随着加密货币市值的飙升,恶意采矿软件正在全球肆虐。比员工上班钓鱼更可怕的是,外部或内部的采矿软件正在悄悄消耗企业IT资源侵蚀企业利润。当罪犯通过 Web 加密劫持(挖矿)发生在服务器和浏览器劫持系统中。JavaScript 通常注入或植入 Web 服务器,当用户访问网页时,浏览器会被感染,把他们的电脑变成矿工。
恶意挖掘活动的检测方法如下:
监控网络性能
首先,企业安全团队需要检查系统性能。终端用户可能会注意到 CPU 利用率过高、温度变化或风扇速度加快可能是业务应用程序编码不当的迹象,但也可能表明系统中隐藏着恶意软件,企业可以设置安全基线,更好地发现系统中的异常。然而,仅仅依靠性能异常来识别系统是否受到影响并不是一个完美的政策。
最近的事件表明,攻击者正在限制对系统 CPU 的需求隐藏了它的影响。例如,最近的微软数字防御报告指出,越南威胁组织 BISMUTH 通过法国和越南的私营部门和政府机构“融入”避免检测正常的网络活动。由于加密货币矿工往往被安全系统视为优先级较低的威胁, BISMUTH 不注意就能潜入系统。
查看未经授权连接的日志
除了检查性能异常的计算机外,企业还应检查防火墙和代理日志,了解其正在建立的连接,以检测隐藏的恶意采矿活动。企业最好准确地了解有权连接的位置和位置IP地址,如果过程太繁琐,请至少查看防火墙日志,防止已知的加密矿工服务器地址。Nextron 博客文章分析了常见的加密矿池,建议查看防火墙或 DNS 服务器是否受到影响。
例如,查看是否有包含 *xmr.* *pool.com *pool.org 和 pool.* 日志,看看是否有人滥用企业网络。如果企业有高度敏感的网络,可以设置白名单,允许必要的IP然而,在云计算时代,这种方法很难实现。例如,当微软为其 时Azure微软客户中心增加新范围时,微软客户可能需要调整授权 IP 地址列表无疑增加了客户的负担。
使用浏览器扩展组件,防止恶意挖掘软件
一些浏览器扩展组件可以监控和阻止恶意挖掘软件,如NoCoin和MinerBlocker就能监控可疑活动,并阻止攻击,两者都是适用于 Chrome、Opera 和 Firefox 扩展程序。企业也可以禁用浏览器 JavaScript 因恶意 JavaScript 应用程序通过横幅广告和其他网站操作技术传播。然而,浏览器在企业中被禁止。JavaScript需要提前确认,因为这样做可能会对网站的业务功能产生不利影响。
启用Edge浏览器的 Super-Duper安全模式
微软正在测试Edge浏览器的Super-Duper通过 V8 JavaScript即时 禁用于发动机JIT 编译提高 Edge 的安全性。微软表示,现代浏览器中的 JavaScript 漏洞是攻击者最常用的载体。2019年 CVE 漏洞数据显示,大约45%的 V8 攻击与 JIT 相关。但禁用 JIT 编译确实会影响性能,Microsoft Browser Vulnerability Research 的测试证实了这一点。Speedometer 2.0 这样的JavaScript 在基准测试中,其性能下降了58%。然而,微软表示,用户不关心这种性能下降,因为用户在日常使用中很少注意到这种性能下降。