【“挖矿”威胁治理】智甲构建系统侧有效防护

时间:2022年04月26日    来源:安天


本期为《安天 “挖矿”威胁治理专题》第二期《智甲构建系统侧有效防护》:“智甲安全产品家族”能面向服务器、云、虚拟化、容器和传统办公节点等提供全防御能力覆盖,可满足客户对于包括终端杀毒、终端检测与响应(EDR)、云工作安全防护(CWPP)等系统安全层面需求。

挖矿威胁治理

专题一:【“挖矿”威胁治理】专项方案

“智甲安全产品家族”面向服务器、云、虚拟化、容器和传统办公节点等提供全防御能力覆盖,可以满足客户对于包括终端杀毒、终端检测与响应(EDR)、云工作安全防护(CWPP)等系统安全层面需求。

▲ 图1:智甲终端防御系统端点统管控制台截图

▲ 图2:智甲应对“挖矿”威胁时的防护方案

1.特征检出

“智甲终端防御系统”是业内率先采用“云查杀+黑白双控模式”进行有效防御的终端安全防护产品,结合本地的深度检测和云端服务的强大计算能力,有效保障“挖矿”木马快速精准的识别,同时大幅减少终端资源占用。

▲ 图3:托安天下一代反病毒引擎实现对各类“挖矿”木马精准查杀

通过云查杀,在环境受限的情况下,智甲客户端无需在本地加载体积庞大的病毒库(本地客户端具有流行库,离线后仍具有一定的查杀能力),即可达到良好的查杀效果,同时在进行全盘扫描时,不会造成终端负载过高的现象,保证终端扫描时,其他办公业务能够稳定运行。

通过多引擎、多维度检测分析,快速高效查杀已知“挖矿”木马、已知“挖矿”木马变种以及未知已知“挖矿”木马的同时,深度揭示文件静态向量,辅助人工判定。在没有网络不依赖云端病毒特征库情况下,仍可强力查杀威胁。

2.行为阻断

2.1 文件防御

智甲可实时检测、捕获“挖矿”木马文件并防止传播。

对终端关键目录进行实时监控,当感知到有新增文件时,会自动获取文件的特征,如MD5、文件路径、文件名称等,并将这些信息投递给本地或者服务端反病毒引擎进行病毒检测,如果检测出新增文件为恶意文件,则会立即进行告警,并支持自动或者手动处置恶意文件。

除了自动检测外,用户还可以通过快速扫描、全盘扫描、指定位置扫描等方式对终端文件进行检测,检测时系统会严格遵守三元权限要求,仅对自己有访问权限的文件进行检测与清除。

2.2 进程防御

智甲可感知到终端进程启动行为,在监测到有进程启动后,会自动获取进程源文件信息并将其投递给反病毒引擎进行检测,如果进程源文件判定为恶意,智甲会自动告警并拦截进程行为。在进程启动后,如果智甲检测到进程有可疑或者高危行为,同样能够告警并立即阻止进程行为。

2.3 病毒文件隔离

针对可执行文件类型的“挖矿”木马文件,智甲能够将文件加密并移动至病毒隔离区,加密后的“挖矿”木马文件无法启动运行,移动至病毒隔离区时,系统会记录文件的源路径、MD5、文件owner、权限、处理进程等信息。用户可通过客户端的人机交互界面对已隔离的文件进行彻底删除或者恢复至原路径。

同时支持主动检测外部输入文件,来源包括:

1)接入设备:U盘、网络磁盘、共享网盘、浏览器下载文件、即时通讯下载文件、邮件附件等进行主动查杀。

2)外接设备:键盘、鼠标、USB蓝牙适配器、USB打印机、U盘/移动硬盘/SD卡/移动光盘/软盘、HUB、USB智能卡、USB网卡和未识别设备。

3)移动介质:可自动和手动注册移动介质,为移动介质设置终端设备访问权限,并提供移动介质操作审计日志,可追溯移动介质使用情况。

3.程序清除

企业内网中一旦出现“挖矿”木马,由于交叉感染等原因很难彻底清除。传统的防病毒软件只能通过全网全盘查杀进行处置,但这种方式既耗时又影响正常业务的运行,尤其是针对端点数量在万点以上的网络,很难做到同一时间全网清除。

智甲可对企业内网中个体终端发现的“挖矿”木马文件进行全网追溯,每个终端无需耗时的全盘查杀,基于已发现的“挖矿”恶意代码攻击的特征,管理员可在企业全网终端中查找已知的“挖矿”威胁攻击,包括威胁攻击事件中利用的文件、注册表、数字签名等,为用户进行攻击溯源和取证提供依据。

企业内超过万点终端(无上限),全网追溯整个过程不超过15分钟,管理员即可快速定位全网感染同样“挖矿”木马的终端分布情况。针对这些病毒,管理员无需每台机器都人工逐个清除,在管理中心即可下发定点清除的指令,从而全面提升“挖矿”威胁防控的精准度和处理效率。

病毒处理

支持对“挖矿”病毒文件进行删除或者仅告警等处理方式,删除病毒文件时支持隔离或者直接删除等方式,并支持在管理中心远程、批量清除全网终端上的指定病毒文件,支持远程、批量恢复终端隔离文件。

支持导入威胁处置规则,当触发监控条件时,自动清除相应威胁。

全网病毒追查

支持全网病毒追溯功能,管理中心通过对指定“挖矿”病毒文件进行追查,可迅速评估病毒感染的范围、追查病毒的最初来源和传播路径,实现病毒可审计、可回溯,并可在管理中心远程清除全网终端上的该病毒文件。

威胁处置

支持通过管理平台清除指定终端上的未处理的“挖矿”病毒文件。

支持采用自动或手动方式,按管理员自定义的时间周期清除未处理的病毒和未处理的高级威胁。

支持动态威胁处置,对主动防御上报的威胁进行处置,包括单一终端和全网终端的处置/信任,对于处置错误的情况,支持还原处置规则。

支持设置威胁自动处置策略,用于清除网内持续威胁;支持高危行为优先出处置策略,用于将防御日志中违规处置并且符合高危行为优先处置规则的数据将自动加入到动态威胁处置。

智甲可根据用户需求自定义事件进行定时病毒查杀。

可通过客户端直接进行定时查杀任务设置,也可通过服务端向多台客户端进行定时查杀任务下发,客户端会对设置的定时任务进行自动处理。

下期预告

第三期内容将通过对安天探海威胁检测系统应对“挖矿”威胁时,在流量侧针对恶意通信、矿池地址、挖矿程序的多重检测与联动处置能力,以及产品优势介绍,结合场景案例,分享如何基于流量侧持续监测有效提升 “挖矿”威胁治理。

附录

【1】《“挖矿”恶意代码肆虐,安天智甲有效防护》.Antiy.2018/03/14
https://www.antiy.cn/research/notice&report/research_report/20180314.html
【2】《挖矿木马简要技术分析》 .安天CERT .2021/10/15
https://www.antiy.cn/research/notice&report/research_report/20211015.html