- 2018年3月, 下載 | 卡巴免費(fèi)KLara惡意軟件掃描工具 30分鐘可掃描10TB文件
- 2018年3月, R2D2新技術(shù)抵御Wiper擦除器惡意軟件及人為惡意刪除數(shù)據(jù) 產(chǎn)品經(jīng)理可以看看
- 2018年3月, 視頻 | 新的惡意軟件分析沙盒服務(wù) 可以分析需要交互才能執(zhí)行的惡意軟件或文檔
- 2018年2月, 基于信譽(yù)庫的惡意軟件檢測機(jī)制靠譜嗎?來看趨勢科技的專利
從推薦文章也可以看到安全廠商正在利用 機(jī)器學(xué)習(xí)和人工智能,發(fā)現(xiàn)及抵御惡意軟件的侵襲
如下文章中提到的技術(shù)點相關(guān)文章見文末
似乎加密貨幣挖礦行為只能寄希望于機(jī)器學(xué)習(xí)或人工智能
企業(yè)非常關(guān)注任何關(guān)鍵數(shù)據(jù)在 勒索軟件 攻擊中被盜或加密的跡象。Cryptojacking是隱身的,企業(yè)很難發(fā)現(xiàn)。它造成的損害是真實的,但并不總是顯而易見的。如果 加密貨幣挖礦惡意軟件 感染云基礎(chǔ)設(shè)施或 加密電費(fèi)賬單 ,這種損害可能會立即產(chǎn)生財務(wù)影響,它也可能會減慢機(jī)器的生產(chǎn)力和性能。
Flashpoint的情報分析師Carles Lopez-Penalver說:
“對于不是專門用于加密挖掘的CPU,它可能對您的硬件不利,會讓它們跑得更慢。Cryptojacking處于早期階段。如果一家公司發(fā)現(xiàn)一種類型的攻擊,那么會有四五個其他攻擊者進(jìn)入。一個訓(xùn)練有素的神經(jīng)網(wǎng)絡(luò)可能會阻止這些加密。”
這正是某些安全廠商正在做的 – 使用 機(jī)器學(xué)習(xí) 和其他 人工智能 (AI)技術(shù)來發(fā)現(xiàn)表明加密貨幣挖礦行為。
網(wǎng)絡(luò)加密貨幣挖礦的防御 面臨各種反檢測手段的挑戰(zhàn)
許多供應(yīng)商正在檢測網(wǎng)絡(luò)級別的加密貨幣挖礦行為。SecBI有限公司的CTO亞歷克斯Vaystikh說:
“檢測[在終端]現(xiàn)在的問題是非常棘手的,加密貨幣挖礦影響了從移動設(shè)備到物聯(lián)網(wǎng)、筆記本電腦、臺式機(jī)和服務(wù)器任何東西。它可以是有意或無意的(小編,還可以是有文件或無文件類型的),非常廣泛。“
Vaystikh說,所有加密的惡意軟件都有一個共同點。
“為了挖掘任何加密貨幣,你必須能夠溝通,接收新的哈希值,然后在計算它們之后,將它們返回給服務(wù)器并將它們放入正確的錢包中。”
這意味著檢測加密貨幣挖礦行為的最佳方式,是監(jiān)視網(wǎng)絡(luò)是否存在可疑活動。不幸的是, 加密貨幣挖礦 流量很難與其他類型的通信區(qū)分開來。實際的消息非常短,惡意軟件編寫者使用各種技術(shù)來混淆它們。Vaystikh說:
“為這樣的事情寫出規(guī)則是非常困難的,因此,沒有多少公司能夠發(fā)現(xiàn)它,幾乎所有5000人以上的企業(yè)都已經(jīng)擁有這些數(shù)據(jù),瀏覽他們擁有的大量數(shù)據(jù)是非常非常困難的。”
SecBI的自主調(diào)查技術(shù)已經(jīng)學(xué)會檢測密碼劫持
SecBI的自主調(diào)查技術(shù),通過使用 機(jī)器學(xué)習(xí) 在通過企業(yè)網(wǎng)絡(luò)發(fā)現(xiàn)的大量海量數(shù)據(jù)中,查找可疑模式來解決此問題。Vaystikh說,SecBI看起來有幾千個因素。例如,盡管惡意軟件編寫者會嘗試用各種手段來掩飾通信的規(guī)律性質(zhì),通過隨機(jī)化間隔,但加密挖掘流量是周期性的,
加密貨幣挖礦 也具有不尋常的消息長度。傳入流量、散列是很短的。傳出的結(jié)果會稍長。相比之下,與正常的互聯(lián)網(wǎng)流量相比,最初的請求很短,響應(yīng)時間很長。Vaystikh說在比特幣挖掘中,實際上傳的內(nèi)容比下載的要多一點,這是我們期待的。這項技術(shù)可以應(yīng)用于像亞馬遜這樣的公共云基礎(chǔ)設(shè)施以及內(nèi)部網(wǎng)絡(luò)。
即使現(xiàn)在605的網(wǎng)絡(luò)流量是加密的 ,通信的周期性、消息的長度和其他細(xì)微指標(biāo)組合起來可以幫助系統(tǒng)發(fā)現(xiàn)感染。實際上,當(dāng)加密貨幣挖礦首次出現(xiàn)時,SecBI的平臺甚至可能在它知道它是什么之前就會將其標(biāo)記為惡意的。現(xiàn)在,我們的用戶看到它后,會說:
“這是 加密貨幣挖礦 ,現(xiàn)在的軟件已經(jīng)可以進(jìn)行分類了。”
在過去的幾個月中,SecBI的系統(tǒng)已經(jīng)學(xué)會檢測密碼劫持,將其正確分類,甚至可以立即采取糾正措施。例如,您可以自動向防火墻發(fā)布新規(guī)則,以隔離流量并阻止它。但并非每個人都會選擇自動化這種響應(yīng)。如果一個合法的網(wǎng)站已被劫持,我們的技術(shù)有能力推薦最佳解決方案 -重新成像機(jī)器或阻止目標(biāo),并且客戶可以在該特定情況下選擇最佳的行動方案。
Darktrace企業(yè)免疫系統(tǒng)技術(shù)能夠進(jìn)行網(wǎng)絡(luò)異常檢測
另一家正在分析網(wǎng)絡(luò)流量以發(fā)現(xiàn)潛在加密挖掘活動的安全廠商是Darktrace及其企業(yè)免疫系統(tǒng)技術(shù)。該公司網(wǎng)絡(luò)智能和分析主管Justin Fier說:
“我們在網(wǎng)絡(luò)層面進(jìn)行異常檢測,可以捕獲任何計算機(jī)上的微妙偏差,如果你的電腦習(xí)慣于XYZ,并且突然開始做我們以前從未見過的事情,這種情況很容易發(fā)現(xiàn)。當(dāng)它發(fā)生在成千上萬臺計算機(jī)上時就更容易了。”
這不僅僅是易受攻擊的計算機(jī)。Fier說:
“任何計算周期都可以用于此。我們被連接到互聯(lián)網(wǎng)的許多IP地址所包圍,可以連接成一臺超級計算機(jī)來挖掘加密貨幣。一個恒溫器不會產(chǎn)生任何東西,但是當(dāng)你將它們放在有數(shù)十萬個的開發(fā)池中時,這足以產(chǎn)生影響。“
另一個并沒有太大影響的平臺,但可以增加一些嚴(yán)重的基于瀏覽器的密碼,比如Coinhive的資金。加密挖掘工具以JavaScript運(yùn)行,并由受感染的網(wǎng)站加載,或者有時由業(yè)主故意決定通過劫持訪問者的機(jī)器來籌集資金的網(wǎng)站加載。一臺或兩臺電腦可能不是什么大不了的事,但如果你有數(shù)千臺電腦,你就開始影響公司的整體資源和帶寬,由于各種監(jiān)管原因,某些公司甚至可能不會被合法地開采加密貨幣。
預(yù)防基于瀏覽器的加密貨幣挖礦行為 可以有多種措施
防止基于瀏覽器的加密攻擊的一個有效方法是關(guān)閉JavaScript。這是一個核選項,因為JavaScript被用于整個網(wǎng)絡(luò)的合法目的。殺毒軟件還可以阻止一些基于瀏覽器的攻擊,Bad Packets Report的安全研究員Trope Mursch說,包括Malwarebytes、ESET、Avast、卡巴斯基和Windows Defender。它們有局限性,反病毒公司和瀏覽器供應(yīng)商尚未明確確定誰應(yīng)該負(fù)責(zé)阻止糟糕的JavaScript,網(wǎng)絡(luò)級檢測是至關(guān)重要的。
Mursch說:
“還沒有看到任何AV產(chǎn)品的端點檢測是基于單獨(dú)行為的加密攻擊 – 基于瀏覽器的加密挖掘。更有針對性的方法是安裝瀏覽器擴(kuò)展。他推薦minerBlock。
WatchGuard Technologies信息安全威脅分析師Marc Laliberte說:
“另一個可行的擴(kuò)展是NoCoin,它在阻止Coinhive及其克隆方面做得不錯,但是有幾起合法擴(kuò)展感染了Crytocurrency挖掘惡意軟件的案例。”
像SecBI和Darktrace一樣,WatchGuard為cryptojacking提供了基于網(wǎng)絡(luò)的防御策略。Laliberte說:
“WatchGuard防火墻可以代理連接并檢查流量,并尋找像cryptocurrency礦工這樣的惡意行為,在過去的一個月中,我們在美國排名前十的攻擊名單中有兩名加密貨幣礦工。”
該公司尋找標(biāo)志,例如與已知加密礦池的連接,并使用 沙盒技術(shù) 。Laliberte說:
“我們喜歡在將某些東西標(biāo)為不好或不好之前查看多種行為。”
這些指標(biāo)越來越微妙,我們真的開始看到攻擊者將時間倒退到惡意軟件不像發(fā)生勒索軟件那樣公開的地方。持續(xù)的收入來源比勒索軟件等一次性完成的攻擊更有價值。?因此,攻擊者不會讓他們的惡意軟件變得完整。這變得令人懷疑,你不能僅僅關(guān)注資源利用率,而是考慮網(wǎng)絡(luò)流量和其他潛在的折衷指標(biāo)。
在終端上實施智能的加密貨幣挖礦檢測 面臨了合法軟件及行為的欺騙
加密檢測的另一種方法是保護(hù)端點。根據(jù)Tripwire產(chǎn)品管理和戰(zhàn)略副總裁Tim Erlin的說法,攻擊者可以通過使用加密技術(shù)和不太明顯的通信渠道來逃避基于網(wǎng)絡(luò)的防御。檢測加密貨幣挖掘的最有效方法是直接在終端上進(jìn)行檢測。這就是為什么能夠有效監(jiān)控系統(tǒng)變化并確定它們是否被授權(quán)至關(guān)重要的原因。
端點保護(hù)廠商CrowdStrike的服務(wù)總監(jiān)Bryan York表示,終端保護(hù)技術(shù)必須足夠聰明才能捕獲以前未知的威脅,而不僅僅是阻止已知的不良活動。這不僅限于可執(zhí)行的惡意軟件。攻擊者現(xiàn)在正在使用腳本語言,利用在您的計算機(jī)和系統(tǒng)上合法使用的軟件,并以非法的方式使用它。
CrowdStrike既可以在傳統(tǒng)的終端設(shè)備(如員工桌面)上運(yùn)行,也可以在基于云的虛擬機(jī)上運(yùn)行。我們遇到了一些在云環(huán)境中安裝加密貨幣挖礦軟件的案例,例如AWS EC2實例。我們采取了類似的方法來防止這些問題,還有一個獨(dú)特的方面,那就是了解它是如何到達(dá)那里的,要理解這一點,您需要使用AWS提供的API日志數(shù)據(jù),這使得這些調(diào)查有點更具挑戰(zhàn)性,但更有趣一點。
內(nèi)部人員惡意或非惡意的加密貨幣挖礦行為
約克說,當(dāng)加密貨幣挖礦軟件被合法用戶故意安裝時,發(fā)現(xiàn)它就更具挑戰(zhàn)性。幾周前我剛剛參與了一起案件,一名流氓內(nèi)部人員的調(diào)查,一名心懷不滿的員工,在他離開公司的時候,決定在整個環(huán)境中部署加密貨幣挖礦軟件,也是展示他對公司蔑視的一種方式。
特別困難的是,這個家伙知道他的公司是如何檢測加密貨幣挖掘并防止其傳播的機(jī)制。約克說:
“他開始使用谷歌搜索并閱讀已發(fā)表的一些文章,我們在他的網(wǎng)絡(luò)瀏覽器歷史中發(fā)現(xiàn)了相關(guān)資料,他正試圖顛覆我們。”
公司政策可能并未明確禁止員工使用公司資源運(yùn)行加密貨幣挖礦軟件,但設(shè)置此類操作對于員工而言可能具有風(fēng)險。Ixia公司應(yīng)用與 威脅情報 研究中心高級主管Steve McGregory說該法案將會出現(xiàn),這個人會被解雇。所以這可能是一個短暫的計劃,但如果有能力控制日志,一個流氓員工可以在一段時間內(nèi)賺到一個體面的錢。
他補(bǔ)充說,教育機(jī)構(gòu)尤其脆弱。很多向我們求助的人都是大學(xué),學(xué)生們只需將他們的ASIC [加密挖掘]系統(tǒng)插??入宿舍并啟動電費(fèi)賬單即可,大學(xué)支付賬單,所以費(fèi)用很高,學(xué)生沒有非法進(jìn)入系統(tǒng)。員工也可以插入自己的設(shè)備,并且很難追蹤電費(fèi)高峰的真正原因。他們可能會通過四處走動,看到最暖和的地區(qū)是什么。
ForeScout新興技術(shù)副總裁Robert McNutt說,值得信賴的內(nèi)部人員還可以在AWS、Azure或Google云上啟動虛擬機(jī),進(jìn)行計算,然后在任何人注意之前快速關(guān)閉虛擬機(jī)。這是企業(yè)應(yīng)該考慮的真正風(fēng)險,因為它很難被發(fā)現(xiàn),而且有些企業(yè)可能非常有利可圖,從而使其變得更加普遍。
他補(bǔ)充道,偷竊證件的外部攻擊者也可以這樣做。事實上,亞馬遜現(xiàn)在提供帶有GPU的EC2實例,這使得加密挖掘更加高效,但這使該公司支付賬單的成本更高。
文中提到的技術(shù)點相關(guān)文章
2018年2月, 下載 | 2017惡意軟件報告呈現(xiàn)3大變化 勒索軟件攻擊、加密貨幣挖礦及惡意軟件分發(fā)技術(shù)
2018年1月, 不要成物聯(lián)網(wǎng)惡意軟件攻擊的幫兇 趕緊看看你家路由器的7個安全設(shè)置 ,PV 3739
2018年1月, 下載 | 2018網(wǎng)絡(luò)安全規(guī)劃:金融網(wǎng)絡(luò)安全建設(shè)方案(含方法和內(nèi)容) ,PV 5734
2018年1月, 視頻 | 思科發(fā)布加密流量分析技術(shù)ETA 無需解密就可以識別惡意軟件 ,PV 5875
2018年1月, 2018網(wǎng)絡(luò)安全發(fā)展趨勢 人工智能與攻防PK ,PV 8524
2017年12月, WebLogic遭watch-smartd挖礦惡意軟件感染 綠盟科技分析防護(hù)方案及檢測工具 ,PV 10861