自2021年發改委全面整治“挖礦”以來,公開成規模的“挖礦”活動基本消失,但從微步在線的追蹤數據來看,隱藏在暗處的“挖礦”木馬活動卻迎來新一輪爆發增長,不僅現存挖礦家族活動頻繁,還出現了一大批新的挖礦家族。

挖礦木馬防范之殤:快速迭代 高度隱匿

挖礦木馬泛濫的一大主因,是其快速迭代并集成了諸多對抗技術,使得傳統防范能力難以應對。對過去一年中挖礦木馬的追蹤分析,挖礦木馬從開發、傳播、通信以及駐留對抗等多個階段環節都不同程度加快了技術更新升級頻率,這不僅提高了甄別挖礦木馬的復雜度,同時也加大了完全清除木馬的難度。

在挖礦木馬開發方面,越來越多的挖礦團伙開始轉向使用新的更易于開發、更有效率的程序語言。微步在線的統計數據顯示,Go語言已經成為開發新型挖礦木馬的首選,利用Go語言的跨臺編譯和豐富的第三方庫能力,挖礦木馬只需一套代碼就可在主流操作系統(Windows/Linux)內運行。不僅降低了開發的難度,還極大地提升了效率。

在傳播方面,挖礦木馬具備極強漏洞掃描和利用能力。通過數年的追蹤數據顯示,挖礦木馬越來越青睞于利用漏洞感染主機,大多數挖礦木馬都集成了10個漏洞以上,最多的甚至集成了超過30個漏洞;同時,對新公布漏洞的利用也更加迅速,如去年Apache Log4j2曝光之后,不到40個小時,就有挖礦木馬集成并發起攻擊。

在反連通信方面,從明文通信、公共礦池到加密通信、礦池代理。明文通信極易被NDR等設備發現,公共礦池的域名與IP也極易被封禁,通信加密成為挖礦木馬的主流選擇,同時還通過礦池代理來降低被封禁幾率。

在駐留對抗方面,熟練使用對抗技術是挖礦木馬的獨特標志。據追蹤數據顯示,包括進程隱藏、內核態對抗、系統命令劫持、自啟動(計劃任務)與隱藏、守護進程、加殼與代碼混淆、盜用簽名以及偽裝應用文件等諸多對抗技術手段,都出現在了幾大“流行”的挖礦木馬之中,極大地增加了檢測和清除的難度。

從上述特點可以看出,挖礦木馬不僅具有極強的傳播感染能力,同時在反偵測能力也日趨成熟,隱蔽增強,從感染到駐留對抗各個環節都沒有明顯的短板。對于“單兵作戰”的防火墻、反入侵檢測、殺軟等設備而言,這就如同遭遇“魔法”攻擊一樣難覓蹤跡,發現難,防御也就無從談起。

用“魔法”打敗“魔法”,OneDNS反制“挖礦”木馬

針對“挖礦”木馬這種在各方面均沒有明顯短板的惡意軟件,安全工作者必須要基于更高層面,具備全局視野,使用一種創新的思路去解決問題。在不斷升級的攻防對抗中,挖礦木馬運行的一些關鍵“套路”逐漸被識破,反制方法也隨之浮出水面,比如阻斷反連,就是反制挖礦木馬最行之有效的方法之一。

所謂反連,是挖礦應用程序在運行時,與礦池建立連接以獲取指令數據的關鍵環節之一。下圖展示了挖礦程序反連的幾種方式:

挖礦木馬通過域名或IP兩種方式反連礦池,以獲得任務并結果上傳

據統計數據顯示,90%以上的挖礦木馬都是通過域名反連至公共礦池或礦池代理。域名反連,這就意味著需要DNS進行解析。如果在DNS解析時,發現屬于挖礦木馬反連行為就直接阻斷解析,是不是就可以讓90%以上的挖礦木馬失效?

答案是肯定的,不止挖礦,實際上包括勒索、釣魚以及木馬等其他惡意軟件最顯著,同時也最關鍵的環節就是反連。OneDNS正是利用了這一特點,不管惡意軟件是利用何種方式入侵,只要其使用域名反連,就會查詢DNS。將威脅情報賦能DNS,就可在惡意軟件反連階段實現攔截,避免企業損失,為用戶新增一把安全鎖。

OneDNS工作原理示意圖,將DNS與威脅情報相結合,在解析時對挖礦木馬反連進行攔截,進而阻斷挖礦行為,不影響上網行為

實踐證明,利用DNS攔截阻斷惡意軟件是一種行之有效的解決辦法,但這一方案的關鍵點在于威脅情報。OneDNS之所以能夠實現99.9%的高精度識別能力,就在于與微步在線領先的威脅情報優勢相結合——基于大數據與AI等技術構建的情報生產系統,針對數千節點每日采集的PB級數據進行分析,再與數百名情報分析師的智慧相結合,獲得全網最新最全的威脅情報。

精準威脅情報能力的加持,讓OneDNS成為一款位于遠端的具備強大安全防護能力的企業級DNS,在不改變用戶現有IT架構的情況下,只需將數據中心內部的DNS地址指向OneDNS即可。在滿足企業所需的快速、高效、穩定解析能力外,還能有效阻斷惡意軟件攻擊,提升企業安全防護能力。

輕準穩全 OneDNS不只是企業級DNS

OneDNS首先是一“臺”企業級DNS,具有滿足企業用戶所需的輕量、穩定、高效特點:

快速輕量部署。0硬件成本,同時也意味著省卻了額外的機柜空間以及相應的能源散熱成本。還大幅縮短了部署周期,只需將DNS指向OneDNS即可,部署過程僅需數分鐘。

解析能力快。OneDNS在全國20多個省市區域共設置了80個加速站點,根據用戶實際地區自動選擇最優站點,以提供最佳的解析服務。

五個九可用。OneDNS單個站點使用基于分布式計算/存儲技術架構,不但有自動負載均衡能力,還具備故障自動切換與修復能力。并且,站點間采用類似金融級“兩地三中心”架構來保證OneDNS服務能力持續可用。

統一管理。OneDNS為企業用戶提供一種靈活可控的云端遞歸DNS服務,利用“多分支”與“分層”的管理方式,可將分散在全國各地的分支機構網絡納入OneDNS之中,進行統一管控,在邏輯上作為企業的統一網絡出口,極大地降低了企業網絡管理復雜度。

并且,OneDNS還是一款具備安全防護的能力的企業級DNS服務。除了對已存在的惡意軟件反連進行攔截之外,OneDNS還能定位已失陷主機,并提供按需可靈活設置的上網管控功能,幫助企業凈化網絡環境,提升安全防護能力。

OneDNS不僅能夠攔截惡意軟件,同樣還能達到上網管控的目的,幫助用戶凈化網絡

按策略自動攔截。OneDNS不僅可以自動對惡意軟件反連進行阻斷,控制臺還有80多種不同類型網站,用戶可按需針對特定類型網站進行管控,也可自行添加黑白名單。

精準定位主機。結合輕量級的虛擬轉發器,OneDNS可對內網失陷主機進行精準定位。即使遠程或移動辦公終端也可通過Agent來阻斷惡意軟件入侵內網的風險。

99.99%精準攔截。這是OneDNS最核心的能力,源自微步在線領先的情報威脅優勢。微步在線自誕生以來就聚焦在威脅情報生產上,遍及全球的數千個數據采集節點每天都將數據源源不斷匯聚到微步情報中心,基于大數據分析、人工智能技術的情報生產系統與數百名情報分析師的智慧相結合,最新最全的威脅情報讓OneDNS擁有最精準的攔截能力。

專業處置建議。OneDNS支持對全網發現的所有威脅事件統計,實時同步微步情報數據和威脅事件處置查殺建議,提供檢測、攔截、定位、處置一站式服務,簡化管理,提升效率。

截止到目前,OneDNS已經9年100%穩定運行,正為全國600多家企業用戶提供安全、高效、可靠的地址解析與防護服務,包括中信銀行、東方證券、華泰保險、格力、中國草以及中外運等20余家超大規模集團用戶,單個集團終端接入數量超過10萬臺。

借助微步在線領先的威脅情報優勢,OneDNS已經累計超過100萬個惡意地址,每日DNS解析次數接100億次,累計DNS攔截次數約10億次,為超過2000萬終端用戶提供安全上網服務。