?本期講解嘉賓

近年來(lái)，加密貨幣作為新興產(chǎn)業(yè)，發(fā)展速度令人矚目。挖礦木馬是黑客進(jìn)行網(wǎng)絡(luò)交易并獲取加密貨幣的主要手段之一，為了應(yīng)對(duì)挖礦木馬的威脅，基于人工智能的挖礦木馬檢測(cè)成為一種有效的解決方案。在本文中，我們將介紹幾種不同類(lèi)型的檢測(cè)引擎如何通過(guò)EDR應(yīng)對(duì)當(dāng)下更加復(fù)雜的挖礦木馬攻擊，包括基于加密通信的挖礦行為，采用進(jìn)程注入等更加隱蔽和高級(jí)的無(wú)文件攻擊技術(shù)來(lái)規(guī)避檢測(cè)等。

挖礦木馬攻擊態(tài)勢(shì)

挖礦木馬的定義和類(lèi)型

近年來(lái)，加密貨幣種類(lèi)已超過(guò)一萬(wàn)種，總市值更是超過(guò)萬(wàn)億。加密貨幣的去中心化、無(wú)需監(jiān)管以及交易的匿名性等特性，使其成為黑客進(jìn)行網(wǎng)絡(luò)交易并獲取利潤(rùn)的主要手段之一。

加密貨幣的獲取依賴于高性能計(jì)算機(jī)按照特定算法進(jìn)行計(jì)算，這個(gè)過(guò)程被稱為“挖礦”。由于挖礦需要大量的計(jì)算能力，即大量的計(jì)算機(jī)資源，而維持這種計(jì)算能力則需要大量的資金投入。因此，一些黑客便想到了利用“木馬”控制他人的計(jì)算機(jī)，建立所謂的僵尸網(wǎng)絡(luò)，以此來(lái)幫助自己挖礦，這種行為就產(chǎn)生了所謂的“挖礦木馬”。當(dāng)個(gè)人或企業(yè)的計(jì)算機(jī)被植入挖礦惡意軟件后，不僅會(huì)導(dǎo)致系統(tǒng)卡頓，還會(huì)影響設(shè)備的性能和壽命，嚴(yán)重威脅正常業(yè)務(wù)運(yùn)行并造成能源浪費(fèi)。

圖1-1黑客利用木馬控制計(jì)算機(jī)進(jìn)行挖礦——挖礦木馬

挖礦木馬主要分為三類(lèi)：

可執(zhí)行文件型挖礦木馬：

這種木馬通常以惡意程序的形式存儲(chǔ)在受感染的機(jī)器上，通過(guò)設(shè)置計(jì)劃任務(wù)或修改注冊(cè)表項(xiàng)等方式實(shí)現(xiàn)持久化，長(zhǎng)期進(jìn)行加密貨幣的挖礦操作。

基于瀏覽器的挖礦木馬：

這種木馬使用JavaScript或類(lèi)似技術(shù)在瀏覽器中執(zhí)行。只要用戶打開(kāi)了被植入挖礦木馬的網(wǎng)站，該木馬就會(huì)在瀏覽器中執(zhí)行挖礦操作，持續(xù)消耗計(jì)算資源。

無(wú)文件挖礦木馬：

這種木馬利用合法工具如PowerShell等在機(jī)器的內(nèi)存中執(zhí)行挖礦操作，具有不落地、難以檢測(cè)等特點(diǎn)，更加隱蔽和難以清除。

2022年挖礦木馬攻擊態(tài)勢(shì)

2022年，華為安全態(tài)勢(shì)感知系統(tǒng)捕獲到數(shù)千萬(wàn)個(gè)挖礦木馬。企業(yè)、政府和教育行業(yè)成為這類(lèi)木馬入侵的重災(zāi)區(qū)。而且，挖礦攻擊的數(shù)量仍在持續(xù)增加。根據(jù)華為乾坤安全云服務(wù)運(yùn)營(yíng)團(tuán)隊(duì)及現(xiàn)網(wǎng)公開(kāi)報(bào)告，挖礦攻擊技術(shù)呈現(xiàn)以下變化：

01

隱蔽性提高：挖礦攻擊組織越來(lái)越注重隱蔽性，經(jīng)常采用各種技術(shù)手段來(lái)隱藏自己的存在。被攻擊者往往需要數(shù)十天甚至數(shù)月才發(fā)現(xiàn)木馬的存在，例如Nitrokod挖礦木馬家族創(chuàng)建的計(jì)劃任務(wù)周期達(dá)到15天。

02

攻擊目標(biāo)擴(kuò)大：挖礦攻擊的目標(biāo)不僅限于個(gè)人電腦，還包括企業(yè)服務(wù)器、云計(jì)算平臺(tái)等。同時(shí)，絕大部分挖礦家族已經(jīng)支持Windows和Linux雙系統(tǒng)挖礦，并具備橫向移動(dòng)特性，例如Kthmimu、Hezb、HolesWarm等家族。

03

對(duì)抗技術(shù)提高：隨著對(duì)挖礦攻擊的認(rèn)識(shí)和對(duì)抗技術(shù)的不斷提高，挖礦攻擊者也在不斷改進(jìn)自己的攻擊技術(shù)。他們采取了一些措施，如創(chuàng)建守護(hù)進(jìn)程、使用無(wú)文件攻擊等。一些挖礦家族包括LemonDuck、TeamTNT、Tofsee等也在不斷演進(jìn)和改進(jìn)。

這些變化表明挖礦攻擊者越來(lái)越注重隱蔽性和攻擊目標(biāo)的擴(kuò)大，并且為了適應(yīng)對(duì)抗技術(shù)而不斷提升攻擊技術(shù)。

挖礦木馬攻擊鏈分析

一般來(lái)說(shuō)，挖礦惡意軟件攻擊鏈條分成四個(gè)關(guān)鍵步驟：攻擊入侵、挖礦準(zhǔn)備、安裝運(yùn)行以及隱藏自身行為。終端作為攻擊發(fā)生的真實(shí)載體，是挖礦防御的最主要戰(zhàn)場(chǎng)。

圖1-2挖礦木馬攻擊鏈

• 入侵：攻擊者通過(guò)漏洞利用、社會(huì)工程學(xué)攻擊或其他方式入侵目標(biāo)系統(tǒng)，許多已知挖礦家族均集成了眾多漏洞利用模塊。

• 準(zhǔn)備：攻擊者首先探測(cè)系統(tǒng)信息，若滿足條件則開(kāi)始構(gòu)建挖礦運(yùn)行環(huán)境，包括搶占系統(tǒng)資源，關(guān)閉網(wǎng)絡(luò)防護(hù)等。

• 運(yùn)行：攻擊者通過(guò)C2（Command and Control，命令與控制）通道下載或者直接釋放挖礦載荷，開(kāi)始在目標(biāo)系統(tǒng)上挖掘加密貨幣。

• 隱藏：攻擊者通常會(huì)采取措施來(lái)隱藏挖礦活動(dòng)，例如使用加密通信、進(jìn)程注入來(lái)隱藏挖礦軟件的進(jìn)程等。

基于上述攻擊特點(diǎn)，華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品推出了三大檢測(cè)引擎，從多角度監(jiān)控系統(tǒng)發(fā)生的可疑行為，同時(shí)支持一鍵深度處置，徹底修復(fù)感染挖礦木馬的系統(tǒng)。

基于AI的挖礦木馬檢測(cè)引擎

NDR檢測(cè)引擎：融合機(jī)器學(xué)習(xí)檢測(cè)加密挖礦

挖礦活動(dòng)的最本質(zhì)特點(diǎn)在于網(wǎng)絡(luò)連通，受害主機(jī)需要與礦池持續(xù)通信以確保挖礦活動(dòng)的正常運(yùn)行。華為乾坤云服務(wù)威脅信息庫(kù)涵蓋現(xiàn)網(wǎng)中數(shù)萬(wàn)個(gè)活躍礦池域名和IP，華為流量探針識(shí)別stratum挖礦協(xié)議，可以確保礦池的外部連接在網(wǎng)關(guān)或終端側(cè)被阻斷。

針對(duì)經(jīng)過(guò)TLS加密的挖礦行為，利用機(jī)器學(xué)習(xí)進(jìn)行流量分析是一種有效的檢測(cè)方法。通過(guò)分析網(wǎng)絡(luò)流量數(shù)據(jù)，機(jī)器學(xué)習(xí)模型可以學(xué)習(xí)和識(shí)別與加密挖礦相關(guān)的特征和模式。這些特征包括通信報(bào)文大小和時(shí)序特征、特定的網(wǎng)絡(luò)通信模式以及與已知挖礦活動(dòng)相關(guān)的數(shù)據(jù)包。通過(guò)訓(xùn)練機(jī)器學(xué)習(xí)模型，我們可以建立一個(gè)智能的檢測(cè)系統(tǒng)，能夠自動(dòng)識(shí)別和報(bào)告潛在的加密挖礦行為。結(jié)合EDR調(diào)查取證可以幫助企業(yè)和組織及時(shí)發(fā)現(xiàn)并應(yīng)對(duì)加密挖礦威脅，保護(hù)其計(jì)算資源和網(wǎng)絡(luò)安全。

EDR行為檢測(cè)引擎：基于內(nèi)存威脅溯源圖識(shí)別挖礦攻擊鏈

對(duì)于落入端側(cè)的挖礦木馬攻擊，華為終端檢測(cè)與響應(yīng)EDR行為檢測(cè)引擎基于內(nèi)存威脅溯源圖，在文件、進(jìn)程、網(wǎng)絡(luò)、注冊(cè)表和CPU占有率等多個(gè)關(guān)鍵維度上實(shí)時(shí)監(jiān)控系統(tǒng)資源，一旦發(fā)現(xiàn)威脅立即處置。同時(shí)，內(nèi)存威脅溯源圖集成了自適應(yīng)基線模型、時(shí)序關(guān)聯(lián)模型、因果關(guān)聯(lián)模型等，在入侵、執(zhí)行、持久化和橫移等多個(gè)攻擊階段均能及時(shí)響應(yīng)，達(dá)到鏈?zhǔn)椒烙男Ч?/span>

圖1-3示意了利用內(nèi)存威脅溯源圖還原WebLogic漏洞投遞無(wú)文件挖礦木馬的攻擊鏈過(guò)程。

圖1-3 內(nèi)存威脅溯源圖：
利用WebLogic漏洞投遞無(wú)文件挖礦木馬的攻擊鏈還原

眾所周知，單純通過(guò)判斷CPU占有率高可能會(huì)導(dǎo)致挖礦木馬事件誤報(bào)或漏報(bào)的情況發(fā)生，因?yàn)橛?jì)算密集型任務(wù)也會(huì)導(dǎo)致CPU占有率飆升。因此，在檢測(cè)挖礦木馬時(shí)，我們需要結(jié)合攻擊的上下文信息進(jìn)行綜合分析，結(jié)合內(nèi)存威脅溯源圖，將典型的挖礦木馬攻擊上下文進(jìn)行關(guān)聯(lián)：

01

在挖礦啟動(dòng)前，攻擊者經(jīng)常做一些可疑的準(zhǔn)備工作，例如探測(cè)CPU/GPU信息、修改安全設(shè)置、搶占系統(tǒng)資源、配置網(wǎng)絡(luò)策略并創(chuàng)建計(jì)劃任務(wù)達(dá)到長(zhǎng)期劫持計(jì)算資源的目的等。

02

在挖礦啟動(dòng)時(shí)，攻擊者往往需要指定挖礦參數(shù)，例如錢(qián)包地址、幣種、HASH算法等。

03

在挖礦執(zhí)行時(shí)，華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品會(huì)提示CPU占用異常，結(jié)合其他可疑事件綜合研判為挖礦入侵。

結(jié)合內(nèi)存威脅溯源圖，華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品可阻斷99%以上的挖礦啟動(dòng)行為，同時(shí)可以看到完整的攻擊鏈，一個(gè)典型的挖礦木馬樣本威脅圖如圖1-4所示。

圖1-4一個(gè)挖礦木馬樣本的攻擊鏈

高級(jí)威脅檢測(cè)引擎：識(shí)別文件屬性篡改、進(jìn)程注入等防御逃逸行為

為了對(duì)抗挖礦檢測(cè)和處置，攻擊者會(huì)采用多種高級(jí)攻擊技術(shù)來(lái)保持木馬在系統(tǒng)中的存在。其中包括濫用系統(tǒng)敏感API來(lái)篡改文件屬性或進(jìn)程屬性，以避免被刪除或隔離。另外，攻擊者還可能采用進(jìn)程注入的方式來(lái)躲避檢測(cè)。為了應(yīng)對(duì)這些威脅，華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品實(shí)現(xiàn)了在API級(jí)別監(jiān)控系統(tǒng)的可疑行為，并直接阻斷惡意行為的執(zhí)行，以防患于未然。通過(guò)這種方式，可以有效地提高系統(tǒng)的安全性，防止挖礦等惡意行為的發(fā)生。

挖礦木馬的一鍵深度處置

在檢測(cè)到挖礦威脅后，對(duì)于檢測(cè)的到的可疑點(diǎn)，華為終端檢測(cè)與響應(yīng)EDR產(chǎn)品已支持5大類(lèi)事件的精準(zhǔn)處置，實(shí)現(xiàn)檢測(cè)到處置的有效閉環(huán)。

具體的處置對(duì)象及方法如下：

• 進(jìn)程：可以通過(guò)終止挖礦進(jìn)程來(lái)進(jìn)行處置。

• 文件：可以將挖礦木馬文件進(jìn)行隔離，以防止其對(duì)系統(tǒng)造成進(jìn)一步的威脅。

• 網(wǎng)絡(luò)：可以聯(lián)合防火墻來(lái)阻斷與挖礦相關(guān)的通信IP地址，從而切斷其與外部的連接。

• 計(jì)劃任務(wù)：可以清理由挖礦木馬創(chuàng)建的計(jì)劃任務(wù)，以防止其在系統(tǒng)中持續(xù)執(zhí)行。

• 服務(wù)：可以清理由挖礦木馬創(chuàng)建的服務(wù)，以確保其不再對(duì)系統(tǒng)產(chǎn)生影響。

總之，通過(guò)自動(dòng)化的處置過(guò)程可以幫助快速有效地清除挖礦木馬，減少對(duì)系統(tǒng)和網(wǎng)絡(luò)的影響。

結(jié)束語(yǔ)

為了應(yīng)對(duì)挖礦木馬的威脅，基于人工智能的挖礦木馬檢測(cè)成為一種有效的解決方案，本文介紹了幾種不同類(lèi)型的檢測(cè)引擎。NDR檢測(cè)引擎利用機(jī)器學(xué)習(xí)技術(shù)來(lái)檢測(cè)加密挖礦行為，可以幫助及時(shí)發(fā)現(xiàn)潛在的挖礦活動(dòng)；EDR行為檢測(cè)引擎則基于內(nèi)存威脅溯源圖來(lái)識(shí)別挖礦攻擊鏈，提供更加全面的檢測(cè)能力；高級(jí)威脅檢測(cè)引擎則專注于識(shí)別文件屬性篡改、進(jìn)程注入等防御逃逸行為，以應(yīng)對(duì)更加復(fù)雜的挖礦木馬攻擊。同時(shí)，自動(dòng)化的處置過(guò)程可以幫助客戶快速有效地清除挖礦木馬。華為將持續(xù)跟蹤挖礦木馬的最新攻擊態(tài)勢(shì)，不斷提升檢測(cè)能力，為客戶構(gòu)筑更強(qiáng)的防御屏障。