自2021年发改委全面整治“挖矿”以来,公开成规模的“挖矿”活动基本消失,但从微步在线的追踪数据来看,隐藏在暗处的“挖矿”木马活动却迎来新一轮爆发增长,不仅现存挖矿家族活动频繁,还出现了一大批新的挖矿家族。

挖矿木马防范之殇:快速迭代 高度隐匿

挖矿木马泛滥的一大主因,是其快速迭代并集成了诸多对抗技术,使得传统防范能力难以应对。对过去一年中挖矿木马的追踪分析,挖矿木马从开发、传播、通信以及驻留对抗等多个阶段环节都不同程度加快了技术更新升级频率,这不仅提高了甄别挖矿木马的复杂度,同时也加大了完全清除木马的难度。

在挖矿木马开发方面,越来越多的挖矿团伙开始转向使用新的更易于开发、更有效率的程序语言。微步在线的统计数据显示,Go语言已经成为开发新型挖矿木马的首选,利用Go语言的跨台编译和丰富的第三方库能力,挖矿木马只需一套代码就可在主流操作系统(Windows/Linux)内运行。不仅降低了开发的难度,还极大地提升了效率。

在传播方面,挖矿木马具备极强漏洞扫描和利用能力。通过数年的追踪数据显示,挖矿木马越来越青睐于利用漏洞感染主机,大多数挖矿木马都集成了10个漏洞以上,最多的甚至集成了超过30个漏洞;同时,对新公布漏洞的利用也更加迅速,如去年Apache Log4j2曝光之后,不到40个小时,就有挖矿木马集成并发起攻击。

在反连通信方面,从明文通信、公共矿池到加密通信、矿池代理。明文通信极易被NDR等设备发现,公共矿池的域名与IP也极易被封禁,通信加密成为挖矿木马的主流选择,同时还通过矿池代理来降低被封禁几率。

在驻留对抗方面,熟练使用对抗技术是挖矿木马的独特标志。据追踪数据显示,包括进程隐藏、内核态对抗、系统命令劫持、自启动(计划任务)与隐藏、守护进程、加壳与代码混淆、盗用签名以及伪装应用文件等诸多对抗技术手段,都出现在了几大“流行”的挖矿木马之中,极大地增加了检测和清除的难度。

从上述特点可以看出,挖矿木马不仅具有极强的传播感染能力,同时在反侦测能力也日趋成熟,隐蔽增强,从感染到驻留对抗各个环节都没有明显的短板。对于“单兵作战”的防火墙、反入侵检测、杀软等设备而言,这就如同遭遇“魔法”攻击一样难觅踪迹,发现难,防御也就无从谈起。

用“魔法”打败“魔法”,OneDNS反制“挖矿”木马

针对“挖矿”木马这种在各方面均没有明显短板的恶意软件,安全工作者必须要基于更高层面,具备全局视野,使用一种创新的思路去解决问题。在不断升级的攻防对抗中,挖矿木马运行的一些关键“套路”逐渐被识破,反制方法也随之浮出水面,比如阻断反连,就是反制挖矿木马最行之有效的方法之一。

所谓反连,是挖矿应用程序在运行时,与矿池建立连接以获取指令数据的关键环节之一。下图展示了挖矿程序反连的几种方式:

挖矿木马通过域名或IP两种方式反连矿池,以获得任务并结果上传

据统计数据显示,90%以上的挖矿木马都是通过域名反连至公共矿池或矿池代理。域名反连,这就意味着需要DNS进行解析。如果在DNS解析时,发现属于挖矿木马反连行为就直接阻断解析,是不是就可以让90%以上的挖矿木马失效?

答案是肯定的,不止挖矿,实际上包括勒索、钓鱼以及木马等其他恶意软件最显著,同时也最关键的环节就是反连。OneDNS正是利用了这一特点,不管恶意软件是利用何种方式入侵,只要其使用域名反连,就会查询DNS。将威胁情报赋能DNS,就可在恶意软件反连阶段实现拦截,避免企业损失,为用户新增一把安全锁。

OneDNS工作原理示意图,将DNS与威胁情报相结合,在解析时对挖矿木马反连进行拦截,进而阻断挖矿行为,不影响上网行为

实践证明,利用DNS拦截阻断恶意软件是一种行之有效的解决办法,但这一方案的关键点在于威胁情报。OneDNS之所以能够实现99.9%的高精度识别能力,就在于与微步在线领先的威胁情报优势相结合——基于大数据与AI等技术构建的情报生产系统,针对数千节点每日采集的PB级数据进行分析,再与数百名情报分析师的智慧相结合,获得全网最新最全的威胁情报。

精准威胁情报能力的加持,让OneDNS成为一款位于远端的具备强大安全防护能力的企业级DNS,在不改变用户现有IT架构的情况下,只需将数据中心内部的DNS地址指向OneDNS即可。在满足企业所需的快速、高效、稳定解析能力外,还能有效阻断恶意软件攻击,提升企业安全防护能力。

轻准稳全 OneDNS不只是企业级DNS

OneDNS首先是一“台”企业级DNS,具有满足企业用户所需的轻量、稳定、高效特点:

快速轻量部署。0硬件成本,同时也意味着省却了额外的机柜空间以及相应的能源散热成本。还大幅缩短了部署周期,只需将DNS指向OneDNS即可,部署过程仅需数分钟。

解析能力快。OneDNS在全国20多个省市区域共设置了80个加速站点,根据用户实际地区自动选择最优站点,以提供最佳的解析服务。

五个九可用。OneDNS单个站点使用基于分布式计算/存储技术架构,不但有自动负载均衡能力,还具备故障自动切换与修复能力。并且,站点间采用类似金融级“两地三中心”架构来保证OneDNS服务能力持续可用。

统一管理。OneDNS为企业用户提供一种灵活可控的云端递归DNS服务,利用“多分支”与“分层”的管理方式,可将分散在全国各地的分支机构网络纳入OneDNS之中,进行统一管控,在逻辑上作为企业的统一网络出口,极大地降低了企业网络管理复杂度。

并且,OneDNS还是一款具备安全防护的能力的企业级DNS服务。除了对已存在的恶意软件反连进行拦截之外,OneDNS还能定位已失陷主机,并提供按需可灵活设置的上网管控功能,帮助企业净化网络环境,提升安全防护能力。

OneDNS不仅能够拦截恶意软件,同样还能达到上网管控的目的,帮助用户净化网络

按策略自动拦截。OneDNS不仅可以自动对恶意软件反连进行阻断,控制台还有80多种不同类型网站,用户可按需针对特定类型网站进行管控,也可自行添加黑白名单。

精准定位主机。结合轻量级的虚拟转发器,OneDNS可对内网失陷主机进行精准定位。即使远程或移动办公终端也可通过Agent来阻断恶意软件入侵内网的风险。

99.99%精准拦截。这是OneDNS最核心的能力,源自微步在线领先的情报威胁优势。微步在线自诞生以来就聚焦在威胁情报生产上,遍及全球的数千个数据采集节点每天都将数据源源不断汇聚到微步情报中心,基于大数据分析、人工智能技术的情报生产系统与数百名情报分析师的智慧相结合,最新最全的威胁情报让OneDNS拥有最精准的拦截能力。

专业处置建议。OneDNS支持对全网发现的所有威胁事件统计,实时同步微步情报数据和威胁事件处置查杀建议,提供检测、拦截、定位、处置一站式服务,简化管理,提升效率。

截止到目前,OneDNS已经9年100%稳定运行,正为全国600多家企业用户提供安全、高效、可靠的地址解析与防护服务,包括中信银行、东方证券、华泰保险、格力、中国草以及中外运等20余家超大规模集团用户,单个集团终端接入数量超过10万台。

借助微步在线领先的威胁情报优势,OneDNS已经累计超过100万个恶意地址,每日DNS解析次数接100亿次,累计DNS拦截次数约10亿次,为超过2000万终端用户提供安全上网服务。