对抗恶意挖矿有新招,Akamai靠算法找出挖矿木马踪迹

去年9月浏览器挖矿技术Coinhive出现后,隋即在全球掀起一波挖矿绑架的跟风,许多网站网页,甚至是浏览器扩充组件皆暗中藏入挖矿进程,偷用用户计算机CPU资源来挖矿赚钱,例如知名BT网站海盗湾(The Pirate Bay)、Chrome扩充进程SafeBrowse等。无辜沦为免费矿工的不只个人用户,不少企业也纷纷传出灾情,成为企业网络安全的新威胁。 Akamai亚太区网络安全与策略总监Fernando Serto近日来台时也揭露了他们如何利用自家全球DNS安全防护服务,来侦测和防堵新兴挖矿绑架的作法。

要避免自己计算机沦为矿工,一般用户,作法上可以利用CPU监测工具查看,打开特定网页时CPU使用率有无异常飙升,找出隐藏的挖矿网页,对于旗下可能有众多员工的企业来说, Fernando Serto直言,防护关键还是在于,如何通过网络安全设备即时监看企业整体网络活动,找出有没有偷采矿的行为正在发生,及早一步阻拦,避免大量运算资源的流失。

在防护作法上,Fernando Serto表示,目前他们主要是以自家全球DNS服务的安全防护机制,来协助企业用户侦测和防堵有无利用浏览器挖矿的网络可疑行为,他解释,通常创建一个挖矿网页,要以网页浏览者的计算机CPU来进行挖矿,常见作法会是在浏览器上跑JavaScript挖扩进程,再将网页挖矿计算的结果,回传后端负责分派和接收这些挖矿作业的主要服务器,就他们观察,每次的连接,都会需要发出DNS(域名服务器)查找行为,甚至更多时候,只使用IP地址来进行发送,或获取计算数据,可以利用制定DNS安全策略的作法,来进行有效防堵。

以Akamai提供的DNS递归式查找请求(recursive DNS)服务来说,他指出,Akamai在去年12月已经将浏览器采矿列入DNS安全策略项目,他表示,他们的研究团队花了很长时间,创建一套分析计算机制,可以从每个网络活动行为,来分辨出是不是有在偷挖矿,至今已经可以侦测目前已知多数的网页挖扩行为,包括在浏览器上跑Javascript挖扩进程,或是通过安装暗藏挖扩进程的插件组件进行挖扩等,让企业用户可以依此来制定他们的网络安全策略,进而降低企业遭到挖矿绑架的威胁。

Fernando Serto也透露,一家中国香港企业用户前不久就成功利用他们的DNS防护服务,侦测到有人在利用他们自己的机器暗中进行挖矿活动,进而成功加以拦截。

不过,就像网络攻击手法演变至今千变万化,挖矿绑架手法也还在进化当中,单靠DNS防护可能还不够,像是除了利用Coinhive创建挖矿网站之外,其他还有像是CryptoLoot、MineMyTraffic 、Papoto等等挖矿进程相继推出,甚至之前还有攻击者想出新招,就算用户关闭浏览器,还能躲藏起来继续偷用你的CPU挖矿,攻击者的选择越来越多,防不胜防,成为企业网络安全防护另一个隐忧。

因此,现在也有越来越多网络安全厂商开始相继投入研究,来加以阻挡,或拦截这类的攻击发生,例如另一家CDN企业Cloudflare开始将偷用计算机资源采矿的帐号与服务封锁,还有安全企业Check Point将这些挖矿绑架网页,列入自家安全网关产品的封锁清单等等。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180129A0833900?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 yunjia_community@tencent.com 删除。

扫码关注云+社区

领取腾讯云代金券