不想免費當(dāng)“挖礦機”��,那你要會針對加密貨幣挖礦攻擊的這七種防護方法
2018年04月03日
目前��,越來越多的網(wǎng)絡(luò)罪犯都通過劫持目標(biāo)企業(yè)的系統(tǒng)和網(wǎng)站�,來進行加密貨幣的挖礦(cryptocurrency mining)勾當(dāng)����。
根據(jù)Crowdstrike和其他多家安全廠商的最新報告顯示:在攻擊者劫持各個企業(yè)的系統(tǒng)用于Monero(門羅幣)、或其他諸如Ethereum(以太坊)和Zcash(零幣)等數(shù)字貨幣進行挖礦之后���,這些企業(yè)的應(yīng)用程序和運營都遭受了嚴(yán)重的干擾�。
在許多情況下��,網(wǎng)絡(luò)攻擊者會秘密地在網(wǎng)站上安裝加密器����,并乘人們訪問該網(wǎng)站之機劫持訪問者的系統(tǒng)。
與勒索軟件和其他惡意軟件不同��,加密貨幣挖礦軟件(cryptominer)一般是一些合法的軟件工具����,因此不大容易被反惡意軟件產(chǎn)品所檢測到���。鑒于它們唯一所做的事情就是:利用系統(tǒng)的CPU資源去服務(wù)于挖礦算法,因此加密挖礦軟件經(jīng)常會在不被人察覺到的情況下運行�����。許多加密挖礦工具還會故意節(jié)制對CPU和電力使用�����,以使得它們在目標(biāo)系統(tǒng)上更加不會引人注目���。而事實上���,性能的下降通常就是計算機已被加密貨幣挖礦軟件所劫持的一種跡象。
就像許多其他無用的軟件工具那樣�,加密貨幣挖礦軟件對那些不遵循基本和長期安全防護策略的組織構(gòu)成了重要的威脅。它們會像其他惡意軟件產(chǎn)品一樣被迅速地傳播��,因此我們需要及時采取相似的應(yīng)對措施�。
下面,我們列出了針對加密貨幣挖礦軟件和任意惡意軟件的七種最佳防護實踐:
1. 加強端點的安全控制
安全公司CrowdStrike的服務(wù)總監(jiān)Bryan York說:強大的端點保護(endpoint protection)對于挖礦類惡意軟件的防護是至關(guān)重要的����。如果您不希望加密軟件運行在您終端用戶和主機系統(tǒng)上的話,我們就必須對將終端進行持續(xù)的更新和打補丁��。在用戶瀏覽網(wǎng)頁時����,我們可以考慮在瀏覽器上使用廣告攔截、禁用JavaScript�、以及專為阻止加密貨幣挖礦而設(shè)計的瀏覽器擴展插件。我們還應(yīng)該為遠(yuǎn)程訪問服務(wù)實施多因素的身份驗證��,并將網(wǎng)絡(luò)予以分段�����,以限制數(shù)據(jù)的橫向移動��。
如今���,端點保護技術(shù)完全可以幫助您檢測并阻止那些加密貨幣挖礦軟件及其相關(guān)的行為����。York補充說:“此外����,一些先進的端點技術(shù)還能夠阻止那些使用無文件惡意代碼(fileless malware)技術(shù)的挖礦軟件��,并在網(wǎng)絡(luò)進行傳播與感染�?!币虼耍@些新技術(shù)很值得我們?nèi)ソ梃b��。
Mike McLellan是戴爾旗下安全公司Secureworks里反威脅部門的高級安全研究員��。他表示通過考慮實施集中式日志記錄功能�,企業(yè)可以用來檢測、限制和捕獲各種惡意活動����。一種能夠識別出站挖礦流量的方法是:使用受監(jiān)控的出向端口采集點,來管理各種出站的網(wǎng)絡(luò)連接及其流量���,特別是那些使用非標(biāo)準(zhǔn)端口的�、且未被加密的數(shù)據(jù)流�。
2. 審查網(wǎng)站的安全控制
確保網(wǎng)絡(luò)攻擊者無法使用您的網(wǎng)站,作為加密挖礦軟件工具的寄存平臺���。他們會經(jīng)常在網(wǎng)站所有者不知情中將挖礦軟件安裝到網(wǎng)站之上�����,然后去劫持那些訪問該網(wǎng)站的用戶電腦��,以“開采”門羅或其他類型加密貨幣�。
網(wǎng)絡(luò)安全提供商High-Tech Bridge的首席執(zhí)行官Ilia Kolochenko說:“使用各種內(nèi)容安全策略和類似的安全機制���,我們在對Web服務(wù)器進行安全加固的同時��,也能夠防止跨站腳本和跨站請求偽造等許多常見可被利用的因素����?���!币虼耍埬_保自己的管理員密碼足夠復(fù)雜且唯一���,并盡可能地實施雙因素身份驗證�����。
Web應(yīng)用防火墻可以幫助消除�、或至少減少自研發(fā)代碼中的那些未知漏洞、及漏洞被利用的可能性���。Kolchenko補充說:“在許多企業(yè)的真實環(huán)境中���,連續(xù)的安全監(jiān)控已經(jīng)成為了確保Web應(yīng)用安全的通用實踐和標(biāo)準(zhǔn),各類安全從業(yè)人員千萬不可掉以輕心���,畢竟多一雙眼睛就可能會有多一份安全”����。
3. 實施嚴(yán)格的訪問控制
我們要對系統(tǒng)和應(yīng)用的信任憑證實施最小權(quán)限原則����,并限制使用管理員身份去訪問授權(quán)用戶的上下文內(nèi)容。McLellan說:“對于Windows系統(tǒng)�����,請考慮使用微軟的本地管理員密碼解決方案(Local Admin Password Solution�,LAPS)來簡化和加強密碼的管理?!?/span>
對于那些能被外部所訪問到的服務(wù),請實施雙因素身份驗證����。而對于遠(yuǎn)程管理等功能�,請考慮棄用那些標(biāo)準(zhǔn)的端口與服務(wù)��,而采用定制化服務(wù)予以實現(xiàn)���,他補充說�。
4. 安全的第三方軟件和組件
The Media Trust公司的首席執(zhí)行官Chris Olson說:不要讓易受攻擊的第三方代碼拉低甚至破壞了您網(wǎng)站的整體安全性��。請審核所有那些為您的網(wǎng)站能夠正常運營而提供代碼的合作伙伴�����,并且將您的數(shù)據(jù)隱私政策及時傳達給他們����。對于那些不合規(guī)的供應(yīng)商�����,請立即終止合作關(guān)系�,不要姑息。
“對所有已知合作伙伴的網(wǎng)站進行例行評估�����,這對于向他們傳遞貴司的期望和強化合規(guī)性都是至關(guān)重要的?�!監(jiān)lson還說:“持續(xù)的網(wǎng)站監(jiān)控不但有利于及時地檢測到那些‘流氓’代碼����,還能在它們一旦被執(zhí)行時就立即予以終止?���!?/span>
5. 保護您的云帳戶
云計算和IT管理解決方案提供商BMC的產(chǎn)品管理副總裁Daniel Nelson指出:各類攻擊者已經(jīng)開始通過劫持大公司的公有云賬戶,來“開采”加密貨幣了�。例如,為了“挖礦”的目的����,攻擊客們曾經(jīng)在AWS平臺的那些未被安全配置的Kubernetes容器集群里,瘋狂地劫獲其計算能力�����。
“各個企業(yè)應(yīng)該實施諸如SecOps Policy Service(BMC的安全運維策略服務(wù))的自動化解決方案�����,以持續(xù)監(jiān)控、評估和修復(fù)各種容器的?�!?,Nelson說。通過使用這些工具�����,您的容器堆棧內(nèi)部能夠以程序設(shè)定的方式實行安全策略����。
同時,請務(wù)必檢測出您所使用的云端服務(wù)中的各個盲點���。Nelson強調(diào):“如今,影子IT(Shadow IT)相當(dāng)?shù)鼗钴S����。”就算企業(yè)的IT們知曉了其云端所配置的全部服務(wù)器�,他們也不一定能夠完全掌控安裝在這些服務(wù)器上的所有軟件。因此�����,發(fā)現(xiàn)并了解云端服務(wù)的具體使用程度也是至關(guān)重要的。
6. 限制各種不必要的服務(wù)
Secureworks的McLellan還補充說:如果您并不需要某個服務(wù)�����,那么請立即禁用之����。比如說SMB v1之類的內(nèi)部協(xié)議,如果它們在應(yīng)用程序并不能發(fā)揮所需的業(yè)務(wù)功能��,我們就完全沒有保留它們的必要����。而對于那些無法刪除、但對于大多數(shù)用戶的確是完全用不到的系統(tǒng)組件��,例如PowerShell�,我們應(yīng)當(dāng)立即限制對它們的訪問權(quán)限。
7. 保護您的物聯(lián)網(wǎng)
High-Tech Bridge的Kolochenko進一步指出:在某些工廠里���,那些具有互聯(lián)網(wǎng)連接的物聯(lián)網(wǎng)設(shè)備�,例如:地板傳感器�����、安全攝像頭和智能恒溫器等,因為不太具有處理的能力��,所以攻擊者也不太感興趣劫獲這些系統(tǒng)����,來進行加密貨幣的挖礦。但是反過來說����,如果他們確實劫獲了,您可能也不太會想到或發(fā)現(xiàn)到�。
因此,“對于如今數(shù)以百萬計的物聯(lián)網(wǎng)設(shè)備而言���,它們雖然被設(shè)計為用于處理或存儲各種機密的或個人隱私的信息�,但是它們卻并不具有基本的密碼保護選項��。一些管理員密碼甚至被硬編碼到芯片之中���,而無法被修改?���!彼€補充說:與此同時����,這些物聯(lián)網(wǎng)設(shè)備和開源組件的Web界面往往會充斥���、或暴露了各種可以被攻擊者輕易利用的關(guān)鍵性漏洞����。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全���、運維平臺建設(shè)��、動漫設(shè)計����、軟件研發(fā)��、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型���,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面��、可信的方案�����,業(yè)務(wù)涵蓋咨詢����、評估、規(guī)劃����、管控、建設(shè)��、培訓(xùn)等����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商。
