國家發改委全面整治虛擬貨幣“挖礦”活動，綠盟科技助力客戶“挖礦”排查

近日，國家發改委召開例行釋出會。新聞發言人孟瑋表示，下一步要對產業式集中式“挖礦”、國有單位涉及“挖礦”和比特幣“挖礦”等行為，展開全方位專項治理。此前，國家發改委等11部門釋出《關於整治虛擬貨幣“挖礦”活動的通知》，通知中強調要全面梳理排查虛擬貨幣“挖礦”專案，嚴禁新增專案投資建設，加快存量專案有序退出，並於本月初再次組織專項會議，要求各地區對當地的虛擬貨幣挖礦形式進行整治清理。會議著重提出了嚴查國有單位機房所涉及的“挖礦活動”。監管單位對整治虛擬貨幣“挖礦”出臺的連續舉措，表明了從國家層面對清除虛擬貨幣“挖礦”的堅定意志和決心。

綠盟“挖礦”綜合排查方案

為幫助企事業單位對“挖礦”行為進行整治和防控，綠盟科技針對各種“挖礦”場景，提出虛擬貨幣“挖礦”綜合排查方案，確保“挖礦”治理工作常態化無死角。

目前企業中常見的“挖礦”手段有如下四種型別：

1. 內部人員利用企業伺服器等資源挖礦牟利。

2. 駭客入侵企業伺服器植入惡意挖礦程式碼。

3. 非法網站透過程式碼注入，在辦公終端的瀏覽器執行挖礦指令碼。

4. 駭客入侵企業公有云平臺，批次建立高效能虛擬機器，執行挖礦程式。

綠盟“挖礦”綜合排查方案，基於綠盟科技多年安全服務經驗和產品技術積累，針對不同型別“挖礦”手段的行為特徵，從威脅情報、流量過濾、終端監控三個維度入手，確保企業內的“挖礦”行為無處藏身。 

使用威脅情報排查“挖礦”

虛擬貨幣是利用了區塊鏈技術實現去中心化交易，針對獲取虛擬貨幣的“挖礦”行為而言，礦機需要與礦池保持通訊並進行資料傳輸，礦池的IP地址則是網際網路威脅情報監測的重點。根據企業提供的IP資訊匹配威脅情報庫，可以揪出企業內可能存在的“挖礦”行為。採用威脅情報的排查方式，操作簡單，無需部署任何硬體裝置，適合企業快速排查內部是否存在潛在的“挖礦”行為。

綠盟威脅情報服務（NTI），彙集綠盟科技多年來的安全服務經驗和各類情報資料。目前已經收集了超過五萬條的“礦池+礦機”情報資料，並持續更新礦池及礦機IP等資訊。

透過流量分析檢測“挖礦”

隨著國家對於“挖礦”治理力度的持續加碼，“挖礦”者可能會隱藏礦機在網路中的特徵，如使用代理閘道器的方式隱藏礦機的真實IP。在此情況下，僅使用威脅情報排查方式可能不足以解決企業問題，需要結合流量分析的方式，針對網際網路挖礦協議（Stratum，GetBlockTemplate，GetWork等）的流量特徵對“挖礦”流量進行檢測。此方式一般需要在企業的網際網路出口處部署網路探針，採用流量映象的方式，實現對“挖礦”流量的分析、檢測、阻斷、告警等。

綠盟綜合威脅探針UTS，整合了IDS、WAF、威脅情報、惡意檔案和WEBShell檢測能力。能快速精準的發現“挖礦”威脅，並進行研判和分析，最後利用自身的策略對“挖礦”流量進行封堵。

綠盟網路流量分析系統NTA，基於Flow或映象分光流量的技術，透過對網路中的流量資料進行採集和分析，同時對接威脅情報系統，能夠對“挖礦”網路流量進行實時監控。

綠盟智慧安全運營平臺ISOP，運用大資料技術對各類資料進行彙總、分析、研判，配合對“挖礦”行為的檢測、分析、處置和威脅溯源的閉環處置能力，能有效防範“挖礦”所帶來的危害與不良影響。

透過終端狀態監控“挖礦”

對於企業內部已經部署終端安全系統的客戶，也可以透過監控終端層面硬體資源佔用率、系統狀態、系統程式、應用程式等方式來監控“挖礦”。相對流量檢測的方式，終端狀態監控對“挖礦”的監測效果更優，能夠從根源上確保企業對“挖礦”行為的免疫，但在部署場景上也會相對複雜，需要在每個終端上部署相應的終端安全產品。

綠盟終端安全管理系統UES是集終端管控、終端防護、可信終端監測、終端EDR、視覺化為一體的下一代終端安全產品，同時也是以持續監測和及時響應為核心的終端安全聯動平臺。綠盟UES可有效檢測APT攻擊、勒索病毒、挖礦、僵木蠕、0day漏洞等威脅，並且提供多維度的及時響應措施，可全面保障企業終端安全。

“挖礦”事件的應急響應

大型組織機構內部網路環境複雜、流量眾多，單純部署安全裝置可能無法做到對“挖礦”行為的精確識別和及時處理。綠盟科技提供針對“挖礦”行為的應急響應服務，能夠在安全裝置產生告警後，對疑似的挖礦主機進行人工檢查分析，一旦判定主機被植入了挖礦程式，便會為主機進行全面的安全檢測，鎖定主機存在的安全問題，徹底清除挖礦程式並修復安全漏洞，避免主機被再次植入惡意程式。

綠盟科技秉持智慧安全3.0理念，長期致力於為使用者提供全面的安全解決方案，擁有專業的安全研究分析團隊以及安全知識庫、安全信譽庫。透過對典型客戶的調研和分析，與多年的產品研發經驗和技術積累，研製了全方位的安全解決方案，滿足使用者的個性化需求。