“挖矿”监管持续加码,天融信“九合一探针”开启全面消杀
北京首例“挖矿”案件结果宣判,北京市第三中级人民法院宣判了一起比特币“挖矿”合同纠纷二审案件。北京三中院认为,虚拟货币交易炒作活动危害人民群众财产安全和国家金融安全,以电力资源、碳排放量为代价的“挖矿”行为,与经济社会高质量发展和碳达峰、碳中和目标相悖,与公共利益相悖,认定“挖矿”合同无效。
随着国家发改委等多部门联合发布《关于整治虚拟货币“挖矿”活动的通知》,开展针对“挖矿”活动全面治理的工作,严禁新增虚拟货币“挖矿”项目,全面整治“挖矿”行为。
当下虚拟货币的价值虽然大幅度缩水,但其市场价值依然诱人,虚拟货币发行商企图通过调整“挖矿”难度,继续拉升虚拟货币热度,这使得“挖矿”行为层出不穷,“挖矿”治理的工作依然任重而道远。知己知彼、百战不殆,“挖矿”活动因其持久性、隐蔽对抗性等行为特征,可以通过各种手段规避流量监测和主机的安全检测。
依托多年网络安全行业经验积累,天融信深度剖析“挖矿”活动行为特征,结合自身天融信僵尸网络木马和蠕虫监测与处置系统(简称“TopTVD”),开启“事前”“事中”“事后”应对治理流程,TopTVD集合攻击检测、僵木蠕检测、DDoS检测、恶意程序检测、APT检测、Web安全检测、虚拟沙箱、元数据提取九大功能于一体,可对恶意“挖矿”行为进行多维度检测发现,全面助力客户实现“挖矿”威胁高效治理。
事前
多维检测,“挖矿”威胁精准发现
针对已知“挖矿”威胁攻击检测,TopTVD攻击检测引擎可深入数据L2-L7层,搭配9500+攻击检测规则库,对常规系统/Web漏洞攻击、0day/1day漏洞进行深度检测,同时基于弱口令检测引擎和暴力破解检测引擎,检测网络环境中明文、弱密码登录和暴力破解攻击行为,全面保障用户密码安全。
针对未知“挖矿”威胁攻击检测,TopTVD通过TAI-1智慧引擎和虚拟沙箱,使用仿真技术构建执行引擎,并真实模拟操作系统环境,实现动态分析、识别恶意木马程序与“挖矿”脚本,深度防御恶意样本/程序无特征未知威胁攻击。
事中
深度挖掘,“挖矿”活动全面监测
在“挖矿”活动实施者与主机之间,TopTVD可通过僵尸主机检测引擎,深度提取网络中协议异常、访问异常、连接异常等主机通信行为特征,判定是否为“挖矿”通信行为;基于服务器非法外联检测引擎,针对服务器建立外联自学习行为基线,动态监测服务器违规外联等行为;借助隐蔽隧道通信检测引擎,深度检测采用异常协议进行通讯的主机,全方位挖掘矿工与主机之间建立的通讯行为。
在“挖矿”活动工作流程中,TopTVD采用DGA恶意域名检测引擎,检测失陷主机对恶意矿池发起的异常域名请求行为,将异常的域名请求、IP地址与威胁情报库中的矿池信息进行比对确认,使用僵尸主机检测引擎,联合威胁情报库收录的不同虚拟货币的特征信息,可从“挖矿”工作通讯行为中准确识别判定“挖矿”事件及币种,全方位深度监测主机与矿池之间的工作通讯行为。
事后
精准锁定,封堵消杀快速治理
经过事前、事中的全方位检测,TopTVD在事后阶段可根据配置策略,联动天融信下一代防火墙快速封堵已发生的“挖矿”事件,及时阻止“挖矿”行为,全力保障客户业务安全。
锁定“挖矿”主机后,TopTVD及时同步客户相关使用人员和具体告警信息,对相关主机进行定位与溯源,配合天融信EDR全面查杀“挖矿”木马和程序,防止横向移动传播更多主机,彻底消杀恶意“挖矿”威胁。
TOPSEC
作为国内首家成立的网络安全企业,天融信始终以捍卫国家网络空间安全,积极投身网络安全建设。面对防不胜防的“挖矿”威胁,天融信将以全面的安全检测技术,深度刨析“挖矿”活动全生命流程,建立完善的“挖矿”安全处置机制,持续为各行业客户的信息化建设保驾护航。
相关阅读
1、天融信:精准定位,快速处置!做好网络空间安全“核酸检测”