挖矿进程为了使程序驻留、确保系统重启后挖矿进程还能重新启动,或免密登陆被感染的机器,会在服务器中写入计划任务、添加启动项或公钥文件,要想彻底清除挖矿木马,这些都必须删除。
kill挖矿进程。对于单进程挖矿程序,直接结束挖矿进程即可。但是对于大多数的挖矿进程,如果挖矿进程有守护进程,应先杀死守护进程再杀死挖矿进程,避免清除不彻底。
很多用户会觉得挖矿木马老是清理不干净,明明已经Kill了进程,删除了木马文件,没过多久,CPU占用率又上来了。究其根本,就是因为清除得不够彻底。大部分用户都只是Kill掉挖矿进程和对应文件,却没有清理计划任务和启动项等。
图3. 针对挖矿木马的响应流程
3.事后溯源总结,修复加固系统薄弱环节
清除完挖矿木马之后,还有一件重要的事情要做。不论是被哪种类型的木马以什么方式攻击,用户都有必要搞清楚为什么别人能跟成功攻击到这台服务器,总不能被攻击得不明不白吧。这就需要重点分析遭受入侵附近时间段的登录日志以及攻击者的入侵行为,找到系统漏洞,并进行安全加固防护,以防止下一次发生同样手段的挖矿木马感染。
05、挖矿木马最佳防护实践
总体上看,挖矿木马正在迅速成为网络犯罪分子手中的新工具,初步迹象表明,网络犯罪分子已经以近乎于零的成本从挖矿活动中获利。这意味着他们将继续大面积、高频率地使用这种方法,与此相对应的是,用户将面临更严峻的网络安全形势,但挖矿木马并不是一个无法解决的问题,用户可以对其进行预防和补救。
青藤万相·主机自适应安全平台是预防、识别、处置挖矿木马的最佳实践平台。它包括Agent、Engine分析引擎、Console控制台三大产品设备组件,可提供挖矿木马专项威胁情报检测、可疑挖矿木马变种样本分析、未知挖矿病毒异常外联行为检测、挖矿病毒传播过程分析等功能服务。
图4. 青藤万相挖矿木马处置功能
青藤万相的风险发现功能在细粒度清点用户资产的基础上,从安全补丁、漏洞扫描、弱密码检测、应用风险发现等角度,持续、全面、透彻地发现潜在风险及安全薄弱点。
病毒查杀功能不仅支持客户从自己发生过的真实攻击来配置病毒查杀规则,还能在检测发现木马后,通过青藤自研的沙箱进行快速验证,并生成自动化专杀工具,快速彻底清除木马,完成安全事件闭环处理;安全日志功能可以全面复现黑客入侵行为,分析黑客是怎么进来的,拿走了什么,留下了什么,为用户进行漏洞修复提供了指导方向。
除了挖矿攻击以外,青藤还致力于研究和帮助客户了解包括勒索、漏洞利用在内的各种网络安全威胁及其解决方案。如果你所在公司的网站或web应用程序等受到这些恶意软件的影响,可以扫描上文的二维码或拨打400-188-9287向青藤安全专家咨询解决方案或申请万相免费试用。
微信掃描關注公眾號,及時掌握新動向
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場
2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表比特範的觀點或立場