“挖矿”恶意代码肆虐,安天智甲有效防护

时间  2018年03月14日  来源:  Antiy

1.恶意“挖矿”概述

随着虚拟货币被疯狂炒作,伴随而来的是疯狂的“挖矿”行为。“挖矿”方式有两种:一种是solo式(直接连入中心网络工作),产出收益均归自己所有;另一种是连入矿池,收益与矿池分成。由于连入矿池的技术难度较低并且收益相对稳定,所以恶意“挖矿”会选择这种方式。“挖矿”的本质是计算符合条件的hash值并返回,采用的方式为爆破式计算,主要特征表现为消耗主机资源,浪费用户电量。

为什么“挖矿”活动会日益兴盛?将其与同样很流行的勒索活动进行对比可以发现,相对于勒索软件,“挖矿”活动收入更加稳定。在勒索事件中,一方面很难精确定位加密到有重要内容的主机,另一方面用户交付赎金后又不能保证一定得到解锁服务,这就导致了勒索活动的规模和获得的赎金严重不成正比(例:“魔窟”(WannaCry)事件)。

而在“挖矿”活动中,只要运行在计算机上就可以在矿池中获得shares(具体情况要根据矿池的分配模式)并转换成收益。“挖矿”的难度也比勒索活动要低,其大部分会使用开源的程序并注册一个钱包地址,“挖矿”过程中不需要投入其他精力便可坐享其成。

另外,虚拟货币的增值性和匿名性也是促使勒索活动和恶意“挖矿”活动兴盛的原因之一。通过虚拟货币不仅可以逃避现实世界的金融追查手段而且还获得了具有增值潜力的货币,可谓一箭双雕,这也是恶意“挖矿”更喜欢匿名货币(例:门罗币)的原因。

面对恶意“挖矿”软件,安天智甲终端防御系统(英文简称IEP,以下简称安天智甲)采用行为分析结合终端资源监控的防御方案,可有效防御恶意“挖矿”行为。

2. “挖矿”恶意软件及投递方式

在安天持续关注的恶意“挖矿”事件中发现,攻击者大多采用的是开源的程序作为组件或者单独释放,如:xmrig、coin-hive、deepMiner、cpuminer等。

其中在主机端的载荷投放数量日益增加,手段也越来越高明和隐蔽。但大部分“挖矿”代码还是采用现有的源代码为基础更改或混淆而成。以下为主机端投递的样本部分截图:

图2.1 cpuminer

图2.2 xmrig

相对于主机端的讳莫如深,Web端“挖矿”则是明目张胆。大量的网站入侵和修改源码导致Coinhive稳居Web端“挖矿”的半壁江山。在此期间被利益吸引的玩家先后入场,包括黑客、网站的经营者(例:海盗湾事件)、广告商(例:广告联盟)等。除了Coinhive以外还有deepMiner、CoinImp、Crypto-Loot等Web端“挖矿”源码。

图2.3 Coinhive

图2.4 Crypto-Loot

恶意“挖矿”活动主要包括以下投递方式:

1. 利用漏洞进行传播和下载“挖矿”程序;
2. 利用powershell下载并执行“挖矿”程序;
3. 利用恶意下载器下载启动“挖矿”程序;
4. 利用已有僵尸网络“挖矿”;
5. 将“挖矿”组件加入到合法或开源软件;
6. 入侵网站修改页面源代码;
7. 修改广告件。

3.判别 “挖矿”行为及解决方案

现象一:电脑经常卡顿、CPU使用率莫名其妙居高不下。

判定方法:如果发现自己的电脑经常卡顿,CPU使用率莫名其妙居高不下,可以查看任务管理器、开机启动项和注册服务检查是否有以下字样的任务存在来判断是否存在“挖矿”活动,它们也可能是powershell或cmd的参数。

图2.4 Crypto-Loot

如果比较在乎“被挖矿”对性能的损耗和电量的浪费,可以开启wireshark抓包软件,检查所有tcp连接中的传递载荷,如果存在连续几个数据包符合stratum协议的json载荷特征,便证明电脑正在为别人“挖矿”。协议内容如下图:

图3.2 stratum通讯协议

json中主要字符串有:id、method、mining.subscribe、params、result、login、job、error、mining.authorize、mining.submit、jsonrpc、submit、mining.notify、blob、status、keepalive、 mining.set_difficulty,内容主要涉及登陆、订阅、通知、提交等。

另外矿池很喜欢用3000-3999之间的端口和7777、8888、9999这种比较特殊好记的端口与矿工相连,也可用于辅助判断是否有“挖矿”程序运行。

常用解决方案:攻击者为了使自己的利益最大化,会尽最大可能开启CPU的利用率,所以在任务管理器中查看到类似任务请直接杀死进程。以下为恶意“挖矿”在任务管理器中的截图:

图3.1任务管理中的“挖矿”程序

现象二:浏览网页时,打开的明明是静态页面却很卡顿并出现CPU占用率过高的情况。

判定方法:这种情况下,可以打开网页源码查看script中是否存在含有miner,encrypt之类字样的js文件;如果存在,便证明电脑正在为别人“挖矿”。

常用解决方案:可以用chrome浏览器快捷键【Shift+Esc】打开浏览器任务管理器查看每个网页的CPU占用,将CPU占用高的网页关掉即可。

图3.3 chrome浏览器中的“挖矿”网页

上述操作只对一般的“挖矿”程序有效,对于杀死进程和关闭网页仍不能完全关掉或之后会自动重启的“挖矿”程序,建议在终端安装专业的防护软件。

安天智甲防御方案:

面对恶意“挖矿”软件,安天智甲采用了行为分析结合终端资源监控的防御方案。当终端的某进程有疑似“挖矿”的暴力计算行为,或进程CPU资源使用异常、端口使用异常时,安天智甲能够立即向用户告警,并可阻断该进程行为,实现对终端的有效防护。

图3.4 资源占用异常告警

图3.5 疑似挖矿行为告警

4.安天智甲简介

图4-1 安天智甲产品

图4-2 安天智甲管理中心

安天智甲是一款面向政府、军工、能源、金融、交通、电信等各行业用户的企业级防护产品,产品集成了病毒检测查杀、系统加固、主动防御、介质管控、文档保护、行为画像等功能,不仅能够对常规病毒进行防御,还能够对勒索软件、APT等新型威胁进行有效防御。

针对办公计算机、国产系统平台、工控上位机、虚拟化终端、移动终端等多种场景,安天智甲均具有不同的防护解决方案,为用户的系统和数据安全提供保障。

安天智甲还能有效与管理中心和安天态势感知产品互动,协助客户建立更全面的资产防护体系和风险认知能力,使态势感知能够有效落地。

1、安天智甲:更全面的场景应用——多场景支持、满足差异化需求

安天智甲不仅是一款终端防护产品,还能够以资产保障和威胁认知为视角,以形成有效的资产深度普查和端点画像为能力输出,并将数据同步至安天态势感知平台中,让用户对整个端点的资产一览无余。

2、安天智甲:更广阔的适配性——全面兼容国产化系统

3、安天智甲:更强大的功能——不仅仅是反病毒

4、安天智甲:更精准的威胁感知——3D可视化拓扑、感知全局态势

5.反思与总结

个人用户的不重视造成了大多数杀毒软件的忽视,于是更加放纵了恶意“挖矿”行为。 实际上,恶意“挖矿”行为不仅仅会消耗用户电量、造成电脑卡顿影响正常使用,长时间会损耗设备,减少设备的使用年限。

虽然根据虚拟货币的设定,币是会被开采完的,但是之后还是可以通过运算确认交易,收取手续费赚取利润。同时,其他的币种出现和矿池崛起会造成恶意“挖矿”活动更加猖獗。由于虚拟货币的存在是以参与者相信为基础的,因此,只要有人相信,其就会一直存在。

近些年来移动端恶意“挖矿”的活动也呈现逐年增加的趋势,移动端也慢慢的加入到了抵御“挖矿”的活动中。用户在使用移动端产品时同样要有安全意识,不要轻易下载安装来源不明的程序。

由于现行的大部分“挖矿”方式基于工作量证明(proof of work)是一种耗电量巨大的运算,所以出现了新的基于空间证明(proof of space)的节能方式。因此将来很可能出现盗取用户存储空间的恶意行为,安天将会对该类事件进行持续跟踪分析与报导,保卫用户安全和切身利益。