基于行為檢測的挖礦木馬檢測技術(shù)的研究和有效

data-v-04201b88>

1.挖礦木馬入侵和危害

在近些年區塊鏈技術(shù)的普及和加密貨幣投資的高額回報背景下，加密貨幣憑借其去中心化、匿名度高、全世界流通以及免稅等特性，已成為當下全球最熱門(mén)的投資品類(lèi)。例如全球最大的虛擬貨幣比特幣，從2020年初至今的價(jià)格變化趨勢來(lái)看，價(jià)格一度超過(guò)了6萬(wàn)美元/BTC，與2019年底相比暴漲10倍。如下圖1所示：

圖1 近一年來(lái)比特幣價(jià)格曲線(xiàn)(數據來(lái)源：www.hqz.com)

與此同時(shí)，其他各類(lèi)虛擬貨幣的市值也均有大幅增長(cháng)，在利益驅動(dòng)下，通過(guò)傳播挖礦木馬來(lái)獲取數字加密貨幣的黑產(chǎn)團伙聞風(fēng)而動(dòng)，紛紛加入對主機計算資源的爭奪之戰，典型的方法就是在入侵的受害主機上大批量植入挖礦木馬，利用受害者計算機的運算力進(jìn)行挖礦，從而獲取利益。

這類(lèi)在用戶(hù)不知情的情況下植入用戶(hù)計算機進(jìn)行挖礦的挖礦程序就是挖礦木馬。挖礦木馬的使用分為3個(gè)階段：

1.攻擊者利用主機漏洞或缺陷獲取木馬上傳的必要權限。相關(guān)主機漏洞或缺陷如未授權訪(fǎng)問(wèn)漏洞、Web服務(wù)器遠程代碼執行漏洞、服務(wù)器系統組件漏洞(例如MS17-010)等;

2.攻擊者上傳挖礦木馬到受害主機上。在獲取到必要權限之后，上傳惡意挖礦木馬到受害內網(wǎng)web服務(wù)器或者個(gè)人主機，然后啟動(dòng)挖礦木馬程序，通過(guò)系統計劃任務(wù)、操作系統自啟動(dòng)、修改系統注冊表、修改系統文件權限等方式來(lái)達到持久化運行和隱匿自身的目的;

3.挖礦木馬開(kāi)展內網(wǎng)主機之間的擴散。利用受害主機進(jìn)行內網(wǎng)探測掃描，發(fā)現其他潛在受害目標主機，從受控主機傳播挖礦木馬并感染其他主機，實(shí)現挖礦木馬在內網(wǎng)主機間的大量蔓延。

由此可見(jiàn)，植入挖礦木馬至內網(wǎng)用戶(hù)的主機，不僅大量消耗主機的系統資源，造成主機無(wú)法使用或者運行變慢等問(wèn)題，而且可能會(huì )以?xún)染W(wǎng)做跳板進(jìn)一步入侵其他內網(wǎng)主機，造成挖礦木馬擴散傳播和其他內網(wǎng)破壞行為，是內網(wǎng)安全的重大隱患。本文在接下來(lái)會(huì )分“利用CPU/GPU算力進(jìn)行挖礦”、“利用硬盤(pán)挖礦”這兩種不同的模式來(lái)介紹對應的行為檢測原理和有效實(shí)踐。

2.挖礦木馬的行為檢測原理和有效實(shí)踐

挖礦木馬的使用，對于利用CPU/GPU算力進(jìn)行挖礦的加密貨幣，一般采用基于礦池的挖礦模式，目前主流的挖礦幣種是門(mén)羅幣。原因分析如下：

1.基于礦池的挖礦能使攻擊者獲得穩定的收益。雖然挖礦有兩種模式：SOLO模式和礦池模式，但SOLO模式要求挖礦主機直接連接主機客戶(hù)端進(jìn)行挖礦，無(wú)法被挖礦木馬所采用，礦池模式是給礦工主機分配任務(wù)，統計工作量并分發(fā)收益，即無(wú)論礦池是否挖掘到區塊貨幣，礦工主機都可以根據工作量來(lái)獲取對應的幣種收益。挖礦木馬主要采用的方式為礦池模式以獲取穩定的收益。

2.比特幣主機挖礦效益與投入比的不斷降低，使得攻擊者轉向更具挖礦效率優(yōu)勢的門(mén)羅幣。因為隨著(zhù)專(zhuān)業(yè)礦機的出現，個(gè)人電腦與礦機之前巨大的算力差異(高達萬(wàn)倍以上的差距)，以及每4年挖礦獎勵減半機制，比特幣全網(wǎng)挖礦的難度不斷增大且單位收益不斷降低，比特幣已經(jīng)越來(lái)越不適合個(gè)人參與，不法分子需要選擇新的幣種。而隨著(zhù)2014門(mén)羅幣(Monero,代號XMR)的問(wèn)世，由于高度匿名性、使用RandomX和CryptoNight等算法能最高效利用CPU挖礦、擁有穩定的維護團隊和生態(tài)來(lái)維持幣值的穩定等優(yōu)勢，漸漸成為挖礦木馬熱衷的主要幣種，我們也重點(diǎn)針對門(mén)羅幣挖礦進(jìn)行分析和檢測。

基于挖礦木馬的以上行為特點(diǎn)，我們構建以行為檢測和關(guān)聯(lián)分析檢測技術(shù)為核心、威脅情報分析為輔助的挖礦木馬行為檢測技術(shù)方案。

2.1挖礦木馬行為檢測技術(shù)方案

2.1.1 基于Stratum協(xié)議的通信過(guò)程行為檢測方法

此技術(shù)方案為檢測礦池與挖礦主機之間的挖礦通信協(xié)議。礦池一般采用Stratum協(xié)議與挖礦主機進(jìn)行交互通信，Stratum協(xié)議是基于JSON-RPC2.0封裝的TCP通訊協(xié)議，在挖礦主機和礦池的交互過(guò)程中支持挖礦主機登記、任務(wù)下發(fā)、賬號登錄、結果提交和挖礦任務(wù)難度調整這五種行為。挖礦主機和礦池交互的流程如下圖2所示：

圖2 Stratum協(xié)議挖礦通信流程圖

我司的挖礦行為檢測根據Stratum協(xié)議挖礦的不同階段可檢測這五種不同的挖礦行為，并進(jìn)行多種行為之間有效性的關(guān)聯(lián)分析，最終確認是否存在挖礦木馬在使用Stratum協(xié)議挖礦。具體方案包括：

（1）挖礦主機登記行為檢測，檢測挖礦主機啟動(dòng)后是否主動(dòng)連接礦池進(jìn)行申請挖礦任務(wù)的登記，包括兩種子行為的檢測:

a）檢測挖礦主機采用“mining.subscribe”方法發(fā)起向礦池的挖礦任務(wù)申請行為;

b）礦池采用“mining.notify”方法進(jìn)行申請回應，通知挖礦主機收到挖礦任務(wù)申請。

挖礦主機數據樣例：
{"id":1,"method":"mining.subscribe","params":[]}
礦池回應樣例：
{"id":1,"result":[["mining.notify","ae6812eb4cd7735a302a8a9dd95cf71f"],"08000002",4],"error":null}

（2）礦池采用“mining.notify”方法給挖礦主機分配挖礦任務(wù)的行為檢測。該行為會(huì )在挖礦主機登記行為發(fā)生后立即觸發(fā)。

礦池分配挖礦任務(wù)的數據樣例：
{"params":["bf","4d16b6f85af6e2198f44ae2a6de67f78487ae5611b77c6c0440b921e00000000", 
"01000000010000000000000000000000000000000000000000000000000000000000000000ffffffff20020862062f50325348
2f04b8864e5008","072f736c7573682f000000000100f2052a010000001976a914d23fcdf86f7e756a64a7a9688ef990332704
8ed988ac00000000",["c5bd77249e27c2d3a3602dd35c3364a7983900b64a34644d03b930bfdb19c0e5", "049b4e78e2d0b24f7c6a2856aa7b41811ed961ee52ae75527df9e80043fd2f12"], "00000002","1c2ac4af","504e86b9",false],"id":null,"method":"mining.notify"

以上數據中有分配任務(wù)號、區塊Hash、交易ID列表、區塊版本號、當前時(shí)間、通知方法等特征，如果以上特征存在多個(gè)，則確認該通信行為為挖礦任務(wù)下發(fā)。

（3）挖礦主機使用賬號和密碼登錄礦池的行為檢測。檢測挖礦主機采用mining.authorize方法或者jsonrpc方法登錄到礦池，礦池回應的“result”字段為“true”則表示登錄成功。

挖礦主機直接通過(guò) mining.authorize 方法登錄的數據樣例：
{"params":["miner1","password"],"id":2,"method":"mining.authorize"}
礦池回應登錄成功的數據樣例：
{"error":null,"id":2,"result":true}

挖礦主機通過(guò) jsonrpc 方式登錄的數據樣例：
{"id":2,"jsonrpc":"2.0","method":"login","params":{"login":"blue1","pass":"x","agent":"Windows NT 6.1; Win64; x64"}}
礦池回應登錄成功的數據樣例：
{"error":null,"id":2,"jsonrpc":"2.0","result":true}

（4）挖礦主機向礦池提交任務(wù)結果的行為檢測。挖礦主機挖到區塊后，就采用“mining.submit”方法向礦池提交任務(wù)。礦池回應的“result”字段為“true”則表示提交成功；否則回應“error”字段給出報錯原因。

挖礦主機箱礦池提交任務(wù)的數據樣例：
{"params":["miner1","bf","00000001","504e86ed","b2957c02"],"id":4,"method":"mining.submit"}
礦池回應結果的數據樣例：
{"error":null,"id":4,"result":true}

（5）礦池調整挖礦任務(wù)難度的行為檢測。礦池采用“mining.set_difficulty”方法調整難度，且“params”字段給出難度值。

礦池調整挖礦任務(wù)難度的數據樣例：
Server:{"id":null,"method":"mining.set_difficulty","params":[2]}

挖礦主機在收到任務(wù)難度調整的通知后，在下一個(gè)任務(wù)開(kāi)始時(shí)采用新難度，礦池有時(shí)會(huì )立刻下發(fā)一個(gè)新任務(wù)以便挖礦主機立即以新難度開(kāi)始工作。

我們的行為檢測方法，將前3個(gè)行為，包括“挖礦主機登記行為”、“礦池采用‘mining.notify’方法給挖礦主機分配挖礦任務(wù)的行為”和“挖礦主機使用賬號和密碼登錄礦池的行為”，看做緊密順序觸發(fā)的行為，在預設的時(shí)間段內接連順序發(fā)生這3種行為任務(wù)是挖礦木馬植入并和礦池成功建立通信的第一階段，檢測到第一階段則確認主機被植入木馬并受控。

將挖礦木馬主機持續性地向礦池提交任務(wù)的行為，看做挖礦木馬主動(dòng)挖礦的第二階段，即主機挖礦的過(guò)程維持階段，該階段會(huì )統計礦池的地址、提交給每個(gè)礦池地址的任務(wù)次數，這是作為檢測取證的關(guān)鍵證據。

將礦池調整任務(wù)難度的行為看做主機受控的輔助證據，用來(lái)在只檢測到挖礦木馬主動(dòng)挖礦的第二階段行為時(shí)的佐證。

另外，雖然目前礦池與挖礦主機間的通訊都使用的是stratum協(xié)議，但是不同幣種以及使用不同的工具、流程和流量中的協(xié)議字段會(huì )存在一定程度的不同，我司的行為檢測算法將據此進(jìn)行調整。

2.1.2 門(mén)羅幣挖礦代理行為檢測方法

挖礦木馬的主流幣種門(mén)羅幣，采用Randomx或Cryptonight算法，基于挖礦代理程序xmr-stak或xmrig等連接礦池。與2.1.1節介紹的Stratum協(xié)議的通用挖礦木馬數據相比，具有如下特點(diǎn)：

1.采用jsonrpc數據樣例的格式進(jìn)行通信;

2.賬號登錄請求中包含門(mén)羅幣錢(qián)包地址;

3.有些挖礦主機的通信數據中包含代理程序xmr-stak或xmrig等特征和代理程序所使用的算法名稱(chēng);

因此，在2.1.1節的行為檢測算法中根據以上3個(gè)特點(diǎn)進(jìn)行檢測算法的調整，能夠確認其是否為門(mén)羅幣挖礦木馬。

以使用xmrig6.12.1代理程序為例，說(shuō)明門(mén)羅幣與通用stratum協(xié)議挖礦數據特征上的不同，包括挖礦主機使用jsonrpc封裝數據格式登錄添加門(mén)羅幣錢(qián)包地址登錄礦池且礦池任務(wù)下發(fā)、挖礦主機提交任務(wù)且礦池下發(fā)新任務(wù)這些行為的不同。

1. 挖礦主機使用jsonrpc封裝數據格式登錄礦池，新增的字段algo表示使用的算法，agent字段表示挖礦主機使用的代理程序。礦池在返回登錄狀態(tài)信息的同時(shí)進(jìn)行任務(wù)下發(fā)：

其中，紅色字體是挖礦主機使用jsonrpc封裝數據格式登錄礦池的數據樣例，藍色字體是礦池在返回登錄狀態(tài)信息的同時(shí)進(jìn)行任務(wù)下發(fā)的數據樣例。

2. 挖礦主機使用jsonrpc數據封裝格式向礦池提交挖礦結果，礦池返回響應并下發(fā)新的挖礦任務(wù)：

其中，紅色字體是挖礦主機使用jsonrpc數據封裝格式向礦池提交挖礦結果的數據樣例，藍色字體是礦池返回響應并下發(fā)新的挖礦任務(wù)的數據樣例。

使用xmr-stak代理程序挖礦與xmrig代理程序相似，區別在于agent字段不同且沒(méi)有algo字段，因為算法默認使用randomx算法。使用xmr-stak代理程序的數據樣例如下：

2.1.3 基于挖礦木馬情報IOC的威脅情報檢測方法

我司自有的大數據威脅情報系統會(huì )及時(shí)跟進(jìn)最新的挖礦礦池情報，并支持獨立的知識庫升級的方式為使用我司安全產(chǎn)品的用戶(hù)自動(dòng)升級。我司支持的挖礦木馬情報類(lèi)型包括挖礦木馬家族使用的C&C域名、惡意文件hash、礦池域名和IP、挖礦木馬使用的加密貨幣錢(qián)包地址等，這些類(lèi)型的情報IOC會(huì )集成到產(chǎn)品中檢測挖礦木馬的通信流量，并產(chǎn)生相關(guān)的威脅告警事件。

2.2?基于攻擊鏈關(guān)聯(lián)的挖礦受控主機檢測方法

產(chǎn)品中集成的挖礦檢測技術(shù)，能夠將內網(wǎng)主機漏洞或缺陷的利用、挖礦木馬的植入和挖礦木馬與礦池交互通信等單點(diǎn)檢測結果進(jìn)行關(guān)聯(lián)，基于攻擊鏈追溯的算法還原挖礦木馬的整個(gè)活動(dòng)過(guò)程，從而進(jìn)行攻擊追溯和繪制更準確的攻擊者畫(huà)像。具體介紹如下。

2.2.1?挖礦木馬入侵通道檢測

挖礦木馬的對內網(wǎng)主機的入侵通道主要有3種:

1).利用內網(wǎng)主機漏洞進(jìn)行攻擊；

2).采用密碼爆破攻擊獲得內網(wǎng)主機登錄權限；

3).植入僵尸網(wǎng)絡(luò )木馬控制內網(wǎng)主機。

漏洞攻擊的主要常用的攻擊形式為RCE(Remote Command/Code Execute)漏洞，據騰訊安全發(fā)布的2020挖礦木馬年度報告顯示，2020年挖礦木馬常用RCE漏洞Top10如下圖3所示：

圖3 2020挖礦木馬常用RCE漏洞Top10（來(lái)自：騰訊安全）

其中針對Top3漏洞的檢測規則截圖如下：

圖4 Weblogic CVE-2019-2725檢測規則詳情

圖5 Apache Structs2 CVE-2017-5638檢測規則詳情

圖6 Think PHP5 CNVD-2018-24942檢測規則詳情

其余漏洞在產(chǎn)品中規則管理中可管理的漏洞及其對應規則編號如下表1所示：

表1 挖礦木馬入侵RCE漏洞與規則映射表

對于用作挖礦木馬入侵通道的密碼爆破攻擊，產(chǎn)品檢測密碼爆破的威脅事件舉例如下圖7所示：

圖7 產(chǎn)品檢測密碼爆破的威脅事件告警結果

其中，在密碼爆破威脅事件中給出密碼爆破攻擊持續時(shí)間，登錄用戶(hù)名、嘗試不同密碼的列表，攻擊頻率、攻擊者和受害者；如果是密碼爆破成功，則給出登錄成功的用戶(hù)名和登錄密碼（受限查詢(xún)，具備高級系統全權限可查詢(xún)）。檢測僵尸網(wǎng)絡(luò )威脅事件舉例如下圖8所示：

2.2.2 挖礦木馬植入檢測

攻擊者利用2.2.1的挖礦木馬入侵通道，完成內網(wǎng)主機上傳挖礦木馬的準備，通過(guò)web文件上傳或者通過(guò)釣魚(yú)郵件誘導受害主機下載惡意文件中包含的挖礦木馬，通過(guò)對流量中的郵件附件、特定文件格式的web上傳文件進(jìn)行文件還原，使用多AV、沙箱、文件基因檢測惡意文件變種等多種手段進(jìn)行惡意文件檢測，檢測結果可在系統中的“WEB威脅監控”、“郵件威脅監控”和“惡意文件監控”等模塊中查詢(xún)，如下圖9所示：

圖9 威脅監控產(chǎn)品功能圖

2.2.3 挖礦木馬與礦池交互通信的行為檢測

基于2.1節的挖礦木馬行為檢測技術(shù)，我司產(chǎn)品具備檢測“挖礦主機與礦池之間進(jìn)行挖礦主機登記”、“任務(wù)下發(fā)”、“賬號登錄”、“結果提交”和“挖礦任務(wù)難度調整”這五種行為的檢測能力。并在這個(gè)過(guò)程中利用挖礦代理程序和貨幣錢(qián)包簽名識別門(mén)羅幣挖礦類(lèi)型。

挖礦主機賬號登錄礦池的威脅事件檢測:

礦池回應挖礦主機并下發(fā)任務(wù)的威脅事件檢測：

挖礦主機使用xmrig代理程序登錄礦池的威脅事件檢測：

上圖中“l(fā)ogin”字段中的錢(qián)包簽名在supportxmr.com網(wǎng)站查詢(xún)是真實(shí)存在的，說(shuō)明這是個(gè)真實(shí)的挖礦行為，如下圖10所示：

圖10 門(mén)羅幣錢(qián)包簽名在supportxmr.com網(wǎng)站的使用

上圖中雖然是基于挖礦行為檢測到的通信流量，但也可以基于錢(qián)包簽名的特征檢測針對錢(qián)包簽名的挖礦流量，比如我們具備特征檢測規則檢測一些常見(jiàn)的惡意錢(qián)包簽名，如下圖所示：

其中，特征規則檢測的就是錢(qián)包簽名地址，且錢(qián)包地址在supportxmr.com仍查詢(xún)是真實(shí)存在的，所以檢測錢(qián)包簽名的特征也是能夠檢測挖礦的通信流量。

此外，有些攻擊者制作的挖礦木馬，能夠對挖礦主機與礦池服務(wù)器的通信過(guò)程進(jìn)行加密以逃避安全設備的檢測，我們的檢測技術(shù)支持對base64等加密通信過(guò)程進(jìn)行檢測，如下圖所示：

以上加密數據經(jīng)base64解密之后的原始內容如下圖的左側顯示框所示：

2.2.4 通過(guò)挖礦木馬關(guān)聯(lián)分析方法發(fā)現受控主機

利用kill-chain的攻擊分析模型，將網(wǎng)絡(luò )攻擊分成“探測掃描”、“嘗試攻擊”、“漏洞利用”、“木馬下載”、“遠程控制”、“橫向滲透”和“行動(dòng)收割”這7個(gè)階段。

對2.2.1到2.2.3的挖礦木馬不同階段檢測結果映射到這個(gè)攻擊分析模型，挖礦木馬入侵通道中的RCE漏洞利用屬于漏洞利用階段、暴力破解屬于嘗試攻擊、僵尸網(wǎng)絡(luò )木馬植入和控制屬于遠程控制階段，挖礦木馬植入屬于木馬下載階段、挖礦木馬與礦池通信屬于行動(dòng)收割階段。

以時(shí)間軸為主線(xiàn)，將不同階段檢測到的攻擊事件進(jìn)行關(guān)聯(lián)分析，包括進(jìn)行IP匯聚、事件可信分級、訪(fǎng)問(wèn)關(guān)系關(guān)聯(lián)分析等，最終將可信的挖礦木馬相關(guān)威脅事件進(jìn)行關(guān)聯(lián)展示，起到攻擊追溯的作用。

與此同時(shí)，對于通過(guò)行為檢測技術(shù)確認的礦池IP，將威脅事件中發(fā)現“與礦池進(jìn)行通信的挖礦木馬主機”標記為受控主機，將同時(shí)間段內“與礦池IP進(jìn)行外聯(lián)通信的其他主機”標記為可疑挖礦主機，建議內網(wǎng)管理員對這些主機的挖礦木馬進(jìn)行系統查殺。

3.新型挖礦形式概述-硬盤(pán)挖礦

除了前文介紹的利用CPU/GPU挖礦的技術(shù)外，還有一種硬盤(pán)挖礦的方法也在興起。例如今年4月份，利用硬盤(pán)挖礦的新型幣種Chia(奇亞幣)的走俏，大容量硬盤(pán)的價(jià)格也水漲船高。通俗來(lái)講，以往的加密貨幣挖礦是給你個(gè)題目讓你算題，算的人越多，算力越大這個(gè)題目就越難，只有先算對的人才能獲得比特幣，這個(gè)模式就是工作量證明，是算力越高挖礦效率越高;奇亞幣是借助廉價(jià)、冗余且高度分散的未使用硬盤(pán)存儲空間，來(lái)驗證其區塊鏈算法，這個(gè)模式是“時(shí)間-空間證明”，是硬盤(pán)空間越大，挖礦效率越高。

目前主流的熱門(mén)硬盤(pán)挖礦貨幣有奇亞幣和FileCoin,兩個(gè)幣種有很大區別。其中，Fil幣由于其挖礦機制需要抵押幣，即需要先投入一定的資金，按照6月4日https://filfox.info的計算數據來(lái)看，新增算力成本為：8.51 FIL/TiB × 95.19$/FIL≈810$/TiB,換算成人民幣約為5187 CNY/TiB，除此之外還有較高的硬件成本和維護成本。

（數據來(lái)源 https://filfox.info/zh）

而奇亞幣則與之不同，不需要任何抵押費用，只需要少量的CPU資源、一定的內存和大量的硬盤(pán)存儲空間，因此目前奇亞幣要比Fil幣更流行，下文也是基于奇亞幣做硬盤(pán)挖礦進(jìn)行技術(shù)分析。

3.1奇亞幣挖礦流程簡(jiǎn)析

奇亞幣采用的共識機制為POC(Proof of Capacity)，通俗來(lái)講是容量證明，與比特幣等加密貨幣的POW共識機制不同的是，POC共識機制采用磁盤(pán)空間存儲(相當于使用緩存)代替內存算力計算的方式挖礦。簡(jiǎn)單來(lái)說(shuō)，挖礦主機下載挖礦軟件后會(huì )進(jìn)行2步操作：

1. 先進(jìn)行P(Plot)盤(pán)的操作，即挖礦軟件先將算好的Hash值存儲到硬盤(pán)中，該過(guò)程中不需要連接網(wǎng)絡(luò )與其他挖礦節點(diǎn)通信，完成之后進(jìn)行下一步挖礦;

2. 挖礦開(kāi)始后，礦工根據最新區塊hash、上一區塊簽名、Target(類(lèi)似于比特幣中的網(wǎng)絡(luò )難度)計算出deadline，然后同包中查詢(xún)的deadline比較，若前者小于錢(qián)包中的deadline，則返回該挖礦成功。挖礦軟件將挖礦的過(guò)程比作耕種農田，農田的收獲就是奇亞幣。

下面詳細介紹以上2個(gè)過(guò)程：

（1）P(Plot)盤(pán)操作前先確認開(kāi)墾農田的大小(用于保存P盤(pán)操作寫(xiě)入的hash值，中間也會(huì )占用一些臨時(shí)硬盤(pán)空間)：

目前一般要求最小農田大小為K32.其他選項確認之后就會(huì )進(jìn)入開(kāi)墾過(guò)程(將Hash寫(xiě)入硬盤(pán))：

其中，在臨時(shí)文件夾下可看到生成大量臨時(shí)文件：

開(kāi)墾完成之后，會(huì )在結果文件夾下面生成plot格式的文件：

（2）挖礦階段，挖礦軟件在P盤(pán)文件中尋找最佳答案，即根據最新區塊hash、上一區塊簽名、Target(類(lèi)似于比特幣中的網(wǎng)絡(luò )難度)計算出deadline，然后跟錢(qián)包中查詢(xún)的deadline比較，若前者小于錢(qián)包中的deadline，則返回該挖礦成功。

耕種過(guò)程中，需要實(shí)時(shí)和其他挖礦節點(diǎn)進(jìn)行信息同步：

奇亞幣挖礦軟件提供的節點(diǎn)之間使用8444端口進(jìn)行通信，且通信流量采用TLS加密：

3.2硬盤(pán)挖礦的檢測

分析3.1節的奇亞幣挖礦過(guò)程可知，在P盤(pán)階段（開(kāi)墾農田）挖礦主機不會(huì )向外進(jìn)行通信，無(wú)法通過(guò)流量檢測挖礦行為，但可以檢測主機硬盤(pán)上是否存在plot文件格式的大文件，作為可疑挖礦的初步判定依據；

然后再在挖礦階段（耕種農田）捕獲挖礦主機與其他節點(diǎn)之間的TLS加密通信，結合奇亞幣挖礦軟件的默認端口是8444（也可能改變，或者是其他正常應用軟件使用該端口）做進(jìn)一步的判定。由于TLS加密流量無(wú)法通過(guò)特征或者行為檢測方法進(jìn)行判定，后續我司會(huì )基于惡意加密流量AI模型檢測技術(shù)，通過(guò)深入分析硬盤(pán)挖礦軟件的TLS數據統計特征，訓練適用于硬盤(pán)挖礦的加密流量的AI模型，用于準確判定硬盤(pán)挖礦的加密通信過(guò)程。

4.挖礦木馬防護建議

檢測到內網(wǎng)被植入挖礦木馬后，建議做如下應急響應處置：

1.及時(shí)更新至最新系統，防止攻擊者利用漏洞控制系統;

2.對于Redis、Hadoop Yarn、Docker、XXL-JOB、Postgres等應用增加授權驗證，對訪(fǎng)問(wèn)對象進(jìn)行控制;

3.對SSH、RDP、Mysql、Mssql等服務(wù)訪(fǎng)問(wèn)入口使用強密碼，減少對外開(kāi)放的敏感端口;

4.如果服務(wù)器部署了Weblogic、Apache Struts、Apache Flink、ThinkPHP等經(jīng)常曝出高危漏洞的服務(wù)器組件，應及時(shí)將其更新至最新版本，并且實(shí)時(shí)關(guān)注組件官方網(wǎng)站和各大安全廠(chǎng)商發(fā)出的安全公告，根據提示修復相關(guān)漏洞;

5.個(gè)人電腦建議做好個(gè)人防護，安裝殺毒軟件、及時(shí)更新系統，不要點(diǎn)擊可疑文件等。

作者：金睛云華

本文作者：， 轉載請注明來(lái)自