被监管部门通报“挖矿”,正确的应对姿势
今年以来,国家对“挖矿”行为的打击力度逐步加大,在全国范围内广泛开展了对“挖矿”的整改。
2021.09
国家发展改革委等10部门联合发布通知,要求全面整治虚拟货币“挖矿”活动,严禁以数据中心的名义开展虚拟货币“挖矿”活动。
2021.11
国家发展改革委举行新闻发布会表示,我国将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点,全面整治虚拟货币“挖矿”活动。
2021.12
海南、陕西、云南、浙江等地相继出台相关政策或披露专项整治情况。今年以来,为实现虚拟币挖矿“清零”目标,已有15个省份开展针对虚拟币“挖矿”的专项整治。
在此背景下,一轮轮的通报让网络管理者们头大,如何才能通过“挖矿”处置,建立长效能力,下次类似事件不要狼狈应对?
01
“挖矿”查询的技术本质
“挖矿”的查询难么?说起来还真不难。
被监管部门通报“挖矿”,一般有三种形式:
DNS查询了"挖矿"域名
HTTP/HTTPS访问了“挖矿”域名
访问了矿池或者虚拟货币服务器的目标IP
针对这些情形,我们可以从以下两个方向入手:
1)威胁情报机制
这是一种常用的技术手段,各个威胁情报厂商有相对丰富的的矿机样本,用户在使用中,只需在安全设备上开启该功能进行检测即可,这种方式适用于上面的前两种形式。
2)流量识别机制
“挖矿”相关的流量,也能够视为是一种应用协议。因此,通过流量识别设备精准的应用识别能力,即可针对网络中的“虚拟货币”协议直接识别,快速发现“挖矿”行为,这种方式适用于上面的第三种形式。
ps. 通报里通常包含很多有用的信息,包括时间、目标IP、域名等,在查询时候也不要忘记利用。
pps. 如果在Panabit中设置拦截了“挖矿”域名和虚拟货币,这种情况下应该去【系统日志】-【数据包丢弃】中查询拦截策略的命中记录,来发现具体哪个内网IP被阻断,从而发现可能的“挖矿”终端。
上面的两种查询方式,其实有一个共同点:查询简单方便。但查询的便捷是有前提的,即网络大数据技术能力的建设。说白了,数据在手稳如狗,需要的时候动动手指点下查询就行,才不至于病急乱投医。
另外一个例子是最近讨论火热的Log4j2漏洞,它的查询也很简单(当然,前提是保存了URL记录):直接查询URL关键字包含“jndi:”的记录即可发现大量可疑线索,供详细分析。
那么,如何建设这样的大数据技术能力呢?
02
网络大数据技术能力建设
1)选择合适的探针
关于探针的选择,可以参考我们之前发布的文章,这里就不多赘述了:
简单来说,探针是网络大数据的起点。探针设备提供的一手数据完整、准确与否,都关系着最终的分析结果。
2)大数据分析技术
所谓“大数据”,并非是大量数据的简单堆砌,大数据的核心在于对数据的合理处理与分析。
网络中的原始报文,在经过探针设备的处理后,对常见的数据类型进行提取,形成数据仓库。而分析设备在此基础上,应用各种统计、分析工具进行深加工,最终将我们所需的分析结果进行呈现。
3)针对异常的建模
在此之上,如何主动持续地分析发现新的异常线索呢?下面的两种建模方式值得我们选择:
■ 已知中寻找异常
所谓大隐隐于市,异常的通信内容隐蔽伪装在常用协议中,是很多恶意应用的常用手段。如果能对已经识别的协议,根据协议、目标去向、域名、URL、DNS请求、用户身份、地理位置、UA等元数据,建立数据仓库,然后再根据它们的波动、差分、排序等统计规律寻找异常变化,最后对锁定的异常变化会话数据进行深度的原始数据分析,就可以找到很多问题的答案。
■ 未知中排除正常
通常情况下,被识别引擎确定为未知的协议数据有三种:1)小众协议、2)已知协议数据的漏识别,以及3)广泛使用的非正常协议。可以利用同目标其他识别结果的交叉校验,排除大量第二种情况,然后再结合交叉地理位置、使用频度等情况,剩余的1)和3)就会快速的浮出水面。1)和3)也分别是APT类未知威胁发现和黑产类未知威胁发现的重点分析目标。
关于异常分析的更多信息,可以参考我们之前发过的文章:网络全量数据包抓取,是时候有第二种选择
正如在疫情期间,人们的出行记录、接触日志、访客登记等基础信息变得尤为重要,这种收集所有可能的广义数据的目的是实现大数据的分析预判,以及第一时间获得疫情进展。而网络安全亦是如此,网络大数据技术能力的建设,能够帮助网络管理者对异常流量、威胁行为进行分析,预防安全事件的发生。
对于用户来说,核心在于建立好长效的网络大数据收集、查询、建模的能力,威胁来临就可以变成一个查询任务,而不是手忙脚乱去购买新的临时设备应急。
如果您想排查“挖矿”等行为,或是对网络大数据能力的建设有兴趣,Panabit都可以为您提供相关的解决方案,您可以扫描下方的二维码联系我们。
更多精彩: