如何在網(wǎng)絡(luò)上發(fā)現(xiàn)和阻止加密挖礦攻擊
冰島因其廉價的電力而成為比特幣開采的重要樞紐,人們的計(jì)算機(jī)也可能被網(wǎng)絡(luò)犯罪分子劫持成為加密挖礦的理想場所。
加密挖礦是創(chuàng)建加密貨幣的過程。人們可以從挖掘加密貨幣獲利,這一過程是合法的,但加密挖礦的犯罪行為通常利用劫持他人的計(jì)算機(jī)進(jìn)行加密挖礦來獲利。
當(dāng)惡意行為者通過Web服務(wù)器和Web瀏覽器劫持計(jì)算機(jī)時,就會發(fā)生加密劫持。惡意JavaScript代碼通常被注入或植入Web服務(wù)器,當(dāng)用戶訪問網(wǎng)頁時,他們的瀏覽器被感染,將他們的計(jì)算機(jī)變成加密挖礦的礦工。
那么是否能夠檢測并保護(hù)自己免受這一活動的影響呢?絕對可以,人們可以從發(fā)現(xiàn)加密挖礦礦工的方法開始。
監(jiān)控網(wǎng)絡(luò)性能
首先,檢查網(wǎng)絡(luò)上系統(tǒng)的性能。企業(yè)的員工如果注意到其計(jì)算機(jī)CPU使用率過高、溫度上升或風(fēng)扇速度加快,并將其報告給IT團(tuán)隊(duì)。這種情況可能是業(yè)務(wù)應(yīng)用程序編碼不當(dāng)?shù)恼髡祝部赡鼙砻飨到y(tǒng)上存在隱藏的惡意軟件。因此需要設(shè)置系統(tǒng)基準(zhǔn)以更好地發(fā)現(xiàn)系統(tǒng)中的異常。
但不要僅僅依靠性能異常來識別受影響的系統(tǒng)。最近的事件表明,網(wǎng)絡(luò)攻擊者正在限制對系統(tǒng)的CPU需求以隱藏其影響。例如,微軟公司最近發(fā)布的一份數(shù)字防御報告指出了越南網(wǎng)絡(luò)犯罪組織BISMUTH的威脅活動,該組織主要針對的目標(biāo)是法國和越南的私營部門和政府機(jī)構(gòu)。微軟公司在這份報告中指出,“由于加密挖礦礦工往往被安全系統(tǒng)視為優(yōu)先級較低的威脅,因此BISMUTH能夠利用由其惡意軟件引起的較小警報配置文件潛入系統(tǒng)而不引起注意。BISMUTH通過與正常網(wǎng)絡(luò)活動的融合來避免檢測。”
查看未經(jīng)授權(quán)連接的日志
除了檢測出現(xiàn)異常的計(jì)算機(jī)之外,如何檢測此類隱蔽的惡意行為者?查看防火墻和代理日志以了解它們正在建立的連接。應(yīng)該確切知道企業(yè)資源有權(quán)連接到哪些網(wǎng)址和平臺。如果這個過程過于繁瑣,需要查看防火墻日志并阻止已知的加密礦工的位置。
Nextron公司最近發(fā)表的一篇博客文章指出了他們在使用中看到的典型加密礦池。可以查看防火墻或DNS服務(wù)器以查看是否受到影響。查看包含*xmr.**pool.com*pool.org和pool.*的模式的日志,看看是否有人或任何東西在占用網(wǎng)絡(luò)。如果企業(yè)有一個高度敏感的網(wǎng)絡(luò),需要將連接限制為網(wǎng)絡(luò)所需的那些IP位置和地址。在這個云計(jì)算時代,這很難確定。即使跟蹤微軟公司使用的IP地址也很難跟上。例如,當(dāng)微軟公司為其Azure數(shù)據(jù)中心添加新范圍時,可能需要調(diào)整授權(quán)IP地址列表。
使用阻止加密礦工的瀏覽器擴(kuò)展
一些瀏覽器擴(kuò)展將監(jiān)控并阻止加密礦工。例如,NoCoin和MinerBlocker解決方案可以監(jiān)控可疑活動并阻止網(wǎng)絡(luò)攻擊,這兩者都有適用于Chrome、Opera和Firefox各種瀏覽器的擴(kuò)展程序。或者可以阻止JavaScript在瀏覽器中運(yùn)行,因?yàn)閻阂釰avaScript應(yīng)用程序是通過橫幅廣告和其他網(wǎng)站操作技術(shù)傳播的。調(diào)查是否可以阻止JavaScript,因?yàn)樗赡軙Τ鲇跇I(yè)務(wù)原因需要的某些網(wǎng)站產(chǎn)生不利影響。
考慮邊緣的Super-Duper安全模式
邊緣正在測試微軟所謂的Super-Duper安全模式。它通過在V8 JavaScript引擎中禁用即時(JIT)編譯來提高邊緣的安全性。微軟公司表示,現(xiàn)代瀏覽器中的JavaScript漏洞是網(wǎng)絡(luò)攻擊者最常見的載體。調(diào)研機(jī)構(gòu)在2019年的調(diào)查表明,大約45%的V8攻擊與JIT相關(guān)。
禁用JIT編譯確實(shí)會影響性能,而Microsoft瀏覽器漏洞研究所進(jìn)行的測試顯示了一些倒退。Speedometer2.0等JavaScript基準(zhǔn)測試顯示下降幅度高達(dá)58%。盡管如此,微軟公司表示,用戶并沒有注意到性能下降,他們很少注意在日常使用中的差異。
人們需要從外部和內(nèi)部威脅的角度來看加密挖礦,檢查這些選項(xiàng),以主動保護(hù)自己免受潛在攻擊。
