本文以云上环境为例,从挖矿蠕虫的防御、检测和入侵后如何迅速止血三方面来介绍如何结合阿里云云防火墙和云安全中心全方位抵御挖矿蠕虫。

限制条件

  • 云防火墙版本限制:

    请确保您使用的是云防火墙高级版、企业版或旗舰版。高级版、企业版或旗舰版才支持检测或防御挖矿蠕虫,免费版不支持。您可以通过购买云防火墙高级版、企业版或旗舰版来检测或防御挖矿蠕虫。更多信息,请参见购买云防火墙服务

  • 云安全中心版本限制:

    云安全中心不同版本支持的功能有差异,详细介绍,请参见功能特性

说明 云防火墙为免费版用户提供7天免费试用高级版的活动。详细内容,请参见新用户免费试用

挖矿程序的特征

  • 挖矿程序会占用CPU进行超频运算,导致CPU严重损耗,并且影响服务器上的其他应用。
  • 挖矿程序还具备蠕虫化特点,当安全边界被突破时,挖矿病毒会向内网渗透,并在被入侵的服务器上持久化驻留以获取最大收益。
  • 挖矿程序具有联动作用,在清理过程中会存在处理不及时或清理不干净导致挖矿病毒反复发生、出现恶意脚本替换系统命令的现象,从而导致执行系统命令时触发恶意脚本执行(例如:xorddos)。因此,需要在挖矿程序的一个执行周期内,尽快将被入侵服务器上的木马程序和持续化后门清理干净,否则容易导致挖矿病毒频繁复发。

挖矿蠕虫是如何传播的

根据阿里云安全团队发布的《2018年云上挖矿分析报告》显示,过去一年中,每一波热门0 Day漏洞出现都伴随着挖矿蠕虫的爆发性传播。挖矿蠕虫可能因为占用系统资源导致业务中断,甚至还有部分挖矿蠕虫同时会捆绑勒索病毒(如XBash等),给企业带来资金与数据的损失。

阿里云安全团队分析发现,云上挖矿蠕虫主要利用网络上普遍存在的以下漏洞进行传播:

  • 通用漏洞利用

    过去一年挖矿蠕虫普遍会利用网络应用上广泛存在的通用漏洞(如配置错误、弱密码、SSH、RDP、Telnet爆破等),对互联网持续扫描和攻击,以对主机进行感染。

  • 0 Day、N Day漏洞利用

    0 Day、N Day在网络上未被修复的窗口期也会被挖矿蠕虫利用,迅速进行大规模的感染。

挖矿蠕虫防御方案

防护阶段 防护方案 相关操作
事前阶段 通过云防火墙的访问控制功能,设置访问控制策略,仅放行可信流量。 创建内对外访问控制策略,对可信的外网IP进行放行,而对其他IP访问全部拒绝。相关内容,请参见访问控制策略
通过在云防火墙中开启威胁引擎开关,及时阻断挖矿行为。 使用云防火墙防御挖矿蠕虫
通过云防火墙的入侵防御功能,有效检测并拦截攻击流量。 入侵防御
通过云安全中心的主动防御功能,自动拦截常见病毒、恶意网络连接和网站后门连接,抑制云服务器上挖矿事件的发生。 病毒防御
通过云安全中心的安全告警处理功能,检测云服务器中是否有运行挖矿程序、矿池通信行为。 查看和处理告警事件
事中阶段 通过云防火墙的失陷感知功能快速检出挖矿蠕虫。 失陷感知页面,可以定位到列表中具体事件和外联地址。详细内容,请参见使用云防火墙检测挖矿蠕虫
通过云防火墙入侵防御功能快速止血。 开启云防火墙的基础防御开关,对恶意文件下载进行阻断。详细内容,请参见入侵后如何使用云防火墙快速止血
通过云防火墙访问控制策略阻断挖矿连接。 创建内对外访问控制策略,对可信的外网IP进行放行,将对矿池地址的访问设置为拒绝
云防火墙ATT&CK最佳实践。 云防火墙提供的基础规则、虚拟补丁、威胁情报等功能覆盖ATT&CK各类风险,建议参考云防火墙基于Att&CK的最佳实践,对您的网络安全进行加固。
事后阶段 使云安全中心对挖矿病毒进行攻击溯源。 攻击溯源

使用云防火墙防御挖矿蠕虫

云防火墙通过对云上进出网络的恶意流量进行实时检测与阻断,实现防御挖矿蠕虫的目的,具体体现在以下方面:

  • 通用漏洞的防御

    针对挖矿蠕虫对SSH、RDP等进行暴力破解的攻击方式,云防火墙的基础防御支持常规的暴力破解检测方式,如通过登录或试错频次阈值计算,对超过试错阈值的行为进行IP限制,在您的访问习惯、访问频率的基础上,结合行为模型,保证您正常访问不被拦截的同时对异常登录进行限制。

    针对一些通用的漏洞利用方式(如利用Redis写Crontab执行命令、数据库UDF进行命令执行等),云防火墙的基础防御基于阿里云的大数据优势,利用阿里云安全在云上攻防对抗中积累大量恶意攻击样本,形成精准防御规则。

    您可通过开启云防火墙的基础防御来防御通用漏洞。

    开启云防火墙的基础防御功能步骤如下:
    1. 登录云防火墙控制台
    2. 在左侧导航栏,选择攻击防护 > 防护配置
    3. 防护配置页面,定位到威胁情报区域,开启威胁引擎运行模式开关。
    4. 高级设置区域,开启基础规则开关。
    5. 在左侧导航栏,选择攻击防护 > 入侵防御,在入侵防御页面的详细数据列表中查看详细的拦截日志。
  • 0 Day、N Day漏洞防御

    热门0 Day、N Day漏洞修复不及时,被挖矿蠕虫利用感染的风险较大。云防火墙利用全网部署的蜜罐分析异常攻击流量或利用阿里云先知平台获取漏洞情报,可及时发现针对0 Day、N Day的漏洞,第一时间获取漏洞PoC或Exp,并落地形成虚拟补丁,在与黑客的攻防对抗中占得时间先机。

    您可通过开启云防火墙的虚拟补丁来防御0 Day、N Day漏洞。

    开启云防火墙的虚拟补丁功能步骤如下:
    1. 登录云防火墙控制台
    2. 在左侧导航栏,选择攻击防护 > 防护配置
    3. 高级设置区域,开启虚拟补丁的开关。
    4. 单击开启补丁右下方的自定义选择。在虚拟补丁管理对话框,查看或管理已开启的虚拟补丁信息。

使用云防火墙检测挖矿蠕虫

在与蠕虫攻防对抗中,即使在公网边界做好入侵防御措施,仍有可能感染挖矿蠕虫。例如挖矿蠕虫可以通过VPN直接由开发机传播到生产网;用于运维的系统镜像、Docker镜像已经被植入挖矿病毒,从而导致大规模感染爆发。

云防火墙通过NTA(Network Traffic Analysis)能力提供失陷感知功能,能够及时并有效发现挖矿蠕虫感染事件。利用云上强大的威胁情报网,云防火墙可以及时发现常见货币的矿池地址、检测挖矿木马下载行为和常见矿池通信协议,实时识别主机挖矿行为,并及时告警。

您可通过开启云防火墙失陷感知功能的一键防御来检测挖矿蠕虫,并在网络端阻断挖矿木马与矿池通信。开启云防火墙入侵检测一键防御步骤如下:

  1. 登录云防火墙控制台
  2. 在左侧导航栏,选择攻击防护 > 失陷感知
  3. 失陷感知页面,定位到列表中具体事件,单击操作详情

    您可以在事件详情面板,查看该挖矿程序的外联地址。

  4. 登录检测到挖矿程序的服务器,定位到挖矿进程并进行快速清理。

入侵后如何使用云防火墙快速止血

如果服务器已感染挖矿蠕虫,云防火墙可以从恶意文件下载阻断、中控通信拦截、重点业务区加强访问控制三方面控制蠕虫进一步传播、减少业务和数据的损失。

  • 恶意文件下载阻断

    服务器在感染挖矿蠕虫后通常会进行恶意文件下载。云防火墙基础防御功能集成恶意文件检测能力,实时更新常见挖矿蠕虫的各类恶意文件唯一性特征码和文件模糊hash,在挖矿蠕虫入侵成功、进一步下载更新的攻击载荷时,会对下载至服务器的文件在流量中进行文件还原及特征匹配等安全检测,在检测到尝试下载恶意文件时进行告警并拦截。

    您可以在防护配置页面,开启基础防御开关,对恶意文件下载进行拦截。

  • 中控通信拦截
    在感染挖矿蠕虫后,针对挖矿蠕虫可能和C&C控制端进行通信,接收进一步的恶意行为指令或者向外泄漏敏感数据等,云防火墙的基础防御功能通过以下方面对该行为进行实时拦截:
    • 通过分析和监控全网蠕虫数据和中控服务器通讯流量,可以对异常通讯流量特征化,落地形成中控通信检测特征,通过实时监控中控通信变化,不断地提取攻击特征,确保及时检测到攻击行为。
    • 通过自动学习历史流量访问信息,建立异常流量检测模型,挖掘潜在的未知挖矿蠕虫信息。
    • 利用大数据可视化技术对全网IP访问行为关系进行画像,利用机器学习发现异常IP及访问域,并联动全网攻击数据,最终落地形成中控威胁情报库,从而可以对服务器流量通信进行情报匹配,实时拦截恶意的中控连接通信。

    您可以开启云防火墙的防护配置 > 基础防御,对中控通信进行拦截。

  • 为重点业务区开启强访问控制

    重点业务通常需要对整个互联网开放服务或端口,而来自互联网的扫描、攻击会对企业的资产形成威胁,对外部的访问控制很难做到细粒度管控。而对某一台ECS、某一个EIP或内部网络主动外联场景下,域名或IP数量其实都是可控的,因为该类外联通常都是进行合法的外联访问。因此通过内对外的域名或IP访问控制,可有效防止ECS主机被入侵之后,利用恶意域名植入挖矿木马或木马与C&C进行通信等行为。

    云防火墙支持对访问来源域名(含泛域名)、IP地址设置访问控制规则。针对重点业务的安全问题,可以通过配置一个强粒度的内到外访问控制策略,即重要业务端口只允许特定域名或者特定的IP进行访问,其他一律禁止。通过该操作可以有效地杜绝挖矿蠕虫下载、对外传播,防止入侵后阶段的维持与获利。

    例如内网对外访问的总IP数为6个,其中NTP全部标识为阿里云产品,而DNS为我们所熟知的8.8.8.8,通过云防火墙的安全建议,我们可以将上述6个IP进行放行,而对其他IP访问进行全部拒绝。通过如上的配置,在不影响正常业务访问的情况下,防止其他对外连接行为,如恶意下载、C&C通信等。

    您可以在云防火墙的访问控制 > 联网边界防火墙页面的内对外页签,创建内对外访问控制策略,对可信的外网IP进行放行,而对其他IP访问全部拒绝。

由于互联网上持续存在的通用应用漏洞、0 Day漏洞的频发,以及挖矿变现的高效率,挖矿蠕虫大规模蔓延。云上客户可以透明接入云防火墙,保护自身应用不受互联网上各种恶意攻击的威胁。同时依托云上海量的计算能力,能够更快地感知最新的攻击威胁、并且联动全网的威胁情报,使用户免于挖矿蠕虫威胁。云防火墙可以伴随业务水平弹性扩容,让您更多地关注业务的扩展,无需花费更多精力投入在安全上。