【“挖矿”威胁治理】探海提升流量侧威胁洞见(附案例)
挖矿威胁治理
专题一:【“挖矿”威胁治理】专项方案
专题三:【“挖矿”威胁治理】探海提升流量侧威胁洞见(附案例)
2.1 多层次多维度检测,“挖矿”威胁有效发现
探海支持从数据流、网络行为、文件等多个层次对“挖矿”活动进行检测,综合运用AVL、行为检测、威胁情报、模型分析、关联分析等多种检测手段,对处于不同攻击阶段的“挖矿”行为进行精准检测与告警,包括但不限于网络扫描探测、远程漏洞利用、攻击载荷投放、僵尸网络活动等“挖矿”威胁攻击行为。可高准确率、低误报率的,快速发现“挖矿”威胁。
2.2 细粒度全要素留存,“挖矿”威胁有效分析
基于流量侧海量的威胁线索,如何做到有效溯源分析,是网络安全检测重要的一环。区别于全流量缓存记录的方式,探海基于流量侧的细粒度协议解析和还原,支持对网络元数据、应用层传输要素、载荷对象要素等信息进行全要素留存,为“挖矿”威胁攻击溯源提供更精准更全面的威胁线索。
同时,基于恶意代码传播关系、命令与控制关系、恶意文件关联等维度,进行网络侧威胁事件自动化关联分析,可更有效的支撑安全分析人员进行威胁研判、追踪溯源,提高“挖矿”威胁攻击分析效率。
2.3 多产品间协同联动,“挖矿”威胁有效处置
探海可无缝与智甲、追影等产品进行协同联动,系统构建网络侧和终端侧纵深防护体系,有效应对内网场景、远程接入场景、外部访问场景下,“挖矿”木马进驻系统或横向移动的行为。
案例附录:教育行业“挖矿”威胁治理场景价值
一、及时发现威胁
在一次校园网重保期间,探海在流量侧检测到50+台主机访问已知的矿池域名或访问相关C2域名(见表1),共7万+起“挖矿”威胁事件告警(见图1),持续多日检出“LaofuMiner ‘挖矿’木马”、“NRSMiner‘挖矿’僵尸网络”等多种“挖矿”威胁。安全分析人员通过探海目标审计功能(见图2)对校园网内“挖矿流量”进行全流量溯源取证,确认20+台主机存在执行获取任务、回传任务的“挖矿”行为,根据钱包地址获取到6台主机在“挖矿”门罗币(见图3至5)。
表1:检出矿池域名与攻击次数统计(部分)
探海检出结果 | 检出域名 | 攻击次数 |
Trojan/Win32.NSAGluptebaMiner(RAT) | t.awcna.com | 549 |
Trojan/Win32.LaofuMiner(RAT) | t.tr2q.com | 1207 |
Trojan/Win32.WatchBogMiner(RAT) | sadan666.xyz | 18 |
Trojan/Win32.NRSMiner(RAT) | null.exhauest.com state.codidled.com take. exhauest.com | 71044 |
Trojan/Win32.MsraMiner(RAT) | tsk.tknuv.com | 3062 |
Trojan/Win32.StartMiner(RAT) | pool.supportxmr.com | 1058 |
图3:涉及主机存在的异常网络行为
二、快速联动处置
联动智甲协助用户完成了20+台主机侧“挖矿”木马的查杀;同时联动防火墙对相关矿池域名进行阻断处理,阻断内网主机与矿池域名进行数据交换行为,成功处置了校园网内感染的“挖矿”木马。
三、高效溯源反制
基于对网络元数据、应用层传输要素、载荷对象要素等信息的全要素留存,恶意代码传播关系、命令与控制关系、恶意文件关联等维度的网络侧威胁事件自动化关联分析,以及威胁事件日志及目标审计功能,有效地支撑了安全分析人员对该次“挖矿”活动的全面威胁研判与追踪溯源。
最终,高效的帮助了用户回溯分析“挖矿”威胁攻击行为、还原攻击路径、分析感染影响状况,并及时修复了相关安全漏洞,避免主机被再次植入挖矿程序;做到了把“挖矿”活动“找出来”和“赶出去”,实现了对“挖矿”威胁的反制。
通过三篇专题文章,我们向大家介绍了以“端点统管、持续监测、情报驱动、协同响应”为总体思路的安天“挖矿”威胁治理方案,详细介绍了端点侧、流量测的防护策略,并分享了实际场景的案例。
近期,安天将以短视频形式推出具体处置阶段的“挖矿”威胁防护实操指南,并提供防护手册,敬请期待!
附录:
《挖矿木马简要技术分析》.安天CERT .2021/10/15
https://www.antiy.cn/research/notice&report/research_report/20211015.html