網絡挖礦病毒的排查
作者:啟明星辰
2019-09-12
隨著虛擬貨幣的瘋狂炒作�����,虛擬貨幣價格一路飆升�,基于區塊鏈技術的網絡挖礦行為成為當下最為熱門的話題之一����。因此越來越多的黑客瞄準了虛擬貨幣市場�����,通過傳播病毒程序感染他人主機實施網絡挖礦活動�,獲取虛擬貨幣����,已成為黑客發起網絡攻擊的主要目的之一�����。
去年盛夏���,某用戶被黑客利用信息系統漏洞�����,上傳了僵尸病毒程序���,并通過該程序傳播和感染了網絡環境中其他業務主機����,形成了一個龐大的僵尸網絡進行網絡挖礦�。
事情發后����,系統管理員接到了網絡慢和業務系統加載慢的告警信息�����,隨即查看網絡流量分析設備和入侵檢測告警設備�,發現系統中存在大量的網絡攻擊告警事件和異常流量告警事件��。在對告警日志進行關聯分析后發現���,該告警日志大多來自網絡中某五臺主機���。
隨機登陸其中一臺業務主機后發現����,主機CPU利用率達到了100%��,內存利用率也明顯偏高��,通過對業務主機的歷史進程進行匹配和查看�,發現主機進程中存在多個異常進程���。
使用病毒專殺工具強制停用系統進程后�,主機CPU及內存利用率明細下降�,網絡流量分析設備和入侵檢測告警設備關于該主機的告警日志也明顯減少���。通過查看進程位置���,利用專殺工具刪除了進程程序��。以此方式操作�,刪除了其他四臺主機的異常程序��。程序刪除完成后��,設備告警日志減少���,業務系統訪問速度和網絡速度恢復正常��。
查看入侵檢測設備歷史告警記錄發現�����,在1個小時前網絡中存在大量的網絡掃描告警����;查看問題主機系統告警日志發現���,40分鐘前存在大量的登錄認證失敗告警�����;查看主機事故主機服務開啟信息和端口開啟信息發現�����,系統開啟有3389��、445�����、139�、137等端口��;查看出口防火墻設備安全策略信息發現�,防火墻對事故主機開放了地址映射和端口映射策略�,并對外開放了訪問權限�����,外部人員可以直接通過互聯網側進入到該主機���。
隨即關閉事故主機的遠程桌面服務�����,取消出口防火墻映射策略和開放的訪問控制規則���。
通過對異常程序的逆向分析發現��,該程序為網絡僵尸程序���,程序存在一定的復制性和感染性���,程序內還嵌套有網絡挖礦程序�����。通過感染大量感染主機形成僵尸網絡�����,實現網絡挖礦����。
通過對告警日志的關聯分析���,回溯了該黑客的攻擊手法�,具體攻擊方法如下所示:
![]()
一�、通過掃描器掃描網絡中可能存在安全漏洞的主機(掃描告警日志)�,如是否存在可利用的系統漏洞��,是否開放了遠程連接服務等��。本次被感染主機對公網開放了遠程連接服務(防火墻安全策略設置了該IP地址和服務映射)��。
二��、使用暴力破解工具對開放了遠程連接服務的主機進行口令暴力破解(主機系統存在的大量用戶登陸認證失敗告警信息)�。
三��、使用破解的用戶名和密碼遠程連接了該主機��,上傳僵尸程序和挖礦程序�。
四�、利用程序的可復制性和感染性���,感染網絡中的其他主機��,形成龐大的僵尸網絡系統����,實施網絡挖礦�。
五�����、通過時間設定��,隱藏挖礦程序和僵尸程序�����,以免被發現(通過病毒程序解析發現�,程序設定啟動時間為凌晨1點到凌晨7點�����,其他時間段為休眠狀態)�����。
事后總結分析發現���,該事故發生的原因主要有以下幾點:
一����、業務系統管理員缺乏必要的安全意識���。為方便對業務系統進行調整��,對互聯網開放了不安全協議和不安全端口��。而且為了方便記憶設置了安全指數較低的系統口令�����。
二���、因缺乏有效的安全檢測手段�,未定期對網絡安全漏洞進行檢測和修復�����,導致黑客利用系統漏洞大量攻擊網絡中其他服務器��。
三��、缺乏主動的安全防護手段���。網絡中雖然部署了流量監測設備�����、入侵檢測設備及其他網絡安全邊界防護設備�,但未形成有效關聯分析����、告警����、響應和處置機制�,對安全事件的防護處于相對被動的局面����。
通過上述網絡安全事件不難發現�����,傳統依靠單一產品或單一安全服務項目已無法解決現有網絡安全難題����,需要一個集安全檢測��、告警�、分析�、響應�����、處置��、安全培訓于一體的安全運營體系來幫助用戶防護網絡安全��,打破被動防御局面�����。
啟明星辰開啟的城市級安全運營中心運營模式��,正是圍繞“保障業務系統安全”��,以“解決安全風險”為訴求��,從管理�、技術�、制度�、流程�、人員等多方面進行優化及改進安全建設����,從而實現業務動態安全的建設目標��,有別于傳統的解決單一或局部問題的方式和理念�,它不僅要解決現有問題����,還要幫助客戶提高安全能力和業務抗風險能力���。
經實踐檢驗這種模式是切實有效的����,截至目前����,啟明星辰已陸續在全國20多個省市建立了安全運營中心�����,助力政企客戶安全能力建設�,賦能智慧城市建設�。
京公網安備11010802024551號