对于企事业单位来说,“挖矿”带来的危害不容小觑
一方面,服务器资源被大量消耗,其他服务或软件受到影响运行 wps 的官网下载的网址在哪(wps下载电脑版官方下载官网最新版免费版)速度变慢,系统卡顿,性能变差,严重时系统获取不到资源导致直接崩溃,业务被迫中断。
另一方面,挖矿木马的成功植入意味着企业系统存在的漏洞被利用,黑客能够借机窃取服务器机密信息,甚至以此作为跳板攻击其他计算机,且挖矿木马导致的关闭安全软件行为,会让受害主机安全防护能力消失,被入侵的风险倍增。
什么是挖矿?
简单来说,挖矿就是利用芯片进行一个与随机数相关的计算,得出答案后以此换取一个虚拟币,运算能力越强的芯片就能越快找到这个随机答案,理论上单位时间内能产出越多的虚拟币,由于关系到随机数,只有恰巧找到答案才能获取奖励。
挖矿的方式介绍
主流挖矿机制介绍
01
POW工作量证明挖矿
POW工作量证明挖矿,需要专业矿机高速运转提供算力。工作量证明,说白话就是你提供劳动来挣钱(也就是算力),做得多拿得多(算力大收益大),算力大则耗电大,所以比特币挖矿耗电就是这样。代表币种比特币。
02
POS权益证明挖矿
POS权益证明挖矿,相当于持币生息(无需购买矿机)。简单说就是抵押,你的币抵押到矿池,矿池给你利息,抵押币越多,收益越大。代表币种MDX币。
03
DPOS委托权益证明挖矿
DPOS委托权益证明挖矿,选出代表帮自己挖矿(无需购买矿机)。简单的来说,你只需要去给你认为能被选中并承诺分红的节点投票,这些节点被选中后便可挖矿,你就可以获得节点承诺的相应分红。而此收益不需要你真实的操作挖矿,而仅仅只需要你动动小手指去投个票。代表币种LBTC。
04
POC硬盘存力挖矿
POC硬盘存力挖矿,以Filecoin开创的挖矿模式,拥有硬盘存储空间即可挖矿,成本较低,节能环保。简单说就是:提供硬盘存储空间获得报酬,空间越大收益越大。代表币种FIL,XCH。
挖矿方法说明
挖矿木马原理
wps电脑版的下载的地方怎么找 挖矿木马的感染方式
01官网wps的电脑版下载的网址是多少(金山wps最新怎么下载2019)
肉鸡控制类
通常由于暴露在公网上的主机和服务由于未及时更新系统或组件补丁,导致存在一些可利用的远程利用漏洞,或由于错误的配置及设置了较弱的口令导致登录凭据被暴力破解或绕过认证和校验,以至服务器失陷,被植入挖矿木马。比较常见的例如ssh爆破、rdp爆破、数据库爆破、Nday利用等等。这种方式多为攻击者写好自动化脚本或程序,进行蠕虫式、无差别攻击,一旦在某台主机落脚,该主机就会被做攻击节点,继续对外攻击、传播。
02
一般木马传播方式
该种方式和其他木马的传播方式基本一样,会利用诸如钓鱼欺诈、色情内容诱导、伪装成热门内容的图片或文档、捆绑正常应用程序等,当用户被诱导内容迷惑并双击打开恶意的文件或程序后,恶意挖矿程序会在后台执行并悄悄的进行挖矿行为。
03
供应链感染
该种方式对攻击者要求较高,但一旦成功,则受害面广、危害大。例如驱动人生供应链攻击事件。
04
挖矿劫持
挖矿劫持又叫Cryptojacking = Cryptocurrency(数字加密货币)+ Hijacking(劫持)。它的字面意义是劫持wps的官网最新的下载的地方在哪里,实际意义则是劫持用户的设备,利用 CPU 或其他处理器进行挖矿,因而也叫做:挖矿劫持。它的定义是在受害者不知情的前提下,使用受害者的计算设备来挖取wps的官网最新的下载的地方在哪里。
自从首个挖矿劫持脚本出现,已经有很多网站沦陷了,其中不乏知名网站和大公司的官网。包括星巴克 (Starbucks.com)、无限制格斗 (UFC.com) 等,就连 YouTube 都因为 Google 广告平台的漏洞而失守。
05
挖矿劫持内部人员私自安装和运行挖矿程序
官网wps最新的下载的地方在哪
除了技术面的风险,人员侧存在的风险也不可忽视,需要防止企业内部人员私自利用企业内部资源进行挖矿。
检测思路
流量侧检测
挖矿前通常伴随着各种漏洞攻击植入后门,如ssh、rdp爆破、weblogic cvE-2019-2725、Apache Struts2 CVE-2017-5638,ThinkPHP5CNVD-2018-24942等等漏洞攻击。(下图为中睿天下开发的网络攻击溯源系统拦截到的恶意漏洞攻击流量包)
官网wps 的最新的下载网站在哪里
1、
stratum协议
通过漏洞入侵之后,挖矿软件就会与矿池产生通信,stratum协议是目前主流的矿机和矿池之wps的免费版的下载地方在哪里间的TCP通讯协议,通过检测stratum协议来发现挖矿行为是行之有效的。stratum协议为JSON的数据格式,分析矿机与矿池之间使用stratum协议的通信过程,如下:
通信过程主要分为矿机登记、任务下发、账号登录、结果提交与难度调整等部分,具体过程如下:
矿机登记以mining.subscribe方法向矿池连接:
{“id”:1,”method”:”mining.subscribe”,”params”:[]}
矿池以mining.notify方法返回相关信息:
{“id”:1,”result”:[[“mining.notify”,”ae681a46897cd7735a30259ab1c5cf71f”],”089999002″,4],”error”:null}
账号登录一般分为两种,一种是直接登录,另一种是通过jsonrpc方式(很多挖矿节点与矿池的通信是依靠jsonrpc来进行请求与相应的,这种方式也是依赖于TCP的Stratum协议)。
矿机直接通过mining.authorize方法登录:
{“params”:[“miner1″,”password”],”id”:2,”method”:”mining.authorize”}
通过jsonrpc方式登录:
{“id”:1,”jsonrpc”:”2.0″,”method”:”login”,”params”:{“login”:”blue1″,”pass”:”x”,”agent”:”Windowswps 的官网最新下载网站怎么找 NT 6.1; Win64; x64″}}
结果提交通过”mining.submit”方法向矿池提交任务:
{“params”:[“miner1″,”bf”,”00000001″,”504e86ed”,”b2957c02″],”id”:4,”method”:”mining.submit”}
难度调整以mining.set_difficulty方法调整难度:
{“id”:null,”method”:”mining.set_difficulty”,”params”:[2]}
分析上面json内容,主要特征字段有id、method、jsonrpc、params、result、login、pass、agent、mining.submit等,通过对具体通信数据包进行相应特征字符串检测,以此来发现挖矿行为的存在。而网页挖矿行为也可以通过检测coinhive.min.js等特征字符串来发现。
2、
门罗部分流量特征
门罗币采用Cryptonight算法,公开提供的程序有xmr-stak,xmrig,claymore等,相应的主要流量请求特征为:
xmr-stak:
request:
{“method”:”login”,”params”:{“login”:”xxxxxxx”,”pass”:”xxx”,”rigid”:””,”agent”:”xxxxxx”},”id”:1}官网wps最新下载网址怎么找
{“method”:”submit”,”params”:{“id”:”xx”,”job_id”:”xxxxxx”,”nonce”:”xxxxx”,”result”:”xxxxxx”},”id”:1}
response:
{“method”:”job”,”params”:{“target”:”xxxxx”,”job_id”:”xxxxxx”,”blob”:”xxxxxxx”}}
xmrig:
request:
{“id”:x,”jsonrpc”:”2.0″,”method”:”login”,”params”:{“login”:”xxxxxx”,”pass”:”x”,”agent”:”xxxxx”,”algo”:[“xxx”,”xxx”,”xxx”]}}
{“id”:x,”jsonrpc”:”2.0″,”method”:”submit”,”params”:{“id”:”xxxx”,”job_id”:”xx”,”nonce”:”xxxx”,”result”:”xxxxxxx”}}
response:
{“params”:{“blob”:”xxxxxx”,”taget”:”xxxx”,”job_id”:”xxxxx”},”method”:”xxx”}
claymore:
request:
{“method”:”login”,”params”:{“login”:”xxxxxx”,”pass”:”x”,”agent”:”xxx”},”id”:1}
{“method”:”submit”,”params”:{“id”:”xxxx”,”job_id”:”xxx”,”nonce”:”xxxxx”,”result”:”xxxxx”},”id”:x}
response:
{“params”:{“blob”:”xxxxxx”,”target”:”xxxx”,”job_id”:”xxx”},”method”:”xxx”}
3、
其他行为
挖矿程序成功运行之后,挖矿木马还是尝试内网横向移动、ssh爆破、rdp爆破、各种漏洞利用,还会留下后门,增加心跳时间。如图3所示,10.2.55.93感染挖矿后对外扫描192.10.200.*的1521和445端口。(下图为中睿天下研发的网络攻击溯源系统拦截到的木马攻击流量包)
终端检测
由于挖矿程序通常会占用大量的系统资源和网络资源,通常企业机构内部出现异常的多台主机卡顿情况并且相关主机风扇狂响,在线业务或服务出现频繁无响应,内部网络出现拥堵,在反复重启,并排除系统和程序本身的问题后依然无法解决,那么就需要考虑是否感染了恶意挖矿程序。同时可疑通过进程信息、命令信息、文件信息、计划任务等进行分析判断。
1、
进程分析
通过top命令查看CPU占用率情况,并按C键通过占用率排序,查找CPU占用率高的进程。
2、
历史命令
感染挖矿木马意味着主机失陷,可能会存在异常命令,可疑通过history查看历史命令进行分析,查看是否有wget 、curl类的下载命令及恶意文件执行命令。
3、
计划任务
在开始挖矿的时候,木马会使用添加计划任务进行常驻,可使用crontab -e命令查看计划任务。
辅助手段
1、
服务器资源监控方式电脑版的WPS office的下载的入口
可对服务器/主机资源来进行监控,通过计算历史月/周平均的硬盘使用率、CPU/GPU占比、电源功率消耗等不同挖矿形式可能用到的资源,超出基线范围外可能存在异常服务器资源被耗用(也就是可能被挖矿)的情况。
2、
电费记控的方式
跟上述的资源消耗监控类型一样,通过监控用电量及产生的费用发现异常。
3、
威胁情报收集
定期收集整理互联网威胁情报关于挖矿恶意软件的域名、IP及hash值,通过边界流量监控类设备进行匹配。
4、
区块链货币媒体类软件监控
通过类似于上网行为管理功能的监测产品,对不同用户在工作时间内使用区块链钱包、区块链媒体咨询软件等进行记录,发现在上班或者异常时间内频繁活跃的用户进行审计跟踪。
如何应对挖矿木马
流量测特征检测,以门罗为例:
下图为中睿天下的流量溯源系统拦截到的挖矿通讯流量包:
上图中矿机使用mining.subscribe方法向矿池登记,矿池收到之后向矿机下发挖矿任务。
上图中框出来的json数据为矿机提交结果。
以上挖矿流量,可以自行提取特征自己组建规则拦截检测,如果能拦截到以上的网络流量那流量发起端大概率已经中了挖矿木马了。
端点侧定期扫描检查
终端检查工具下发全盘扫描检测任务
下图为中睿天下主机溯源取证系统,每天定时扫描恶意文件,扫出来的未启动的挖矿木马:
静态检测
1、
检测脚本文件特征
Windwos挖矿木马脚本文件特征,通常都会结束其他的挖矿程序,然后再启动。可以直接从文件中搜索tasklist 关键字。
linux同样也是,搜索killall 或者 kill 也能搜索出来
2、
检测配置文件
挖矿的配置文件基本上都是统一json格式,url为矿池地址,user为钱包地址,pass为矿工机器类型,这个特征比较明显可以成为一个挖矿木马的检测特征。
3、
二进制特征检测
检测传统的二进制特征(某一个段的16进制特征)、文件md5。
检测目标程序的导出导入函数。
检测目标程序的字符串常量。
内存扫描:内存字符串特征。
# 主机常驻客户端检测 #
要求人员安装反病毒软件(如:火绒、卡巴斯基等杀毒软件),并实时更新病毒库。要求人员定期进行全部扫描。(我司每天都会使用自主研发的主机取证溯源系统进行安全扫描。)及时处理,减少恶意软件带来的损害。
人员意识wps office 官方下载的网站怎么找宣传
01
下载防病毒软件
您可以通过下载防病毒软件,使设备保持安全状态,防止木马等有害病毒对您的系统造成严重破坏。
02
更新软件补丁
为您的设备下载更新或补丁,可以确保设备软件处于最新状态,修复软件的所有已知漏洞。
03
请勿将工作设备借给朋友或家人
允许朋友或家庭成员使用您的设备看似没有问题,但他们可能无法发现安全威胁,可能使您的设备受到恶意软件攻击。
04
确保设备在不使用时的安全
设备不使用时,请将设备上锁或收起来,以确保没有人能访问您的设备,以免在你不在时使用你的设备下载或者运行恶意软件。
总结