如何减轻挖矿攻击给企业安全带来的威胁

2018-02-23 208936人围观 ,发现 3 个不明物体 观点

cryptocurrency-mining-attack.png

比特币和其他加密货币越来越受欢迎,引发了安全专家的好奇和担忧。人们发现越来越多的挖矿病毒,这些病毒通常通过僵尸网络安装。作为公司,有必要知道这其中的风险和如何防范。

我们联系了Cato Networks的安全研究人员。 Cato提供了一个基于云的SD-WAN,包括FireWall即服务(FWaaS)。其研究团队Cato Research Labs负责维护该公司的Cloud IPS,并且最近发布了一个挖掘池地址列表,您可以把它们添加到防火墙黑名单。

Cato研究实验室认为,挖矿病毒对公司组织来说是中等威胁。但不太可能导致基础设施直接中断或敏感数据丢失。

但可能会导致设备成本增加。

理解区块链

挖矿是验证加密货币交易并将加密块添加到区块链的过程。矿工们在解决hash后能建立一个有效的区块。挖掘的块越多,获得的区块就越多。

如今挖矿过程可能需要几年的时间。为了解决这个问题,矿工们使用定制的硬件来加速挖掘过程,并形成“采矿池”,计算机集合在一起计算哈希。

贡献给采矿池的计算资源越多,挖掘出新区块的几率就越大,获得的奖励越多。正因如此,很多矿工开始使用企业网络或者云。

参与采矿池需要电脑运行原生或基于JavaScript的采矿软件(见图1)。两者都将使用Stratum协议,使用TCP或HTTP / S(HTTP / S上的WebSockets)在挖掘池中的计算机之间分配计算任务。

cryptocurrency-mining-1.png

图1:运行基于JavaScript的挖掘软件的网站。通常网站不会要求许可。

本地挖掘软件通常使用持久的TCP连接,通过TCP运行Stratum;基于JavaScript的软件通常依赖于时间较短的连接,并通过HTTP / S运行Stratum。

挖矿对企业的影响

长时间运行“高负载”的CPU会增加电力成本,也可能缩短笔记本电脑中的处理器或电池的寿命。

另外,有些挖矿软件通过僵尸网络传播,因此出现挖矿病毒就表明计算机可能已经被入侵。

如何防止加密挖掘

Cato Research Labs建议在公司的网络上阻止加密挖掘。可以通过破坏与采矿池的加入来达成目的。

许多防火墙中的深度包检测(DPI)引擎可以用来检测和阻止Stratum over TCP。或者,您可以屏蔽公开矿池的地址和域名。

方法1:用DPI阻止未加密的阶层会话

DPI引擎可以通过阻止TCP上的Stratum来破坏区块链通信。 Stratum使用发布/订阅体系结构,其中服务器将消息(发布)发送给订阅的客户机。阻止订阅或发布过程将阻止Stratum在网络上运行。

我们可以用JSON配置DPI规则。层有效负载是简单的,可读的JSON-RPC消息(见图2)。

Stratum通过JSON-RPC使用请求/响应:

cryptocurrency-mining-2.png

图2:JSON-RPC批处理调用的细节(参考:http://www.jsonrpc.org/specification

加入池的订阅请求将具有以下实体:id,method和params(参见图3)。配置DPI规则查找这些参数,阻止未加密TCP上的Stratum。

{“id”:1,“method”:“mining.subscribe”,“params”:[]}

加入池时,在订阅请求消息中使用三个参数。

方法2:屏蔽公开挖掘池地址

但是,一些采矿池创建安全的通道。对于经常通过HTTPS运行Stratum的基于JavaScript的应用程序尤其如此。

在这种情况下,检测分层对于不能大规模解密TLS流量的DPI引擎非常困难。(根据记录,Cato IPS可以大规模解密TLS会话)。因此公司企业应该屏蔽公共区块链池的IP地址和域名。

要确定要阻止的IP地址,需要查看加入挖掘池所需的配置信息。采矿软件要求矿工填写以下细节:

适当的池地址(域或IP)

一个钱包地址来接收股权

加入池的密码

配置信息通常通过JSON或通过命令行参数传递(参见图3)。

cryptocurrency-mining-3.png

图3:提供必要的矿工池配置的JSON文件

组织可以配置防火墙规则以使用黑名单并阻止相关地址。理论上,这样的清单应该是容易创建的,因为必要的信息是公开的。大多数采矿池通过互联网发布其详细信息,以吸引矿工到他们的网络(见图4)。

cryptocurrency-mining-4.png

图4:mineXMR.com的“入门”页面演示了挖掘池的公开地址

尽管进行了广泛的研究,但卡托研究实验室找不到可靠的采矿池地址。没有这样的清单,收集目标挖掘池地址阻塞将是非常耗时的。

IT专业人员将被迫手动输入公共地址,这可能会改变或增加,需要不断的维护和更新。

Cato Research Labs发布挖掘池地址列表

为了解决这个问题,Cato研究实验室生成了自己的采矿池地址清单,供社区使用。使用谷歌识别网站,Cato研究人员能够提取许多矿池的池地址。

cryptocurrency-mining-5.png

图5:由Cato Research Labs编译的挖掘池地址的部分列表

卡托研究人员写了一些代码,利用这些结果来开发一个采矿池地址。如今这个列表标识了数百个池地址(见图5),并且应该适用于大多数DPI规则引擎。看到这里的完整列表。

最后的思考

如果在网络上发现挖矿病毒,Cato研究实验室强烈建议调查恶意软件感染并清理主机,降低风险。

卡托研究实验室提供了一个地址清单,阻止访问公共区块链池。但总是会有新的池或地址,这就是为什么Cato研究实验室强烈建议使用DPI引擎构建规则。

* 参考来源:THN,作者Sphinx,转载注明来自Freebuf.COM

发表评论

已有 3 条评论

取消
Loading...
css.php