全面圍剿挖礦病毒,深信服解決您快速檢測、輕量部署的燃眉之急

2021-11-29T15:17:37+00:00

為有效防範及處置虛擬貨幣挖礦活動盲目無序發展帶來的風險隱患,助力實現碳達峰、碳中和目標,近日,國家發改委舉行新聞發布會,重點提及虛擬貨幣挖礦的全鏈條治理工作。

為有效防範及處置虛擬貨幣挖礦活動盲目無序發展帶來的風險隱患,助力實現碳達峰、碳中和目標,近日,國家發改委舉行新聞發布會,重點提及虛擬貨幣挖礦的全鏈條治理工作。這幾天,各省級、市級、區縣級政府和相關行業紛紛響應,通報了多家單位,要求相關單位及行業針對挖礦行為進行清理整頓。

01

整治高壓下,仍有惡意黑客頂風作案

國家對虛擬貨幣的管控愈發嚴格,打擊此類挖礦活動也將成為近期整治的重點。

挖礦行為不僅僅會導致組織的電腦卡頓、CPU飈滿、運維成本暴漲,一些挖礦的主機還可能會被植入病毒,導致組織重要數據泄露,或者黑客利用已經控制的機器,作為繼續對內網滲透或攻擊其他目標的跳板,導致更嚴重的網絡安全攻擊事件等。

擒賊先擒王,早在今年7月,深信服安全團隊已經成功捕獲到一款主流的挖礦病毒樣本,並對其工作原理進行了揭秘。詳細內容可點擊查看:《支持雙系統挖礦,警惕新型AutoUpdate挖礦病毒入侵》

AutoUpdate挖礦病毒工作原理

1、通過釣魚郵件、惡意站點、軟體捆綁下載等方式誘導用戶點擊其惡意腳本程序。

2、在用戶點擊啟動惡意腳本loader.sh後,該腳本將清除安全軟體,下載啟動程序(kworker)。

3、Kworker程序檢查並更新各功能組件,以及啟動挖礦程序dbus、攻擊程序autoUpdate、隱藏腳本hideproc.sh、攻擊腳本sshkey.sh。

4、autoUpdate程序掃描並攻擊所在網段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等組件、服務或協議漏洞,以及國內用戶常用的泛微OA、致遠OA、通達OA、phpcms、discuz等服務,並利用相關漏洞寫入計劃任務並執行。

5、通過hideproc.sh腳本隱藏進程,防止被用戶發現。

6、通過sshkey.sh腳本嘗試從bash_history、etc/hosts、ssh/kownhost及進程已有連接中提取該終端連接過的終端,如果可以成功連接則下載並啟動腳本loader.sh,達到傳播目的。

7、挖礦程序dbus在受害者的設備上悄悄運行以便挖掘加密貨幣,同時將中毒設備上連接到一個礦池,為欺詐者獲取未經授權的「免費」計算能力,欺詐者直接將「免費算力」掙來的加密貨幣放入自己的錢包。

即便在整治高壓下,仍有惡意黑客頂風作案。近期,深信服安全團隊在為某高校進行檢測排查過程中,通過安全態勢感知設備上的告警日誌,精準檢測到內網存在30台主機訪問挖礦惡意域名的情況。最終在終端檢測響應平台EDR應急響應專家的縝密排查下,成功定位到黑客,人贓俱獲。

02

快速響應、輕量部署,全面圍剿挖礦病毒

當前形勢下,全面圍剿挖礦病毒勢不可擋,但如何快速檢測處置成為各組織的燃眉之急。

基於長期對挖礦病毒的深入研究與多個案例實踐,深信服推出『快速響應、輕量部署』的挖礦病毒專項檢測處置,為用戶提供兩種有效檢測挖礦行為的方式,並以「工具+服務」的方式實現精準處置。

如何有效檢測挖礦行為?

下一代防火牆AF結合AI+規則庫快速識別隱患

(1) 針對辦公網或者生產網中存在的挖礦安全隱患

在網際網路邊界側以旁路或串聯的方式部署深信服下一代防火牆AF,通過AF本地具備的130萬殭屍網絡特徵庫,結合深信服雲端威脅情報,以惡意URL和C&C IP位址對比的方式來監測失陷主機的非法外聯行為。

(2)對於無法識別潛在的挖礦外聯行為

通過深信服下一代防火牆AF雲端NTA檢測引擎,結合AI技術與規則的閉環疊代技術,不僅能檢測出不可讀的隨機字符構成的域名,還能檢測出使用單詞拼接方式仿造正常域名的惡意域名,快速識別異常外聯流量,定位組織網絡中的挖礦主機。

安全感知管理平台SIP內置挖礦專項檢測模塊

用戶還可以選擇通過鏡像交換機流量到深信服流量探針,並傳輸至SIP平台進行分析。

深信服安全感知管理平台SIP內置了「挖礦專項檢測」模塊,通過「挖礦階段圖」、「受害資產」、「受害資產攻擊數Top5」3個維度,將挖礦影響展現出來,用戶可以清晰定位資產的受影響情況(受影響的資產數量、類別、所處階段、攻擊程度等)。

對於加密挖礦的場景,通過UEBA算法模型,發現用戶、機器和其他實體在用戶網絡上的異常和危險行為,並確定此行為是否具有安全隱患,從而定位網絡中的挖礦行為,幫助用戶實現簡單有效運營。

此外,還可以將AF和SIP接入深信服安全運營中心,安全專家可以進一步對檢測到的異常外連行為進行多元分析,利用雲端大數據分析平台和威脅狩獵平台,精準定位挖礦主機,同時為用戶提供7*24小時挖礦行為持續監測服務。

檢測到挖礦行為後,如何精準閉環處置?

終端檢測響應平台EDR+挖礦處置專項安全服務

一旦在用戶網絡中發現挖礦病毒,深信服建議用戶在網絡中部署終端檢測響應平台EDR,通過結合深信服挖礦處置專項安全服務,以「工具+服務」的方式實現全網挖礦病毒處置工作。

挖礦病毒的處置主要包括Linux系統與Windows系統的處置:

(1) Linux系統挖礦病毒的處置

通過定時任務/服務的清除、特定文件的刪除、文件中特定內容的刪除、目錄的刪除、指定文件的恢復、病毒進程文件處置、病毒文件刪除等處置動作,徹底清除用戶網絡中的挖礦病毒。

(2) Windows系統挖礦病毒的處置

通過進程內存處置、自啟動目錄文件刪除、自啟動配件文件的清除/修改,註冊表項的清除/修改,計劃任務刪除、帳號刪除、WMI自啟動刪除、文件的刪除和恢復等處置動作,徹底清除用戶網絡中的挖礦病毒。

在挖礦病毒處置過程中,深信服安全專家通過對AF、SIP、EDR安全日誌和流量的關聯分析,可以幫助用戶實現「邊界-網絡-終端」的整體聯動,深度溯源找到挖礦入侵源頭,清除病毒的同時協助用戶完成安全加固。

03

「檢測-處置-預防」,構建立體化防護解決方案

值得注意的是,檢測和處置只是應對挖礦病毒的應急手段。面對日益嚴峻的挖礦病毒威脅,深信服建議,用戶應從預防思路出發,建設立體化的挖礦病毒防護解決方案,從源頭杜絕挖礦病毒進入組織內部。

對於挖礦病毒的預防,深信服建議從邊界側、網絡側、終端側三個方面建設立體化的防護體系。

通過在網際網路邊界側部署深信服AF,鏡像核心交換機流量到深信服SIP,同時安裝深信服EDR在終端側快速響應處置,結合深信服挖礦專項安全服務,構建集「檢測-處置-預防」於一體的7*24小時挖礦病毒防護解決方案。

1. 化被動為主動,從源頭避免損失

有效檢測識別挖礦行為,避免挖礦病毒和程序長期潛伏;

2. 網端安全協同,精準閉環處置

快速處置感染主機、深度溯源,防止同類挖礦病毒復發;

3. 7*24小監測預警,貼心保障

加強安全防護措施,提供7*24小監測預警機制,有效預防挖礦病毒入侵。

關鍵字:

讓我從小妹妹「轉大人」成小姐姐的秘密 😛

2021-11-16T07:41:14.013692+00:00

我都26了還會被誤認是學生...

因為臉長得比較小朋友,但連「曲線」也是小朋友 😭😭 

各種要被看證件很煩,超討厭這點!

長得年輕以後是好事,但我不想現在身材是這樣,一點都不好阿~~

 

我朋友之前看到某長輩系YT分享的文,

她就常在自己影片哀說很煩腦,後來有廠商找上門說【免動刀無痛魔D

用喝的就比醫美的還自然,後來她才真的變長輩系YT

(我朋友喝也是差很多,就叫我也趕快)

 

第一次喝的時候發現不會難喝,只有一點點超淡的中藥味!

不過本來聽說這個是讓人「二次發育」的,像我這種根本沒發過的... 

到底有沒有用也不知道

 

結果不到兩個禮拜吧,就有點脹脹的,

三十幾天「小左小右」也變得很有彈性,穿衣服整個變好看很多!!!

現在喝到第四盒,真的有轉大人的感覺 😂

 

以前還想過要去用,聽太多人說做壞會不自然,

最主要還有很貴很痛,所以打消念頭 💔 

還好之前沒衝動,現在這樣是最好的!

靠補充營養自己養出來,每天光看到鏡子就很有成就感哈哈哈哈

(裡面成分也對身體很好,比較不會手腳冰冷)

➡️https://www.cashin.tw/product/000000000034393

 

 

商品資訊

魔滴魅惑V-plus+


♢上胸無肉 ♢下垂 ♢外擴 ♢不對稱

🏆 發乃草之冠王不留行 超有料成長UPUP!

雌激素含量60% 刺激乳腺成長 堅挺飽滿

幫助滑嫩肌膚 散發滿滿女人味 桃花不間斷

活血通經 調理月事不適 改善手腳冰冷

https://www.cashin.tw/product/000000000034393