虛擬貨幣挖礦木馬行為監測技術研究與應用
網絡安全與數據治理 4期
周成勝1,2,董 偉3,崔梟飛1,2,葛悅濤1,2
1.中國信息通信研究院 安全研究所,北京100191; 2.工業互聯網安全技術試驗與測評工業和信息化部重點實驗室,北京100191; 3.華北計算機系統工程研究所,北京100083)
摘要: 近年來,在利益驅動下通過傳播挖礦木馬程序,利用受害者主機算力進行挖礦獲取虛擬貨幣的行為愈演愈烈。從攻擊者視角分析了挖礦木馬的暴力爆破、漏洞利用、木馬植入、橫向傳播等典型攻擊路徑,基于挖礦協議的流量識別、威脅情報匹配、攻擊鏈模型關聯分析、AI基因模型監測等開展技術研究,結合研究成果進行了實際網絡流量監測應用,為挖礦木馬的防范和治理提供思考與借鑒。
中圖分類號: TP399
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.006
引用格式: 周成勝,董偉,崔梟飛,等. 虛擬貨幣挖礦木馬行為監測技術研究與應用[J].網絡安全與數據治理,2022,41(4):37-41.
文獻標識碼: A
DOI: 10.19358/j.issn.2097-1788.2022.04.006
引用格式: 周成勝,董偉,崔梟飛,等. 虛擬貨幣挖礦木馬行為監測技術研究與應用[J].網絡安全與數據治理,2022,41(4):37-41.
Research on the behavior monitoring of virtual currency mining Trojan
Zhou Chengsheng1,2,Dong Wei3,Cui Xiaofei1,2,Ge Yuetao1,2
(1.Institute of Security,China Academy of Information and Communications Technology,Beijing 100191,China; 2.Security Testing and Evaluation Laboratory of Industrial Internet Key Laboratory Ministry of Industry and Information Technology,Beijing 100191,China; 3.National Computer System Engineering Research Institute of China,Beijing 100083,China)
Abstract: In recent years, driven by economic interests, the behavior of using the computing power of the victim′s host to mine to obtain virtual currency by spreading the mining Trojan program has become increasingly fierce. From the perspective of the attacker, this paper analyzes the typical attack paths of the mining Trojan, such as violent explosion, vulnerability utilization, Trojan implantation, horizontal propagation, etc., carries out technical research based on the mining protocol traffic identification, threat intelligence matching, attack chain model correlation analysis, AI gene model monitoring, and carries out the actual network traffic monitoring application in combination with the research results, so as to provide thinking and reference for the prevention and governance of the mining Trojan.
Key words : virtual currency;mining Trojan;behavior monitoring;network flow identification
0 引言
近年來,隨著比特幣的發展和經濟價值不斷擴大,同類型的虛擬貨幣開始在互聯網中不斷發展,如以太幣、門羅幣、萊特幣等。這類虛擬貨幣并非由特定的貨幣發行機構發行,而是依據特定算法通過大量運算所得。礦工通過礦機等設備運行挖礦程序,利用設備的CPU、GPU來獲取虛擬貨幣,通過算力去獲取虛擬貨幣的過程稱為“挖礦”。
高昂的挖礦成本導致一些不法分子通過網絡攻擊手段將礦機程序植入被控制的主機中,利用受害者主機算力進行挖礦,從而獲取非法經濟利益。這類在用戶不知情的情況下植入受害者主機的挖礦程序稱為挖礦木馬。
挖礦木馬程序會利用被感染主機的CPU、GPU等算力資源進行挖礦活動,也可利用感染主機的硬盤資源進行挖礦,占用大量被感染主機的硬件資源,此時被感染主機成為了攻擊者所掌握的“礦機”。挖礦行為會消耗大量感染主機的算力資源,致使感染主機的CPU、GPU等硬件資源使用率過高,從而使感染主機運行變慢,甚至無法使用,進而影響業務的正常運行,帶來不可估量的損失。
本文詳細內容請下載:http://m.jysgc.com/resource/share/2000004988。
作者信息:
周成勝1,2,董 偉3,崔梟飛1,2,葛悅濤1,2
(1.中國信息通信研究院 安全研究所,北京100191;
2.工業互聯網安全技術試驗與測評工業和信息化部重點實驗室,北京100191;
3.華北計算機系統工程研究所,北京100083)
此內容為AET網站原創,未經授權禁止轉載。