虚拟货币挖矿木马行为监测技术研究与应用
网络安全与数据治理 4期
周成胜1,2,董 伟3,崔枭飞1,2,葛悦涛1,2
1.中国信息通信研究院 安全研究所,北京100191; 2.工业互联网安全技术试验与测评工业和信息化部重点实验室,北京100191; 3.华北计算机系统工程研究所,北京100083)
摘要:近年来,在利益驱动下通过传播挖矿木马程序,利用受害者主机算力进行挖矿获取虚拟货币的行为愈演愈烈。从攻击者视角分析了挖矿木马的暴力爆破、漏洞利用、木马植入、横向传播等典型攻击路径,基于挖矿协议的流量识别、威胁情报匹配、攻击链模型关联分析、AI基因模型监测等开展技术研究,结合研究成果进行了实际网络流量监测应用,为挖矿木马的防范和治理提供思考与借鉴。
中图分类号:TP399
文献标识码:A
DOI:10.19358/j.issn.2097-1788.2022.04.006
引用格式: 周成胜,董伟,崔枭飞,等. 虚拟货币挖矿木马行为监测技术研究与应用[J].网络安全与数据治理,2022,41(4):37-41.
文献标识码:A
DOI:10.19358/j.issn.2097-1788.2022.04.006
引用格式: 周成胜,董伟,崔枭飞,等. 虚拟货币挖矿木马行为监测技术研究与应用[J].网络安全与数据治理,2022,41(4):37-41.
Research on the behavior monitoring of virtual currency mining Trojan
Zhou Chengsheng1,2,Dong Wei3,Cui Xiaofei1,2,Ge Yuetao1,2
(1.Institute of Security,China Academy of Information and Communications Technology,Beijing 100191,China; 2.Security Testing and Evaluation Laboratory of Industrial Internet Key Laboratory Ministry of Industry and Information Technology,Beijing 100191,China; 3.National Computer System Engineering Research Institute of China,Beijing 100083,China)
Abstract:In recent years, driven by economic interests, the behavior of using the computing power of the victim′s host to mine to obtain virtual currency by spreading the mining Trojan program has become increasingly fierce. From the perspective of the attacker, this paper analyzes the typical attack paths of the mining Trojan, such as violent explosion, vulnerability utilization, Trojan implantation, horizontal propagation, etc., carries out technical research based on the mining protocol traffic identification, threat intelligence matching, attack chain model correlation analysis, AI gene model monitoring, and carries out the actual network traffic monitoring application in combination with the research results, so as to provide thinking and reference for the prevention and governance of the mining Trojan.
Key words :virtual currency;mining Trojan;behavior monitoring;network flow identification
0 引言
近年来,随着比特币的发展和经济价值不断扩大,同类型的虚拟货币开始在互联网中不断发展,如以太币、门罗币、莱特币等。这类虚拟货币并非由特定的货币发行机构发行,而是依据特定算法通过大量运算所得。矿工通过矿机等设备运行挖矿程序,利用设备的CPU、GPU来获取虚拟货币,通过算力去获取虚拟货币的过程称为“挖矿”。
高昂的挖矿成本导致一些不法分子通过网络攻击手段将矿机程序植入被控制的主机中,利用受害者主机算力进行挖矿,从而获取非法经济利益。这类在用户不知情的情况下植入受害者主机的挖矿程序称为挖矿木马。
挖矿木马程序会利用被感染主机的CPU、GPU等算力资源进行挖矿活动,也可利用感染主机的硬盘资源进行挖矿,占用大量被感染主机的硬件资源,此时被感染主机成为了攻击者所掌握的“矿机”。挖矿行为会消耗大量感染主机的算力资源,致使感染主机的CPU、GPU等硬件资源使用率过高,从而使感染主机运行变慢,甚至无法使用,进而影响业务的正常运行,带来不可估量的损失。
本文详细内容请下载:https://www.chinaaet.com/resource/share/2000004988。
作者信息:
周成胜1,2,董 伟3,崔枭飞1,2,葛悦涛1,2
(1.中国信息通信研究院 安全研究所,北京100191;
2.工业互联网安全技术试验与测评工业和信息化部重点实验室,北京100191;
3.华北计算机系统工程研究所,北京100083)
此内容为AET网站原创,未经授权禁止转载。