如何在网络上发现和阻止加密挖矿攻击
点击上方“蓝色字体”,选择 “设为星标”
关键讯息,D1时间送达!
冰岛因其廉价的电力而成为比特币开采的重要枢纽,人们的计算机也可能被网络犯罪分子劫持成为加密挖矿的理想场所。
加密挖矿是创建加密货币的过程。人们可以从挖掘加密货币获利,这一过程是合法的,但加密挖矿的犯罪行为通常利用劫持他人的计算机进行加密挖矿来获利。
当恶意行为者通过Web服务器和Web浏览器劫持计算机时,就会发生加密劫持。恶意JavaScript代码通常被注入或植入Web服务器,当用户访问网页时,他们的浏览器被感染,将他们的计算机变成加密挖矿的矿工。
那么是否能够检测并保护自己免受这一活动的影响呢?绝对可以,人们可以从发现加密挖矿矿工的方法开始。
首先,检查网络上系统的性能。企业的员工如果注意到其计算机CPU使用率过高、温度上升或风扇速度加快,并将其报告给IT团队。这种情况可能是业务应用程序编码不当的征兆,也可能表明系统上存在隐藏的恶意软件。因此需要设置系统基准以更好地发现系统中的异常。
但不要仅仅依靠性能异常来识别受影响的系统。最近的事件表明,网络攻击者正在限制对系统的CPU需求以隐藏其影响。例如,微软公司最近发布的一份数字防御报告指出了越南网络犯罪组织BISMUTH的威胁活动,该组织主要针对的目标是法国和越南的私营部门和政府机构。微软公司在这份报告中指出,“由于加密挖矿矿工往往被安全系统视为优先级较低的威胁,因此BISMUTH能够利用由其恶意软件引起的较小警报配置文件潜入系统而不引起注意。BISMUTH通过与正常网络活动的融合来避免检测。”
除了检测出现异常的计算机之外,如何检测此类隐蔽的恶意行为者?查看防火墙和代理日志以了解它们正在建立的连接。应该确切知道企业资源有权连接到哪些网址和平台。如果这个过程过于繁琐,需要查看防火墙日志并阻止已知的加密矿工的位置。
Nextron公司最近发表的一篇博客文章指出了他们在使用中看到的典型加密矿池。可以查看防火墙或DNS服务器以查看是否受到影响。查看包含*xmr.**pool.com*pool.org和pool.*的模式的日志,看看是否有人或任何东西在占用网络。如果企业有一个高度敏感的网络,需要将连接限制为网络所需的那些IP位置和地址。在这个云计算时代,这很难确定。即使跟踪微软公司使用的IP地址也很难跟上。例如,当微软公司为其Azure数据中心添加新范围时,可能需要调整授权IP地址列表。
一些浏览器扩展将监控并阻止加密矿工。例如,NoCoin和MinerBlocker解决方案可以监控可疑活动并阻止网络攻击,这两者都有适用于Chrome、Opera和Firefox各种浏览器的扩展程序。或者可以阻止JavaScript在浏览器中运行,因为恶意JavaScript应用程序是通过横幅广告和其他网站操作技术传播的。调查是否可以阻止JavaScript,因为它可能会对出于业务原因需要的某些网站产生不利影响。
边缘正在测试微软所谓的Super-Duper安全模式。它通过在V8 JavaScript引擎中禁用即时(JIT)编译来提高边缘的安全性。微软公司表示,现代浏览器中的JavaScript漏洞是网络攻击者最常见的载体。调研机构在2019年的调查表明,大约45%的V8攻击与JIT相关。
禁用JIT编译确实会影响性能,而Microsoft浏览器漏洞研究所进行的测试显示了一些倒退。Speedometer2.0等JavaScript基准测试显示下降幅度高达58%。尽管如此,微软公司表示,用户并没有注意到性能下降,他们很少注意在日常使用中的差异。
人们需要从外部和内部威胁的角度来看加密挖矿,检查这些选项,以主动保护自己免受潜在攻击。
版权声明:本文为企业网D1Net编译,转载需在文章开头注明出处为:企业网D1Net,如果不注明出处,企业网D1Net将保留追究其法律责任的权利。
(来源:企业网D1Net)
如果您在企业IT、网络、通信行业的某一领域工作,并希望分享观点,欢迎给企业网D1Net投稿
点击蓝色字体关注
企业网D1net旗下信众智是CIO(首席信息官)的智力、资源分享平台,也是国内最大的CIO社交平台。
信众智让CIO为CIO服务,提供产品点评、咨询、培训、猎头、需求对接等服务。也是国内最早的toB共享经济平台。
同时,企业网D1net和超过一半的央企信息部门主管联合成立了中国企业数字化联盟,主要面向各地大型企业,提供数字化转型方面的技术、政策、战略、战术方面的帮助和支撑。