一键清除！网御星云解锁挖矿病毒防护与处置“新技能”

挖矿病毒，是近年兴起的一种网络安全威胁，主要通过各种手段将挖矿程序植入到用户的计算机中，在用户不知情的情况下，偷偷利用计算机执行挖矿功能从而获取收益。2021年以来，我国加大了虚拟货币的整治力度，发布了《关于整治虚拟货币“挖矿”活动的通知》，并强调全面梳理排查虚拟货币“挖矿”项目。然而，在国家对“挖矿”行为重拳出击的背景下，挖矿木马家族仍在发展壮大，老的挖矿家族依旧活跃，新的挖矿家族不断涌现。部分“挖矿”活动转为“地下”，行为更加隐蔽，为治理工作带来了难度。

 

挖矿病毒对抗现状

 

 传播性更强

随着技术的发展，Go语言凭借可以跨平台编译的特性，受到开发者青睐。挖矿病毒团伙也关注到了这一点，利用Go语言开发“挖矿”病毒不但可以降低开发难度、提升效率，还能完成在不同操作系统（Windows、Linux）中的传播。这也使得病毒在内网横向传播变得更容易，大大增加了办公终端和服务器主机交叉感染的风险。

 

隐蔽性更强

挖矿病毒以往常见的挖矿方式是需要受害主机直接连接到公共矿池来贡献算力，矿池平台根据贡献的算力，将收益支付给挖矿病毒团伙。然而这种方式也正在发生改变，越来越多的挖矿家族开始使用代理通信以隐藏矿池地址，亦或是采用加密通信来对抗安全设备的检测。这就导致了挖矿行为的网络流量特征越来越不明显，更容易逃脱流量检测设备的识别。

 

规避性更强

挖矿病毒通常都进行了加壳或者代码混淆处理，来对抗杀毒产品或安全分析人员的检测。如HolesWarm家族，其早期版本使用的是普通压缩壳，后续版本逐步替换为变型壳和VMP等加强壳来进行对抗，并在其后续版本中对代码进行了混淆处理来增加分析难度。这也使得终端杀毒、网络病毒检测等系统的应对难度不断加大。

 

根除更困难

挖矿病毒入侵成功后，为了能长久稳定的挖矿，必然会使用各种对抗手法来躲避安全检测和运维人员的清除。挖矿病毒会采用在终端和主机中多点部锚的方式进行，如父子进程、守护进程、进程隐藏、命令劫持、定时启动等，导致挖矿病毒难以定位及根除。

 

网御星云挖矿病毒防护与处置方案

 

网御星云挖矿病毒防护与处置方案，以挖矿“清零”处置为目标，以端点威胁检测防护与管理系统（以下简称：EDR）为核心，对终端挖矿行为进行发现和处置。方案通过EDR实现端点运行信息的全量采集和大数据分析，可还原挖矿行为，使得挖矿病毒可以被清晰溯源、准确定位。同时还可以联动网络接入控制系统（以下简称：NAC），从端点维度、用户维度建立防护体系，实现处置闭环。

 

挖矿防护与处置方案关键步骤：

Ø  构建资产清单

通过EDR产品资产梳理能力，可对网内主机基础资产、应用资产进行全面清点，帮助管理人员明确内部业务所需的资产数量，了解应用版本信息，及时修复应用中存在的问题，同时对基础硬件资产信息进行搜集，可协助完善资产台帐。由于挖矿病毒变种、衍生速度较快，很多挖矿病毒并不能马上形成已知特征库，详细的资产清单对挖矿病毒处置过程中的比对、研判能起到至关重要的作用。

 

Ø  缩减网络暴露面

挖矿病毒在执行入侵的过程中，对网络有较高依赖。挖矿病毒可利用内网通信权限，横向渗透，扩大攻击战果，常见的手段包括网络嗅探、端口扫描等。此外，挖矿病毒还可利用外部通信连接矿池、将算力数据通过互联网向目标进行传递。因此，网络暴露面控制是比较重要的防护手段，利用EDR产品对内部扫描行为监测与限制、连入连出策略最小化管控等能力，有效防止病毒的内部扩散，及时切断矿池通信，降低挖矿病毒的有效性。

 

Ø  多维度病毒检测

鉴于挖矿病毒家族多、种类多的特性，应建立多维度的挖矿病毒检测手段。本方案中，通过EDR产品的病毒特征匹配、情报碰撞、挖矿行为监控等多维度检测能力，加强了挖矿病毒的定位和研判，对已知、未知挖矿病毒均能做到及时发现。

 

Ø  病毒溯源和处置

挖矿病毒的处置作为核心痛点，需要更多的数据支撑和丰富的处置手段，保障整体处置过程的有效性，避免出现只杀现象、不挖根基导致的挖矿病毒反复发作。本方案利用EDR产品实现运行信息的全量采集，做到利用任意的线索点均可完成对挖矿整体链条的全面追溯。按照“识别挖矿进程-溯源原始进程-关联恶意文件及脚本”的步骤对潜伏在系统中的各个锚点进行根除，然后定位感染主机进而实现一键清除。

 

图 挖矿病毒处置流程

 

作为当前的热门病毒类别，挖矿病毒自身具备极强的传播性、复制性，已经成为威胁业务连续性的“头号杀手”。在与挖矿病毒的对抗中，EDR提供了多路径布防、多维度发现挖矿线索的能力，多手段清除病毒残留，同时可联动NAC产品，实现感染主机快速下线，及时止损，实现贯穿挖矿病毒生命周期的有效闭环，利用终端信息全、手段多的核心优势，让挖矿病毒根除不再困难，实现挖矿病毒的真正“清零”。

更多产品了解

欢迎扫码加入云巴巴企业数字化交流服务群

产品交流、问题咨询、专业测评

都在这里！