自2021年發(fā)改委全面整治“挖礦”以來,公開成規(guī)模的“挖礦”活動基本消失,但從微步在線的追蹤數(shù)據(jù)來看,隱藏在暗處的“挖礦”木馬活動卻迎來新一輪爆發(fā)增長,不僅現(xiàn)存挖礦家族活動頻繁,還出現(xiàn)了一大批新的挖礦家族。

挖礦木馬防范之殤:快速迭代 高度隱匿

挖礦木馬泛濫的一大主因,是其快速迭代并集成了諸多對抗技術(shù),使得傳統(tǒng)防范能力難以應(yīng)對。對過去一年中挖礦木馬的追蹤分析,挖礦木馬從開發(fā)、傳播、通信以及駐留對抗等多個階段環(huán)節(jié)都不同程度加快了技術(shù)更新升級頻率,這不僅提高了甄別挖礦木馬的復(fù)雜度,同時也加大了完全清除木馬的難度。

在挖礦木馬開發(fā)方面,越來越多的挖礦團(tuán)伙開始轉(zhuǎn)向使用新的更易于開發(fā)、更有效率的程序語言。微步在線的統(tǒng)計(jì)數(shù)據(jù)顯示,Go語言已經(jīng)成為開發(fā)新型挖礦木馬的首選,利用Go語言的跨臺編譯和豐富的第三方庫能力,挖礦木馬只需一套代碼就可在主流操作系統(tǒng)(Windows/Linux)內(nèi)運(yùn)行。不僅降低了開發(fā)的難度,還極大地提升了效率。

在傳播方面,挖礦木馬具備極強(qiáng)漏洞掃描和利用能力。通過數(shù)年的追蹤數(shù)據(jù)顯示,挖礦木馬越來越青睞于利用漏洞感染主機(jī),大多數(shù)挖礦木馬都集成了10個漏洞以上,最多的甚至集成了超過30個漏洞;同時,對新公布漏洞的利用也更加迅速,如去年Apache Log4j2曝光之后,不到40個小時,就有挖礦木馬集成并發(fā)起攻擊。

在反連通信方面,從明文通信、公共礦池到加密通信、礦池代理。明文通信極易被NDR等設(shè)備發(fā)現(xiàn),公共礦池的域名與IP也極易被封禁,通信加密成為挖礦木馬的主流選擇,同時還通過礦池代理來降低被封禁幾率。

在駐留對抗方面,熟練使用對抗技術(shù)是挖礦木馬的獨(dú)特標(biāo)志。據(jù)追蹤數(shù)據(jù)顯示,包括進(jìn)程隱藏、內(nèi)核態(tài)對抗、系統(tǒng)命令劫持、自啟動(計(jì)劃任務(wù))與隱藏、守護(hù)進(jìn)程、加殼與代碼混淆、盜用簽名以及偽裝應(yīng)用文件等諸多對抗技術(shù)手段,都出現(xiàn)在了幾大“流行”的挖礦木馬之中,極大地增加了檢測和清除的難度。

從上述特點(diǎn)可以看出,挖礦木馬不僅具有極強(qiáng)的傳播感染能力,同時在反偵測能力也日趨成熟,隱蔽增強(qiáng),從感染到駐留對抗各個環(huán)節(jié)都沒有明顯的短板。對于“單兵作戰(zhàn)”的防火墻、反入侵檢測、殺軟等設(shè)備而言,這就如同遭遇“魔法”攻擊一樣難覓蹤跡,發(fā)現(xiàn)難,防御也就無從談起。

用“魔法”打敗“魔法”,OneDNS反制“挖礦”木馬

針對“挖礦”木馬這種在各方面均沒有明顯短板的惡意軟件,安全工作者必須要基于更高層面,具備全局視野,使用一種創(chuàng)新的思路去解決問題。在不斷升級的攻防對抗中,挖礦木馬運(yùn)行的一些關(guān)鍵“套路”逐漸被識破,反制方法也隨之浮出水面,比如阻斷反連,就是反制挖礦木馬最行之有效的方法之一。

所謂反連,是挖礦應(yīng)用程序在運(yùn)行時,與礦池建立連接以獲取指令數(shù)據(jù)的關(guān)鍵環(huán)節(jié)之一。下圖展示了挖礦程序反連的幾種方式:

挖礦木馬通過域名或IP兩種方式反連礦池,以獲得任務(wù)并結(jié)果上傳

據(jù)統(tǒng)計(jì)數(shù)據(jù)顯示,90%以上的挖礦木馬都是通過域名反連至公共礦池或礦池代理。域名反連,這就意味著需要DNS進(jìn)行解析。如果在DNS解析時,發(fā)現(xiàn)屬于挖礦木馬反連行為就直接阻斷解析,是不是就可以讓90%以上的挖礦木馬失效?

答案是肯定的,不止挖礦,實(shí)際上包括勒索、釣魚以及木馬等其他惡意軟件最顯著,同時也最關(guān)鍵的環(huán)節(jié)就是反連。OneDNS正是利用了這一特點(diǎn),不管惡意軟件是利用何種方式入侵,只要其使用域名反連,就會查詢DNS。將威脅情報賦能DNS,就可在惡意軟件反連階段實(shí)現(xiàn)攔截,避免企業(yè)損失,為用戶新增一把安全鎖。

OneDNS工作原理示意圖,將DNS與威脅情報相結(jié)合,在解析時對挖礦木馬反連進(jìn)行攔截,進(jìn)而阻斷挖礦行為,不影響上網(wǎng)行為

實(shí)踐證明,利用DNS攔截阻斷惡意軟件是一種行之有效的解決辦法,但這一方案的關(guān)鍵點(diǎn)在于威脅情報。OneDNS之所以能夠?qū)崿F(xiàn)99.9%的高精度識別能力,就在于與微步在線領(lǐng)先的威脅情報優(yōu)勢相結(jié)合——基于大數(shù)據(jù)與AI等技術(shù)構(gòu)建的情報生產(chǎn)系統(tǒng),針對數(shù)千節(jié)點(diǎn)每日采集的PB級數(shù)據(jù)進(jìn)行分析,再與數(shù)百名情報分析師的智慧相結(jié)合,獲得全網(wǎng)最新最全的威脅情報。

精準(zhǔn)威脅情報能力的加持,讓OneDNS成為一款位于遠(yuǎn)端的具備強(qiáng)大安全防護(hù)能力的企業(yè)級DNS,在不改變用戶現(xiàn)有IT架構(gòu)的情況下,只需將數(shù)據(jù)中心內(nèi)部的DNS地址指向OneDNS即可。在滿足企業(yè)所需的快速、高效、穩(wěn)定解析能力外,還能有效阻斷惡意軟件攻擊,提升企業(yè)安全防護(hù)能力。

輕準(zhǔn)穩(wěn)全 OneDNS不只是企業(yè)級DNS

OneDNS首先是一“臺”企業(yè)級DNS,具有滿足企業(yè)用戶所需的輕量、穩(wěn)定、高效特點(diǎn):

快速輕量部署。0硬件成本,同時也意味著省卻了額外的機(jī)柜空間以及相應(yīng)的能源散熱成本。還大幅縮短了部署周期,只需將DNS指向OneDNS即可,部署過程僅需數(shù)分鐘。

解析能力快。OneDNS在全國20多個省市區(qū)域共設(shè)置了80個加速站點(diǎn),根據(jù)用戶實(shí)際地區(qū)自動選擇最優(yōu)站點(diǎn),以提供最佳的解析服務(wù)。

五個九可用。OneDNS單個站點(diǎn)使用基于分布式計(jì)算/存儲技術(shù)架構(gòu),不但有自動負(fù)載均衡能力,還具備故障自動切換與修復(fù)能力。并且,站點(diǎn)間采用類似金融級“兩地三中心”架構(gòu)來保證OneDNS服務(wù)能力持續(xù)可用。

統(tǒng)一管理。OneDNS為企業(yè)用戶提供一種靈活可控的云端遞歸DNS服務(wù),利用“多分支”與“分層”的管理方式,可將分散在全國各地的分支機(jī)構(gòu)網(wǎng)絡(luò)納入OneDNS之中,進(jìn)行統(tǒng)一管控,在邏輯上作為企業(yè)的統(tǒng)一網(wǎng)絡(luò)出口,極大地降低了企業(yè)網(wǎng)絡(luò)管理復(fù)雜度。

并且,OneDNS還是一款具備安全防護(hù)的能力的企業(yè)級DNS服務(wù)。除了對已存在的惡意軟件反連進(jìn)行攔截之外,OneDNS還能定位已失陷主機(jī),并提供按需可靈活設(shè)置的上網(wǎng)管控功能,幫助企業(yè)凈化網(wǎng)絡(luò)環(huán)境,提升安全防護(hù)能力。

OneDNS不僅能夠攔截惡意軟件,同樣還能達(dá)到上網(wǎng)管控的目的,幫助用戶凈化網(wǎng)絡(luò)

按策略自動攔截。OneDNS不僅可以自動對惡意軟件反連進(jìn)行阻斷,控制臺還有80多種不同類型網(wǎng)站,用戶可按需針對特定類型網(wǎng)站進(jìn)行管控,也可自行添加黑白名單。

精準(zhǔn)定位主機(jī)。結(jié)合輕量級的虛擬轉(zhuǎn)發(fā)器,OneDNS可對內(nèi)網(wǎng)失陷主機(jī)進(jìn)行精準(zhǔn)定位。即使遠(yuǎn)程或移動辦公終端也可通過Agent來阻斷惡意軟件入侵內(nèi)網(wǎng)的風(fēng)險。

99.99%精準(zhǔn)攔截。這是OneDNS最核心的能力,源自微步在線領(lǐng)先的情報威脅優(yōu)勢。微步在線自誕生以來就聚焦在威脅情報生產(chǎn)上,遍及全球的數(shù)千個數(shù)據(jù)采集節(jié)點(diǎn)每天都將數(shù)據(jù)源源不斷匯聚到微步情報中心,基于大數(shù)據(jù)分析、人工智能技術(shù)的情報生產(chǎn)系統(tǒng)與數(shù)百名情報分析師的智慧相結(jié)合,最新最全的威脅情報讓OneDNS擁有最精準(zhǔn)的攔截能力。

專業(yè)處置建議。OneDNS支持對全網(wǎng)發(fā)現(xiàn)的所有威脅事件統(tǒng)計(jì),實(shí)時同步微步情報數(shù)據(jù)和威脅事件處置查殺建議,提供檢測、攔截、定位、處置一站式服務(wù),簡化管理,提升效率。

截止到目前,OneDNS已經(jīng)9年100%穩(wěn)定運(yùn)行,正為全國600多家企業(yè)用戶提供安全、高效、可靠的地址解析與防護(hù)服務(wù),包括中信銀行、東方證券、華泰保險、格力、中國草以及中外運(yùn)等20余家超大規(guī)模集團(tuán)用戶,單個集團(tuán)終端接入數(shù)量超過10萬臺。

借助微步在線領(lǐng)先的威脅情報優(yōu)勢,OneDNS已經(jīng)累計(jì)超過100萬個惡意地址,每日DNS解析次數(shù)接100億次,累計(jì)DNS攔截次數(shù)約10億次,為超過2000萬終端用戶提供安全上網(wǎng)服務(wù)。