“谁动了我的奶酪？”从挖矿脚本谈企业网络安全

“浏览即挖矿，黑客总能找到各种奇怪的资源来牟利“

[[238946]]

近年来，数字货币已经成为经济和金融界最为热门的话题，目前的虚拟加密数字货币比如比特币、以太坊、门罗币等都已经渐渐成为了全世界都在参与的“财富盛宴“。当然，这其中也不乏常年活跃于互联网的神秘人士——网络黑客们的存在感，而且他们的参与方式相比常人，显得更加另类清奇，脑洞迭出。

2018年2月，有不少漫友在论坛上反馈说在“快看漫画网”上浏览网页过程中，电脑会出现卡慢甚至异常发热的情况。

经过相关安全机构的检测发现该网站被黑客入侵并植入了挖矿代码，在用户访问时，利用访问者电脑的CPU资源挖门罗币，大量占用访问者电脑资源，造成用户电脑出现卡顿、高温甚至死机，至此掀起了网站恶意挖矿脚本这一黑客地下产业链的一角。而实际在被挖矿这件事上，“快看漫画“网站并非个例。

根据区块律动BlockBeats统计数据，截止到2018年 7 月 9 日，全网有超过 3 万家网站被内置了挖矿代码，只要用户打开网站进行浏览、操作，网站就会调用电脑或手机的计算资源来进行挖矿。而根据Adguard的数据统计，全球约有 5 亿台电脑曾被绑架挖矿，这些用户在不知情的情况下为黑客提供了CPU算力，并被强制占用大量系统资源，严重影响操作体验和硬件寿命。

随着虚拟货币价格的一路”高歌猛进“，利用在网站中插入挖矿脚本来实现流量变现正在成为一股不可阻挡的势力，因为这显然比网站的展示广告有着更加直接可观的收益。挖矿的巨大利润势必会让许多黑客们趋之若鹜，作为企业，如果自家的门户网站被黑客劫持用于散播挖矿脚本，不仅会使企业信誉受损、客户口碑下降，还可能在媒体的曝光披露、友商公共黑稿的舆论压力下给企业的品牌效应带来不可挽回的损失。

那么，作为企业安全管理者，该如何防止自家的这块“奶酪“被”啃“呢?

1. 未雨绸缪，完善企业资产管理

是的，鲁迅先生曾经说过：“未雨绸缪,有备无患“，在抵御企业网络攻击这里，预防永远比弥补来的方便。

传统的企业资产管理中，安全人员从运维人员那里获得资产列表，导入传统扫描器扫描，通过扫描器返回的结果来确认各资产状态，从而进行资产管理。

然而实际上，运维人员的资产列表往往由于各种原因存在滞后性，甚至在某些方面登记并不全面，这就导致了在资产扫描过程中，有一部分资产并未被划入扫描行列，从而脱离了安全监控，成为了所谓的“边缘资产”，这类“边缘资产”若存在安全漏洞，极易被攻击者利用，从而进入内网，进行更深层次的安全攻击。

此外，传统扫描器的扫描结果大多基于特征而非验证性结论，因而存在大量误报，加重运维人员甄别负担和工作量，导致运维人员对扫描器结果并不看重，从而导致有些非误报的严重问题可能被忽略，使得扫描效果大大降低。

同时，针对公司外部资产泄露问题，传统资产扫描能力难以触及，需补充其他工具或能力。

基于以上传统资产管理的缺陷，结合当前大部分企业资产环境现状，建议企业安全管理者实现基于资产自动发现、识别、建模以及安全漏洞检测的一体化资产管理与安全监控，同时实现外部风险监控，检测信息泄露情况，并对所有风险进行实时告警。

一体化资产管理与安全监控平台主要设计思想

通过这样的资产管理平台可以从资产发现、资产漏洞安全管理、外部信息泄露等多个维度针对企业资产进行更为细致的管理与防护，可大幅降低企业内部未登记在案的边缘资产被黑客用作跳板进行内网攻击的可能性，显著增强企业资产层面的安全能力。

2. 兵来将挡，水来土掩

通过上述的资产安全能力建设，我们在内网资产层面的安全已经得到了一定保证。可你是否想过?一旦企业的安全边界能力被黑客攻破或者绕过，即黑客已经成功进入企业的内网并开始恶意行为了，企业要如何第一时间感知这件事从而进行应急处理?

现今主流的安全防御机制，往往由防火墙或NGFW、入侵检测、网闸及防毒软件建构其核心检测能力，这些产品依靠已知攻击特征码进行模式匹配来检测已知的网络攻击，在一些特定情况下，也可能检测针对已知漏洞的新的未知攻击。

这样的解决方案，能非常有效的监测到一般的已知网络攻击，但针对现今最具威胁的高级可持续威胁和东西流量安全，却完全没有招架之力。在大多数情况下，APT攻击面对传统的安全防御机制时，有如入无人之境，因为这些攻击没有特征码，故传统的防御机制无法检测攻击者在起始阶段所采取的攻击手段，最终导致网络攻击者可以任意的控制网络。

一些防护更深入的传统方案，会结合IPS(入侵防御系统)或者NBA(网络行为分析系统)产品进行异常检测，协助找到网络攻击，这种方式虽然可以侦测到新型的APT威胁，但是由于经常受到误报的影响(将正常流量归为异常)，因此防御效果不佳，并且也容易出现漏报的问题。

在此背景下，根据大部分企业当前安全形势，建议针对性建设入侵感知能力以及攻击者溯源能力，通过一个默认所有边界安全手段都有可能被绕过的视角建设安全的最后一道防线，即在攻击者成功入侵后实时感知并尝试进行攻击流量隔离、转发，记录攻击行为，从而实现入侵感知、相应、降低损失以及事后溯源的全套入侵感知与溯源体系建设。

根据大部分企业当前安全能力，结合攻击者常用的攻击流程，建议企业在IDC、办公网等内网环境设计如下基于攻击欺骗的入侵感知与攻击溯源体系。

通过蜜罐组网、蜜罐诱饵实现高精度蜜网，并实现以下欺骗防御能力建设：

基于攻击欺骗的入侵感知与攻击溯源体系建设思路

Gartner在2015年到2017年，连续三年把“欺骗防御”(Deception)定位为未来的安全技术趋势之一。通过构建上述的内网攻击感知能力，可以实现内网业务系统环境“真真假假，虚虚实实“，攻击者进来进行内网扫描时压根不知道谁是真正的业务系统，结果被拥有各种很好利用的漏洞的虚假业务系统欺骗，结果攻击流量全部被隔离在虚拟系统中，行为全部被记录，甚至进行了真人溯源，从而黑客的真实IP、网络ID全部被企业掌握在手，做到真正的兵来将挡水来土掩。

【本文是专栏作者“”李少鹏“”的原创文章，转载请通过安全牛（微信公众号id:gooann-sectv）获取授权】

戳这里，看该作者更多好文