2018年1月25日 星期四

ithome 對抗惡意挖礦有新招,Akamai靠演算法找出挖礦木馬的DNS異常網路行為 百家樂 http://www.iwin9418.com

去年9月瀏覽器挖礦技術Coinhive出現後,隋即在全球掀起一波挖礦綁架的跟風,許多網站網頁,甚至是瀏覽器擴充套件皆暗中藏入挖礦程式,偷用使用者電腦CPU資源來挖礦賺錢,例如知名BT網站海盜灣(The Pirate Bay)、Chrome擴充程式SafeBrowse等。無辜淪為免費礦工的不只個人用戶,不少企業也紛紛傳出災情,成為企業網路安全的新威脅。Akamai亞太區資安與策略總監Fernado Serto近日來臺時也揭露了他們如何利用自家全球DNS安全防護服務,來偵測和防堵新興挖礦綁架的作法。

要避免自己電腦淪為礦工,一般用戶,作法上可以利用CPU監測工具查看,開啟特定網頁時CPU使用率有無異常飆升,找出隱藏的挖礦網頁,對於旗下可能有眾多員工的企業來說,Fernado Serto直言,防護關鍵還是在於,如何透過資安設備即時監看企業整體網路活動,找出有沒有偷採礦的行為正在發生,及早一步攔阻,避免大量運算資源的流失。

在防護作法上,Fernado Serto表示,目前他們主要是以自家全球DNS服務的安全防護機制,來協助企業用戶偵測和防堵有無利用瀏覽器挖礦的網路可疑行為,他解釋,通常建立一個挖礦網頁,要以網頁瀏覽者的電腦CPU來進行挖礦,常見作法會是在瀏覽器上跑JavaScript挖擴程式,再將網頁挖礦計算的結果,回傳後端負責分派和接收這些挖礦作業的主要伺服器,就他們觀察,每次的連線,都會需要發出DNS(網域名稱系統)查詢行為,甚至更多時候,只使用IP位址來進行發送來索取計算資料,可以利用制定DNS安全政策的作法,來予以有效防堵。

以Akamai提供的DNS遞迴式查詢請求(recursive DNS)服務來說,他指出,Akamai在去年12月已經將瀏覽器採礦列入DNS安全政策項目,他表示,他們的研究團隊花了很長時間,建立一套分析演算機制,可以從每個網路活動行為,來分辨出是不是有在偷挖礦,至今已經可以偵測目前已知多數的網頁挖擴行為,包括在瀏覽器上跑Javascript挖擴程式,或是透過安裝暗藏挖擴程式的外掛套件進行挖擴等,讓企業用戶可以依此來制定他們的網路安全政策,進而降低企業遭到挖礦綁架的威脅。

 Fernado Serto也透露,一家香港企業用戶前不久就成功利用他們的DNS防護服務,偵測到有人在利用他們自己的機器在進行挖礦活動,進而成功加以攔截。

不過,就像網路攻擊手法演變至今千變萬化,挖礦綁架手法也還在進化當中,單靠DNS防護可能還不夠,像是除了利用Coinhive建立挖礦網站之外,其他還有像是CryptoLoot、MineMyTraffic、Papoto等等挖礦程式相繼推出,甚至之前還有攻擊者想出新招,就算使用者關閉瀏覽器,還能躲藏起來繼續偷用你的CPU挖礦,攻擊者的選擇越來越多,防不勝防,成為企業資安防護另一個隱憂。

因此,現在也有越來越多資安廠商開始相繼投入研究,來加以阻擋,或攔截這類的攻擊發生,例如另一家CDN業者Cloudflare開始將偷用電腦資源採礦的帳號與服務封鎖,還有安全業者Check Point將這些挖礦綁架網頁,列入自家安全閘道器產品的封鎖清單等等。



from iThome 新聞 http://ift.tt/2EbPnE5




沒有留言:

張貼留言