用疫情防控思路解决挖矿木马风险

长按二维码关注

腾讯安全威胁情报中心

上一期，我们了解到挖矿木马并不简单，挖矿木马普遍设置系统后门和采用蠕虫化传播扩散，对企业网络安全有严重风险。攻击者在植入挖矿木马的同时，还会携带漏洞攻击模块、横向扩散模块、后门模块等等多方面能力。挖矿木马的入侵扩散，和这两年大众所熟知的新冠病毒疫情传播有十分惊人的相似之处。

通过新闻报道，我们知道新冠病毒疫情传播有三个不可缺少的环节：传染源（确诊病例或疑似病例、部分进口冷藏食品）、传播途径（与传染源存在接触史）、易感人群（所有人接触传染源就有可能感染），病毒的终极目标是经过n代感染所有人。

将以上三个环节中的任一个切断，疫情就会减缓，三个环节全部采取必要措施加以控制，疫情就会被消灭。我们都看到政府管控疫情采取很多办法：
1.控制传染源

2.切断传播途径

3.保护易感人群

这些我们都做了，所以疫情能被控制的很好。如果像某些国家，就不做检测，就不戴口罩，就是要到处耍，就是不打疫苗。结果就是：算你狠。

回到正题，来看挖矿木马。挖矿木马的传播扩散同样具有类似的三个不可缺少的环节，挖矿木马的终极目标也是经过n代控制尽可能多的易感系统，僵尸网络规模越大，木马挖的矿越多，挣的钱也就越多。

1.攻击源——故意传播植入挖矿木马的黑客、已被黑客入侵控制植入恶意程序的系统。

2.传播途径——漏洞攻击（操作系统和应用组件的高危漏洞，IoT设备的高危漏洞）；弱口令暴破攻击（各类重要网络服务的弱口令）、软件供应链攻击（被污染的软件安装源）、钓鱼邮件投放（挖矿木马用的相对少，因为这方法有点儿笨，效率太低）。

3.易感系统——存在安全漏洞未被修复的系统；内部网络间缺少必要的安全检测防御体系，员工安全意识不强，管理制度不完善，网络安全短板较多，局部弱点被攻破，会导致威胁扩散到整个企业网络。

网络安全运维也可以参考新冠疫情的管控措施来打造应对挖矿木马的解决方案，照葫芦画瓢一个环节一个环节做好，结果就会很好。

1.控制攻击源：

2.切断传播途径：

3.保护易感系统：

针对挖矿木马的攻击流程步步设防，就像下面这张图：

针对挖矿木马的攻击传播方式，采取针对性的防御措施

腾讯安全应对挖矿木马威胁的完整解决方案，针对各个可能的攻击环节层层设防，可以用如下防护矩阵来描述：

防御点	防御目标	可部署的安全产品及其防护价值
控制传染源	快速检测清除挖矿木马，已失陷系统及时下线、处置，控制其扩散能力	公有云：主机安全产品：实时检测、清除黑客入侵云主机下载的挖矿木马文件及其他黑客工具。主机安全支持检测弱口令爆破、支持高危命令审计等功能，可以及时发现系统是否沦陷。云安全运营中心（云SOC)：接入安全系统（设备）日志，分析全网告警信息，对各类安全威胁进行专题归纳总结，输出事件报告，指导运维团队采取针对性的必要措施清除威胁。私有云：腾讯零信任iOA：实时检测、清除主机侧威胁。腾讯高级威胁检测系统：通过实时分析网络流量，发现攻击事件，找到全网弱点及已失陷系统。安全运营中心：通过日志分析，输出挖矿木马专题，为运营人员快速响应、处置威胁提供依据。
切断传播途径	切断挖矿木马入侵的三个主要通道	公有云：检测阻断漏洞攻击：云防火墙、Web应用防火墙，可检测拦截各类漏洞利用。检测弱密码攻击：云防火墙支持异常登录检测和弱密码爆破检测，腾讯云安全运营中心、腾讯高级威胁检测系统支持对全网密码使用情况进行风险管理，及时发现、处置弱点。软件供应链管理：通过管理制度，确保使用可靠可信的软件安装源。私有云：通过腾讯零信任iOA部署全网安全策略，阻断威胁横向传播。腾讯天幕（NIPS)，接入腾讯安全威胁情报数据，封堵危险网络连接，从源头阻断攻击流量。
保护易感系统	检测修复安全漏洞，检测修复弱口令，终端或主机部署安全防护软件，及时清除病毒木马文件落地。	公有云：腾讯主机安全：检测修复云主机存在的安全漏洞和弱口令风险；及时清除威胁文件。腾讯云安全运营中心（云soc）汇聚全网设备威胁告警信息，输出挖矿木马专题，密码管理专题，指导运维人员及时处置风险。私有云：腾讯零信任iOA：检测修复终端系统漏洞和弱口令风险；终端病毒木马查杀。腾讯安全运营中心（SOC)、腾讯高级威胁检测系统，支持密码安全专题、挖矿木马专题，对主要风险类型提供专项管理方案。