RSA 2018：如何检测和预防加密货币挖掘恶意软件

2018 RSA 会议已经开幕。在过去的两天里，kand 看到了很多关于加密货币挖掘恶意软件的讨论。黑客利用它来感染企业基础设施，以获得稳定、可靠、持续的收益。无意识的加密货币挖掘行为，攻击者在隐藏恶意软件方面变得非常聪明，这使得在线加密货币挖掘的防御面临各种反检测方法的挑战。前两天，在安全Plus的RSA 2018创新沙盒冠军竞猜中，绿盟科技介绍了BluVector基于AI的高级威胁检测，今天就一起来看看吧。

看来加密货币挖矿只能寄希望于机器学习或人工智能

企业非常担心关键数据在勒索软件攻击中被盗或加密的任何迹象。加密劫持是隐蔽的，企业很难检测到。它造成的损害是真实的，但并不总是显而易见的。如果加密挖掘恶意软件感染了云基础设施或加密电费，这种损害可能会立即产生财务影响，并且还会降低机器的生产力和性能。

闪点情报分析师 Carles Lopez-Penalver 说：

“如果 CPU 不是专门用于加密挖掘，它可能对您的硬件不利，从而使它们运行得更快。慢的。加密劫持处于早期阶段。如果一家公司发现一种类型的攻击，就会有四五个其他攻击者参与其中。训练有素的神经网络如何分析危机 PR 会阻止这些加密。”

这正是一些安全供应商正在做的事情 - 使用机器学习和其他人工智能 (AI) 技术来发现加密货币挖掘的迹象。

在线加密货币挖掘中的防御受到各种反检测方法的挑战

许多供应商正在网络级别检测加密货币挖掘。 SecBI Ltd 首席技术官 Alex Vaystikh 表示：

“现在[在终端上]检测问题非常棘手，加密货币挖掘会影响从移动设备到物联网、笔记本电脑、台式机的所有事物。它可以是有意的或无意的（在我的编辑器中，它可以是文件或无文件） )，范围很广。”

Vaystikh 说所有加密的恶意软件都有一个共同点。

“为了挖掘任何加密货币，你必须能够进行通信，接收新的哈希值，然后在计算后将它们返回给服务器并放入正确的钱包中。”

" p>

这意味着检测加密货币挖掘的最佳方法是监控网络中的可疑活动。不幸的是，加密货币挖掘流量很难与其他类型的通信区分开来。实际消息非常短，恶意软件编写者使用各种技术来混淆它们。 Vaystikh 说：

“这样的事情很难写规则，所以能发现的公司不多，几乎所有5000人以上的企业都已经有了这个数据，通过海量数据非常非常难。”

SecBI 的自主调查技术已学会检测加密劫持

SecBI 的自主调查技术，通过使用机器学习，是数据，寻找可疑模式来解决问题。 Vaystikh 说，SecBI 似乎有数千个因素。例如，虽然恶意软件编写者会尝试通过随机化间隔来掩盖通信的规律性，但加密挖掘流量是周期性的，并且

加密货币挖掘也有不寻常的消息长度。传入流量，哈希很短。传出的结果会稍长一些。相比之下，与正常的互联网流量相比，初始请求很短加密货币恐慌指数软件加密货币恐慌指数软件，响应时间很长。 Vaystikh 表示，在比特币挖矿中，实际上上传的内容比下载的内容要多一点，这是我们所期望的。该技术可应用于亚马逊等公共云基础设施以及内部网络。

尽管 605 的网络流量现在已加密，但通信的周期性、消息的长度和其他微妙的指标结合起来可以帮助系统发现感染。事实上，当加密货币挖掘首次出现时，SecBI 的平台可能在它甚至不知道它是什么之前就将其标记为恶意。现在，当我们的用户看到它时，他们会说：

“这是加密货币挖掘，软件现在可以进行分类了。”

在过去的几年中，到月中旬，SecBI 的系统已经学会了检测加密劫持，对其进行正确分类，甚至立即采取纠正措施。例如，您可以自动向防火墙发布新规则以隔离流量并阻止它。但并不是每个人都会选择自动执行此响应。如果合法网站被劫持，我们的技术有能力推荐最佳解决方案 - 重新镜像机器或阻止目标，并且客户可以在该特定情况下选择最佳行动方案。

Darktrace 企业免疫系统技术支持网络异常检测

另一家正在分析网络流量以发现潜在加密挖掘活动的安全供应商是 Darktrace 及其企业免疫系统技术。该公司网络智能和分析总监 Justin Fier 表示：

“我们在网络级别进行异常检测，并且可以在任何计算机上捕捉到细微的偏差，如果您的计算机习惯于 XYZ 并突然开始执行我们过去所做的事情，那么您将能够以前所未有的方式轻松发现。在危机公关体验中发生在数千台计算机上时，它会更容易。”

这不仅仅是易受攻击的计算机。菲尔说：

“任何计算周期都可以用于此。我们被许多连接到互联网的 IP 地址所包围，这些 IP 地址可以作为超级计算机连接以挖掘加密货币。恒温器不会产生任何东西，但是当你把它们放在一个拥有数十万个的开发池中时，它就足以产生影响了。”

另一个影响不大的平台，但可以为 Coinhive 基金等浏览器添加一些重要的密码。加密挖掘工具在 JavaScript 中运行，并由受感染的网站加载，或者有时由其所有者故意决定通过劫持访问者机器来筹集资金的网站加载。一两台计算机可能没什么大不了的，但如果你拥有数千台计算机，就会开始影响公司的整体资源和带宽，有些公司甚至可能由于各种监管原因而无法合法开采加密货币。

有几种方法可以防止基于浏览器的加密货币挖掘

防止基于浏览器的加密攻击的有效方法是关闭 JavaScript。这是一个核选项，因为 JavaScript 在网络上用于合法目的。 Bad Packets Report 的安全研究员 Trope Mursch 表示，防病毒软件还可以阻止一些基于浏览器的攻击，包括 Malwarebytes、ESET、Avast、卡巴斯基和 Windows Defender。它们有局限性，危机公关的防病毒公司和浏览器没有明确确定谁应该负责阻止不良 JavaScript，网络级别的检测至关重要。

默许说：

“我还没有看到任何 AV 产品的端点检测是基于对单独行为的加密攻击 - 基于浏览器的加密。更有针对性的方法是安装浏览器扩展。他推荐 minerBlock。

WatchGuard Technologies 的信息安全威胁分析师 Marc Laliberte 说：

“另一个有效的扩展是 NoCoin，它阻止了 Coinhive 及其克隆 干得好，但是有几个合法扩展感染了加密货币挖掘恶意软件的案例。 "

与 SecBI 和 Darktrace 一样，WatchGuard 为加密劫持提供基于网络的防御策略。拉利伯特说：

“WatchGuard 防火墙可以代理连接和检查流量并寻找加密货币矿工之类的恶意行为，而在过去的一个月里，我们在美国的前 10 名攻击名单中有两个加密货币矿工。”

该公司寻找迹象，例如与已知加密货币矿池的连接，并使用沙盒。拉利伯特说：

“我们喜欢将事物标记为未在好坏之前查看多种行为。 "

这些指标变得越来越细微，我们真的开始看到攻击者花时间倒退到恶意软件不像勒索软件那样公开的地方。持续的收入流比一次性完成的勒索软件等要好。因此，攻击者不会使他们的恶意软件完整。令人怀疑的是，您不能只关注资源利用率，而是考虑网络流量和其他潜在的权衡指标。

在端点上实施智能加密货币挖掘检测面临合法软件和行为的欺骗

加密检测的另一种方法是保护端点。根据 Tripwire 产品管理和战略副总裁的说法，根据 Tim Erlin 的说法，攻击者可以通过使用加密技术和不太明显的通信渠道来规避基于网络的防御。检测加密货币挖掘的最有效方法是直接在端点。这就是为什么可以有效地监控系统更改并确定获得许可的重要性。

端点保护供应商 CrowdStrike 的服务总监 Bryan York 表示，端点保护技术必须足够智能，才能捕获以前未知的威胁，而不仅仅是阻止已知的不良活动。这不仅限于可执行恶意软件。攻击者现在正在使用脚本语言，利用在您的计算机和系统上合法使用的软件，并以非法方式使用它。

CrowdStrike 既可以在传统终端设备（例如员工桌面）上运行，也可以在基于云的虚拟机上运行。我们在云环境中遇到过一些加密货币挖矿安装挖矿软件的案例，例如 AWS EC2 实例。我们采取了类似的方法来防止这些问题，并且有一个独特的方面是了解它是如何到达那里的，要了解这一点，您需要使用 AWS Log 数据提供的 API，这使得这些调查更具挑战性，但是更有趣一点。

内部人员的恶意或非恶意加密货币挖掘行为

York 表示，当加密货币挖掘软件是由合法用户故意安装时，更难找到它。几周前我刚刚参与了一个案子，一个流氓内部人员的调查，一个心怀不满的员工，当他离开公司时，在整个环境中部署加密货币挖掘软件的决定也是一种表达他对公司。

特别困难的是，这家伙知道他的公司如何检测加密货币挖掘并阻止它的传播机制。约克说：

“他开始在谷歌上搜索并阅读我们在他的网络浏览器历史中发现的一些已发表文章，他试图颠覆我们。 ”

公司政策可能不会明确禁止员工使用公司资源运行加密货币挖掘软件，但设置此类操作可能会给员工带来风险。 Ixia McGregory 应用和威胁情报研究中心高级主任史蒂夫表示，该法案将出台，此人将被解雇。所以这可能是一个短命的程序，但有了控制日志的能力，一个流氓员工可以在一段时间内赚到可观的钱。

< 他补充说，教育机构尤其容易受到攻击。很多向我们求助的人是大学，学生只需将他们的 ASIC [加密采矿] 系统插入宿舍并激活他们的电费，大学支付账单，所以费用很高，学生不非法访问系统。员工也可以插入自己的设备，很难追查电费飙升的真正原因。他们可能只是四处走走，看看最温暖的地方是什么。

ForeScout 新兴技术副总裁 Robert McNutt 表示，值得信赖的内部人员还可以在 AWS、Azure 或 Google Cloud 上启动虚拟机，进行计算，然后在有人注意到之前快速关闭虚拟机时进行计算。这是企业应该考虑的真正风险，因为它很难被发现，而且有些企业利润丰厚，因此变得越来越普遍。

他补充说，窃取凭据的外部攻击者也可以这样做。事实上，亚马逊现在提供带 GPU 的 EC2 实例，这使得加密货币挖掘更加高效，但这使得公司支付账单的成本更高。