【51CTO.com快译】目前,越来越多的网络罪犯都通过劫持目标企业的系统和网站,来进行加密货币的挖矿(cryptocurrency mining)勾当。
根据Crowdstrike和其他多家安全厂商的最新报告显示:在攻击者劫持各个企业的系统用于Monero(门罗币)、或其他诸如Ethereum(以太坊)和Zcash(零币)等数字货币进行挖矿之后,这些企业的应用程序和运营都遭受了严重的干扰。
在许多情况下,网络攻击者会秘密地在网站上安装加密器,并乘人们访问该网站之机劫持访问者的系统。
与勒索软件和其他恶意软件不同,加密货币挖矿软件(cryptominer)一般是一些合法的软件工具,因此不大容易被反恶意软件产品所检测到。鉴于它们唯一所做的事情就是:利用系统的CPU资源去服务于挖矿算法,因此加密挖矿软件经常会在不被人察觉到的情况下运行。许多加密挖矿工具还会故意节制对CPU和电力使用,以使得它们在目标系统上更加不会引人注目。而事实上,性能的下降通常就是计算机已被加密货币挖矿软件所劫持的一种迹象。
就像许多其他无用的软件工具那样,加密货币挖矿软件对那些不遵循基本和长期安全防护策略的组织构成了重要的威胁。它们会像其他恶意软件产品一样被迅速地传播,因此我们需要及时采取相似的应对措施。
下面,我们列出了针对加密货币挖矿软件和任意恶意软件的七种最佳防护实践:
1. 加强端点的安全控制
安全公司CrowdStrike的服务总监Bryan York说:强大的端点保护(endpoint protection)对于挖矿类恶意软件的防护是至关重要的。如果您不希望加密软件运行在您终端用户和主机系统上的话,我们就必须对将终端进行持续的更新和打补丁。在用户浏览网页时,我们可以考虑在浏览器上使用广告拦截、禁用JavaScript、以及专为阻止加密货币挖矿而设计的浏览器扩展插件。我们还应该为远程访问服务实施多因素的身份验证,并将网络予以分段,以限制数据的横向移动。
如今,端点保护技术完全可以帮助您检测并阻止那些加密货币挖矿软件及其相关的行为。York补充说:“此外,一些先进的端点技术还能够阻止那些使用无文件恶意代码(fileless malware)技术的挖矿软件,并在网络进行传播与感染。”因此,这些新技术很值得我们去借鉴。
Mike McLellan是戴尔旗下安全公司Secureworks里反威胁部门的高级安全研究员。他表示通过考虑实施集中式日志记录功能,企业可以用来检测、限制和捕获各种恶意活动。一种能够识别出站挖矿流量的方法是:使用受监控的出向端口采集点,来管理各种出站的网络连接及其流量,特别是那些使用非标准端口的、且未被加密的数据流。
2. 审查网站的安全控制
确保网络攻击者无法使用您的网站,作为加密挖矿软件工具的寄存平台。他们会经常在网站所有者不知情中将挖矿软件安装到网站之上,然后去劫持那些访问该网站的用户电脑,以“开采”门罗或其他类型加密货币。
网络安全提供商High-Tech Bridge的首席执行官Ilia Kolochenko说:“使用各种内容安全策略和类似的安全机制,我们在对Web服务器进行安全加固的同时,也能够防止跨站脚本和跨站请求伪造等许多常见可被利用的因素。”因此,请您确保自己的管理员密码足够复杂且唯一,并尽可能地实施双因素身份验证。
Web应用防火墙可以帮助消除、或至少减少自研发代码中的那些未知漏洞、及漏洞被利用的可能性。Kolchenko补充说:“在许多企业的真实环境中,连续的安全监控已经成为了确保Web应用安全的通用实践和标准,各类安全从业人员千万不可掉以轻心,毕竟多一双眼睛就可能会有多一份安全”。
3. 实施严格的访问控制
我们要对系统和应用的信任凭证实施最小权限原则,并限制使用管理员身份去访问授权用户的上下文内容。McLellan说:“对于Windows系统,请考虑使用微软的本地管理员密码解决方案(Local Admin Password Solution,LAPS)来简化和加强密码的管理。”
对于那些能被外部所访问到的服务,请实施双因素身份验证。而对于远程管理等功能,请考虑弃用那些标准的端口与服务,而采用定制化服务予以实现,他补充说。
4. 安全的第三方软件和组件
The Media Trust公司的首席执行官Chris Olson说:不要让易受攻击的第三方代码拉低甚至破坏了您网站的整体安全性。请审核所有那些为您的网站能够正常运营而提供代码的合作伙伴,并且将您的数据隐私政策及时传达给他们。对于那些不合规的供应商,请立即终止合作关系,不要姑息。
“对所有已知合作伙伴的网站进行例行评估,这对于向他们传递贵司的期望和强化合规性都是至关重要的。”Olson还说:“持续的网站监控不但有利于及时地检测到那些‘流氓’代码,还能在它们一旦被执行时就立即予以终止。”
5. 保护您的云帐户
云计算和IT管理解决方案提供商BMC的产品管理副总裁Daniel Nelson指出:各类攻击者已经开始通过劫持大公司的公有云账户,来“开采”加密货币了。例如,为了“挖矿”的目的,攻击客们曾经在AWS平台的那些未被安全配置的Kubernetes容器集群里,疯狂地劫获其计算能力。
“各个企业应该实施诸如SecOps Policy Service(BMC的安全运维策略服务)的自动化解决方案,以持续监控、评估和修复各种容器的栈”,Nelson说。通过使用这些工具,您的容器堆栈内部能够以程序设定的方式实行安全策略。
同时,请务必检测出您所使用的云端服务中的各个盲点。Nelson强调:“如今,影子IT(Shadow IT)相当地活跃。”就算企业的IT们知晓了其云端所配置的全部服务器,他们也不一定能够完全掌控安装在这些服务器上的所有软件。因此,发现并了解云端服务的具体使用程度也是至关重要的。
6. 限制各种不必要的服务
Secureworks的McLellan还补充说:如果您并不需要某个服务,那么请立即禁用之。比如说SMB v1之类的内部协议,如果它们在应用程序并不能发挥所需的业务功能,我们就完全没有保留它们的必要。而对于那些无法删除、但对于大多数用户的确是完全用不到的系统组件,例如PowerShell,我们应当立即限制对它们的访问权限。
7. 保护您的物联网
High-Tech Bridge的Kolochenko进一步指出:在某些工厂里,那些具有互联网连接的物联网设备,例如:地板传感器、安全摄像头和智能恒温器等,因为不太具有处理的能力,所以攻击者也不太感兴趣劫获这些系统,来进行加密货币的挖矿。但是反过来说,如果他们确实劫获了,您可能也不太会想到或发现到。
因此,“对于如今数以百万计的物联网设备而言,它们虽然被设计为用于处理或存储各种机密的或个人隐私的信息,但是它们却并不具有基本的密码保护选项。一些管理员密码甚至被硬编码到芯片之中,而无法被修改。”他还补充说:与此同时,这些物联网设备和开源组件的Web界面往往会充斥、或暴露了各种可以被攻击者轻易利用的关键性漏洞。
原文标题:7 Ways to Protect Against Cryptomining Attacks,作者:Jai Vijayan
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
