123,123

虚拟货币挖矿木马行为监测技术研究与应用

网络安全与数据治理 4期

周成胜1，2，董伟3，崔枭飞1，2，葛悦涛1，2

1.中国信息通信研究院安全研究所，北京100191； 2.工业互联网安全技术试验与测评工业和信息化部重点实验室，北京100191； 3.华北计算机系统工程研究所，北京100083)

摘要： 近年来，在利益驱动下通过传播挖矿木马程序，利用受害者主机算力进行挖矿获取虚拟货币的行为愈演愈烈。从攻击者视角分析了挖矿木马的暴力爆破、漏洞利用、木马植入、横向传播等典型攻击路径，基于挖矿协议的流量识别、威胁情报匹配、攻击链模型关联分析、AI基因模型监测等开展技术研究，结合研究成果进行了实际网络流量监测应用，为挖矿木马的防范和治理提供思考与借鉴。

關(guān)鍵詞： 虚拟货币挖矿木马行为监测流量识别

中圖分類號： TP399
文獻(xiàn)標(biāo)識碼： A
DOI： 10.19358/j.issn.2097-1788.2022.04.006
引用格式：周成勝，董偉，崔梟飛，等. 虛擬貨幣挖礦木馬行為監(jiān)測技術(shù)研究與應(yīng)用[J].網(wǎng)絡(luò)安全與數(shù)據(jù)治理，2022，41(4)：37-41.

Research on the behavior monitoring of virtual currency mining Trojan

Zhou Chengsheng1，2，Dong Wei3，Cui Xiaofei1，2，Ge Yuetao1，2

(1.Institute of Security，China Academy of Information and Communications Technology，Beijing 100191，China； 2.Security Testing and Evaluation Laboratory of Industrial Internet Key Laboratory Ministry of Industry and Information Technology，Beijing 100191，China； 3.National Computer System Engineering Research Institute of China，Beijing 100083，China)

Abstract： In recent years, driven by economic interests, the behavior of using the computing power of the victim′s host to mine to obtain virtual currency by spreading the mining Trojan program has become increasingly fierce. From the perspective of the attacker, this paper analyzes the typical attack paths of the mining Trojan, such as violent explosion, vulnerability utilization, Trojan implantation, horizontal propagation, etc., carries out technical research based on the mining protocol traffic identification, threat intelligence matching, attack chain model correlation analysis, AI gene model monitoring, and carries out the actual network traffic monitoring application in combination with the research results, so as to provide thinking and reference for the prevention and governance of the mining Trojan.

Key words : virtual currency；mining Trojan；behavior monitoring；network flow identification

0 引言

近年來，隨著比特幣的發(fā)展和經(jīng)濟(jì)價值不斷擴(kuò)大，同類型的虛擬貨幣開始在互聯(lián)網(wǎng)中不斷發(fā)展，如以太幣、門羅幣、萊特幣等。這類虛擬貨幣并非由特定的貨幣發(fā)行機(jī)構(gòu)發(fā)行，而是依據(jù)特定算法通過大量運算所得。礦工通過礦機(jī)等設(shè)備運行挖礦程序，利用設(shè)備的CPU、GPU來獲取虛擬貨幣，通過算力去獲取虛擬貨幣的過程稱為“挖礦”。

高昂的挖礦成本導(dǎo)致一些不法分子通過網(wǎng)絡(luò)攻擊手段將礦機(jī)程序植入被控制的主機(jī)中，利用受害者主機(jī)算力進(jìn)行挖礦，從而獲取非法經(jīng)濟(jì)利益。這類在用戶不知情的情況下植入受害者主機(jī)的挖礦程序稱為挖礦木馬。

挖礦木馬程序會利用被感染主機(jī)的CPU、GPU等算力資源進(jìn)行挖礦活動，也可利用感染主機(jī)的硬盤資源進(jìn)行挖礦，占用大量被感染主機(jī)的硬件資源，此時被感染主機(jī)成為了攻擊者所掌握的“礦機(jī)”。挖礦行為會消耗大量感染主機(jī)的算力資源，致使感染主機(jī)的CPU、GPU等硬件資源使用率過高，從而使感染主機(jī)運行變慢，甚至無法使用，進(jìn)而影響業(yè)務(wù)的正常運行，帶來不可估量的損失。

本文詳細(xì)內(nèi)容請下載：http://m.ihrv.cn/resource/share/2000004988。

作者信息：

周成勝1，2，董偉3，崔梟飛1，2，葛悅濤1，2

(1.中國信息通信研究院安全研究所，北京100191；

2.工業(yè)互聯(lián)網(wǎng)安全技術(shù)試驗與測評工業(yè)和信息化部重點實驗室，北京100191；

3.華北計算機(jī)系統(tǒng)工程研究所，北京100083)

微信圖片_20210517164139.jpg

原創(chuàng)聲明：此內(nèi)容為AET網(wǎng)站原創(chuàng)，未經(jīng)授權(quán)禁止轉(zhuǎn)載。

相關(guān)內(nèi)容