近些年来,加密货币市场可谓热度十足。数字资产交易网站Crypto.com的一项调查显示,2021年全球加密货币人口增加了178%,从1月的1.06亿上升到12月的2.95亿。预计到2022年底,加密货币用户的数量将突破10亿。各类数字加密货币价格暴涨是推动用户数增长的主要驱动力。然而,用户数增加的同时,数字货币也引来了黑产的垂涎,据数据显示,过去一年挖矿木马上升趋势显著。
随着虚拟货币在市场上的不断增值,越来越多的人加入到“矿工”大军,在巨大的利益驱使下,“挖矿”黑产在2018年逐步形成,且近年来发展迅速。“挖矿”造成的电力资源大量消耗,不利于实现国家的碳达峰、碳中和目标。此外,“挖矿”黑产非法占用系统资源、网络资源,严重影响办公效率和业务的正常开展,极大增加了网络攻击风险。
2021年9月,国家发展改革委、中央宣传部、中央网信办等11部门印发《关于整治虚拟货币“挖矿”活动的通知》,要求加强虚拟货币“挖矿”活动上下游全产业链监管,严禁新增虚拟货币“挖矿”项目。
知虎科技针对挖矿木马事件频繁发生的情况,通过知虎科技流量审计系统NTA和360安全防护威胁诱捕系统构建挖矿木马解决之道。
结合挖矿木马特性、攻击原理、用户现状等方面分析,用户已经具备一定的安全防护措施,但在对于挖矿木马的检测、防御及响应方面,仍存在诸多不足。本方案将借鉴PPDR架构来逐步建立用户风险识别能力、安全防御能力、安全检测能力、安全响应能力,最终实现风险可见化,防御主动化,运行自动化的安全目标,保障用户的业务安全。
挖矿木马行为检测
网络检测
通过部署流量审计系统,在海量安全数据中结合安全大数据分析技术,对于常见的安全威胁进行分析,包括挖矿木马肆意活动、恶意软件类的勒索软件、感染性病毒、网络蠕虫,失陷主机类的僵尸主机等;系统可以快速发现已知和未知的高级网络攻击,准确率高,误报率低,从而可以从全局发现、关联各类威胁线索,为风险识别提供预警。
威胁诱捕
网络欺骗防御技术作为一种主动式安全防御手段,可以有效对抗网络攻击,蜜罐探针通过在网络中部署大量诱饵,并组合应用多种欺骗手段引诱攻击者,一旦挖矿木马触碰这些诱饵,则表明系统正在受到攻击,防御者就可以迅速响应,并定位溯源攻击者。
联动处置
通过对安全事件、日志以及网络流量进行检测,并将与勒索软件传播各阶段的特征或行为进行比对,产生安全告警,同时,可通过引入外部威胁/漏洞情报、利用规则模型关联内部威胁情报与资产、来自外部的异常流量访问以及内网之间的异常流量,对发生挖矿木马事件的预警并及时通知相关运维人员及时响应处置,避免事态扩大带来不必要的损失。
方案特点
客户收益