查看: 6159|回复: 33
收起左侧

[讨论] 挖矿怎么放防御

[复制链接]
cloud01
头像被屏蔽
发表于 2018-4-24 21:49:32 | 显示全部楼层 |阅读模式
no coin这样的插件原理是什么 ,恶意代码更新吗?360卫士反挖矿服务原理又是什么?普通HIPS是不是做不到反挖矿呢?

桑德尔
头像被屏蔽
发表于 2018-4-24 22:47:37 | 显示全部楼层
ESET对挖矿会入库的,潜在不受欢迎
cloud01
头像被屏蔽
 楼主| 发表于 2018-4-25 08:50:02 | 显示全部楼层
桑德尔 发表于 2018-4-24 22:47
ESET对挖矿会入库的,潜在不受欢迎

网页脚本那种也靠入库?怕那种创建隐藏浏览器窗口的。
桑德尔
头像被屏蔽
发表于 2018-4-25 08:56:09 | 显示全部楼层
cloud01 发表于 2018-4-25 08:50
网页脚本那种也靠入库?怕那种创建隐藏浏览器窗口的。

反正ESET是能挡住已拉黑的网页挖矿的
B100D1E55
发表于 2018-4-25 09:04:53 | 显示全部楼层
本帖最后由 B100D1E55 于 2018-4-25 10:18 编辑

这个问题挺有意思……基本而言挖矿属于密集计算任务,和正常程序区分起来的确有一些麻烦。这就类似勒索侦测的困境一样,因为行为和正常程序很类似所以可以区分开两者的行为就很微妙了。
目前我所知道的方法有这些:
1. 入库矿池地址——因为矿池地址变更起来相对麻烦。不过也有一些免杀用tor之类的进行混淆,但装tor本身就算异常行为,这种一般云沙箱跑样本的时候能查出来。又比如nocoin拉黑了coinhive相关的url也是同理,虽然和矿池略有不同
2. 挖矿程序本体入库——这类恶意程序经常是嵌套结构,即内藏官方挖矿程序等,挖矿程序本体一般都相同。把挖矿程序本体特征入库,如果侦测到dropper行为那就很可能是恶意挖矿程序
3. 内存内特征匹配——不少挖矿程序有一定字符串特征。匹配相关字符串即可,例如这种yara rule:
https://github.com/mikesxrs/Open ... re.BitCoinMiner.yar
https://github.com/Neo23x0/signa ... ryptocoin_miner.yar
4. 命令行、文件名、网络传输内容等特征:例如命令行包含core affinity,有crypto字符等等
5. 更邪的特征,比如看程序是否释放CUDA运行库、文件大小、CPU占用率等等。虽然这种特征单个拿来判断不靠谱,但可以作为综合判断的参考
6. 异常网络行为侦测等等……这个主要用来发掘新的挖矿程序。上述几种大多要先发现,后入库,然后做特征来挖变种,但发现最初的那个恶意程序是个鸡生蛋的悖论。对于全新的样本来说,人肉的参与是不可避免的。异常侦测可以辅助人肉分析过滤掉大量遥测噪声,揪出崭新的威胁。

这让我想起之前一些很邪的勒索自动机特征,比如释放的文件包含bitcoin关键词就为可疑,或者对屏幕截图OCR之后发现“your files have been encrypted”之类的字样。这种方法很黄很暴力,但有时候意外地有效。总体来说这种特征提取不少还是要靠人的智慧,当然字符串特征这种用机器学习再适合不过了
其他的可以参考:https://conference.hitb.org/hitb ... %20and%20Memory.pdf


桑德尔
头像被屏蔽
发表于 2018-4-25 09:09:23 | 显示全部楼层
B100D1E55 发表于 2018-4-25 09:04
这个问题挺有意思……基本而言挖矿属于密集计算任务,和正常程序区分起来的确有一些麻烦。这就类似勒索侦测 ...

最后的那条勒索自动机特征真是把我亮瞎了
B100D1E55
发表于 2018-4-25 09:11:43 | 显示全部楼层
桑德尔 发表于 2018-4-25 09:09
最后的那条勒索自动机特征真是把我亮瞎了

哈哈是的,还有勒索特征侦测文件后缀名的。毕竟早期那些样本会大量给文件重命名加上自己特定的后缀名。入库这种特征虽然很挫,但仔细想想不是挺有效么,反正前期怎么混淆最后都干同样的事……
cloud01
头像被屏蔽
 楼主| 发表于 2018-4-25 09:43:45 | 显示全部楼层
桑德尔 发表于 2018-4-25 09:09
最后的那条勒索自动机特征真是把我亮瞎了

这是什么黑知识?
桑德尔
头像被屏蔽
发表于 2018-4-25 09:45:30 | 显示全部楼层
cloud01 发表于 2018-4-25 09:43
这是什么黑知识?

你回复错人了亲
cloud01
头像被屏蔽
 楼主| 发表于 2018-4-25 09:46:32 | 显示全部楼层
B100D1E55 发表于 2018-4-25 09:04
这个问题挺有意思……基本而言挖矿属于密集计算任务,和正常程序区分起来的确有一些麻烦。这就类似勒索侦测 ...

分析的很牛逼,突然觉得杀软真不容易,不知道ESET的高启发对付这种东西效果好不好。防注入对这种脚本是否有用?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 08:14 , Processed in 0.137868 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表