电脑一旦被安装了挖矿程序,会带来很多危害:占用大量的电力和运算资源、拖慢机器、感染局域网内的其他终端......所以,挖矿行为目前是被各级部门明令禁止的,一旦被上级部门检测到有挖矿行为,很可能会被阻止互联网接入直至整改完成。当接到上级部门通告时,作为网管人员需要怎样去处置解决这个问题呢?
被上级部门检测到,一般存在如下三种情况:
访问了矿池或者虚拟货币服务器的目标IP
访问了“挖矿”域名(HTTP/HTTPS)
查询了“挖矿”域名(DNS)
挖矿的整改主要靠电脑杀毒或者重新安装系统。但是,上级部门只能检测到局域网总出口的IP地址,并不能识别终端的IP地址。当网内的终端数量比较多时,每台电脑做病毒查杀的工作量可能会很大。更加合理的方案是在内网部署一台入侵检测系统,通过对网络数据包进行分析检测,从而发现问题主机。在本文中,我将以“WSG上网行为管理”为例,来介绍如何进行内网的挖矿木马检测。
WSG上网行为管理中内置了“入侵防御”和“木马检测”这两个安全防护模块,这两个模块会对网络中的数据通信进行检测还原,匹配其中的木马特征,一旦匹配到特征时就触发告警和阻断。如下图:
WSG上网行为管理有内置的网址库、应用特征库和入侵防御特征库,其中入侵防御特征库是基于snort的,木马检测分为以下几个大类:
indicator-compromise: 检测内网被恶意软件感染的终端。
indicator-obfuscation: 恶意软件的模糊特征检测。
indicator-scan: 检测恶意软件的扫描行为。
indicator-shellcode:检测shellcode的执行特征。
malware-backdoor:检测后门端口的通讯特征。 如果某个恶意软件打开一个端口并等待其控制功能的传入命令,则会出现此类检测。
malware-cnc:此类别包含已识别的僵尸网络流量的已知恶意命令和控制活动。
malware-tool:此类别包含处理本质上可被视为恶意工具的规则。
木马检测模块还可以检测各种挖矿、后门、病毒等各种木马特征。如下图:
一旦检测到挖矿木马后,会在“木马检测”的“检测记录”中,记录检测的IP地址等信息,从而您可以根据IP地址去定位实际的电脑。然后对这台电脑进行查杀整改。
