機器學習如何偵測虛擬貨幣挖礦病毒?

隨著虛擬貨幣惡意挖礦活動的急速發展,能夠聰明且持續有效偵測這類威脅的方法也成為網路安全防護的必備功能。透過趨勢科技的TLSH(Trend Micro Locality Sensitive Hashing,用來識別相似檔案的機器學習雜湊演算法),可以將收集到的相似虛擬貨幣挖礦病毒樣本集群(cluster)起來。將樣本依照行為和檔案類型進行分組,就能夠偵測相似或修改過的惡意軟體。

機器學習如何偵測虛擬貨幣挖礦病毒?

TLSH可以幫助我們將虛擬貨幣挖礦病毒集群起來。做法是計算檔案與檔案間數學意義上的“距離分數”,用來分析和偵測虛擬貨幣挖礦病毒集群。我們的演算法會產生某一組惡意軟體都接近的挖礦病毒中心TLSH。

集群惡意軟體樣本可以讓安全研究人員建立一對多的特徵碼,用來主動識別更多相似檔案。這是因為自動化系統(或是逆向工程師)可以檢查惡意軟體群組成員並識別成員間的相似性。當我們的系統在檢查新檔案時,會去檢視是否具備惡意軟體群組呈現的元素,並確認新檔案是否屬於惡意軟體群組的範圍。

除此之外,TLSH還可以將大量可能惡意或未知檔案對已知威脅進行即時且可擴充的搜尋和交叉比對。

機器學習如何偵測虛擬貨幣挖礦病毒?

表1 、一個有123 成員的集群內5 個樣本的TLSH 值與中心TLSH 值進行比較,有很接近的距離分數

注意:我們檢查並比較所收集檔案的相似度後確定了中心TLSH 值。趨勢科技主動偵測為CoinminerTOOLXMR.SM2-WIN32_

我們已經將TLSH應用來偵測虛擬貨幣挖礦病毒的相似度。本文中所討論的威脅可以被趨勢科技的預測性機器學習以及即時掃描所用病毒特徵碼偵測為CoinminerXMRMINE.SM、CoinminerTOOLXMR.SM2-WIN32和Coinminer_MALXMR.SMN1-WIN32。

從收集到的虛擬貨幣挖礦病毒中,我們發現大部分都是在針對門羅幣,使用的挖礦演算法是CryptoNight。

惡意軟體移動到門羅幣

比特幣一直是網路犯罪分子的首選目標,其價值也突然地暴漲,甚至在2017年達到了2萬美元。但看起來門羅幣目前成為首要目標。雖然它的價值(本文撰寫時為224美元)遠低於比特幣(本文轉寫時為9,000美元),但它能夠在一般個人電腦和筆記型電腦上進行挖礦。加上交易無法追踪,讓惡意份子可以將非法挖礦的目標更加擴大。

我們還偵測到惡意軟體使用修改過的開放原始碼XMRig來挖掘門羅幣或其他使用CryptoNight的虛擬貨幣。

機器學習如何偵測虛擬貨幣挖礦病毒?

圖1 、來自集群樣本的修改過XMRig 命令列挖礦工具

注意:修改過XMRig 的版本是2.4.1 ,而在本文撰寫時,Github 上的最新可用XMRig 版本是2.4.5

機器學習如何偵測虛擬貨幣挖礦病毒?

圖2 、修改過XMRig 命令列挖礦工具的螢幕截圖

注意:趨勢科技研究人員為了測試,提供了測試用挖礦設定檔(礦池地址/ 端口和門羅幣錢包地址)。

XMRig受駭客青睞的原因之一是其為開放原始碼,可以輕易地用在虛擬貨幣挖礦攻擊中。不過值得注意的是,不是只有網路犯罪份子偏好使用這種命令列的挖礦工具,合法的虛擬貨幣挖礦愛好者也會使用它。

虛擬貨幣挖礦病毒

短短幾年間,網路犯罪份子大量地青睞虛擬貨幣挖礦病毒,希望不法取得虛擬貨幣的價格上漲而獲利。藉由使用惡意軟體,他們濫用別人的電腦資源來偷偷非法地獲取有價值的虛擬貨幣。

在去年,我們看到虛擬貨幣挖礦吸引了許多投入。虛擬貨幣挖礦是趨勢科技Smart Home Network偵測最多的家庭網路事件,而Smart Protection Network也偵測到虛擬貨幣挖礦病毒出現尖峰

虛擬貨幣挖礦病毒對受害者的電腦有不良影響。挖礦動作會使用大量電力並耗用運算能力(惡意軟體也是) – 甚至會讓智慧手機電池過熱進而爆開。這也讓我們見識到駭客們如何地願意探索新手段來進行改變以賺取收益。

隨著虛擬貨幣非法挖礦活動的持續增加以及網路犯罪分子多樣化的攻擊手段,可以看出建立解決方案來防護虛擬貨幣挖礦病毒的各種變化也就更加重要了。

趨勢科技的XGen安全防護提供跨世代混合的防禦技術來保護系統免於虛擬貨幣挖礦病毒侵害。它具備高保真機器學習功能,可以使用TLSH來防護閘道端點,並保護實體、虛擬和雲端的工作機。具備網站/網址過濾、行為分析以及客製化沙箱等功能,讓XGen可以抵禦今日能夠繞過傳統控制,攻擊已知、未知或未公開漏洞,竊取或加密個人身份識別資料或執行虛擬貨幣惡意挖礦的各種威脅。智慧化、最佳化和互相連結,XGen驅動著趨勢科技的安全解決方案:Hybrid Cloud SecurityUser ProtectionNetwork Defense

@原文出處:Cluster of Coins: How Machine Learning Detects Cryptocurrency-mining Malware 作者: Jon Oliver和Menard Oseña

相關文章