“挖礦木馬”橫行，企業如何避免當“礦工”？

隨著網際網路的快速發展，網路安全問題也越來越嚴峻。其中，惡意“挖礦”攻擊已經成為當前最為氾濫的網路威脅之一。

如果你的電腦執行速度突然變慢，CPU佔用率居高不下，電腦溫度過熱，系統崩潰或頻繁重新啟動，警惕！你的電腦可能中了“挖礦木馬”！

國家明令禁止“挖礦”活動

2021年9月，國家發改委等11部門聯合印發了《關於整治虛擬貨幣“挖礦”活動的通知》，明確加強虛擬貨幣“挖礦”活動上下游全產業鏈監管，嚴禁新增虛擬貨幣“挖礦”專案，加快存量專案有序退出，促進產業結構最佳化和助力碳達峰、碳中和目標如期實現。

2021年11月，國家發改委於11月10日下午組織召開了虛擬貨幣“挖礦”治理專題視訊會議。會議強調要對各地區虛擬貨幣“挖礦”活動進行清理整治，嚴查嚴處國有單位機房涉及的“挖礦”活動。

2021年11月，國家發改委11月16日舉行新聞釋出會，重點提及了虛擬貨幣“挖礦”治理，將以產業式集中式“挖礦”、國有單位涉及“挖礦”和比特幣“挖礦”為重點開展全面整治。對執行居民電價的單位，若發現參與虛擬貨幣“挖礦”活動，將研究對其加徵懲罰性電價，形成持續整治虛擬貨幣“挖礦”活動的高壓態勢。

“挖礦木馬”橫行！

近年來，隨著虛擬貨幣價格的一路攀升，利用計算機資源“挖礦”的行為逐漸盛行，挖礦木馬種類、數量等呈明顯增長的趨勢。

在巨大利益的驅使下，為了得到更多的算力資源，駭客往往對全網進行無差別掃描，同時利用多種爆破和漏洞等手段攻擊主機。在主機被成功入侵之後，挖礦木馬還會向內網滲透，並在被入侵的伺服器上持久駐留以獲取最大收益。

挖礦會佔用CPU或者GPU進行超頻計算，耗時也耗電。為了得到更多的算力資源，駭客團伙對全網主機計算資源進行爭奪，導致過去一年挖礦木馬增長趨勢明顯。據某雲服務廠商統計，在公有云攻擊事件中，以挖礦為目的的入侵行為佔比54.9%。

“傳統檢測方法”各有不足

傳統的挖礦木馬檢測識別方法，如靜態檢測、動態檢測、雲端計算資源檢測等，均存在各自的缺陷。

靜態檢測

最常用的是基於檔案hash的雲查殺，透過已收錄的木馬庫進行比對，判斷檔案是否屬於挖礦木馬；或利用字串等常量特徵，設計識別規則。靜態檢測方法計算複雜度相對較低，實現簡單，但漏報率非常高，很容易對抗。

動態檢測

主要檢測礦池連線產生的網路相關行為。動態檢測方法誤報率比較低，但是容易漏報，且動態檢測延遲比較高，缺乏實時性。

雲端計算資源檢測

檢測CPU和GPU的計算資源佔用，並不是專門用作挖礦木馬識別，產生告警之後，需要使用者自己確認告警是否正常。

多維度分析與定位挖礦行為

基於特定通訊協議及行為進行監測和定位：

礦機與礦池間一般會採用一些特定的通訊協議，如：Stratum、Getwork、Getblocktemplate等；

礦機與礦池間的通訊內容一般會帶有特殊的字元、行為特徵如：“method”、“params”、“mining”、“difficulty”、“blob”等和登記、任務下發、成果提交相關的特徵；

透過特徵和行為規則的方式，發現挖礦行為，定位礦機。

基於礦池的活躍情報資訊，反向定位和監測中招礦機：

通常情況下，伺服器型別的裝置不會主動對礦池地址發起請求，除非該伺服器正在進行挖礦行為；

基於此特性，透過採集流量中的DNS請求和IP地址，並與虛擬幣礦池情報庫進行對比，可以確認存在的挖礦行為。

基於礦池——礦機不同階段的通訊行為進行動態檢測：

通訊行為分析主要是針對礦池——礦機之間的不同行為進行分析，在不同階段對通訊包進行動態檢測。

其中，DNS是重要的“挖礦”傳播渠道，DNS的廣泛運用為“挖礦”攻擊者提供了一個極其具有吸引力的威脅傳播渠道，攻擊者使用一些惡意“挖礦”域名或者DNS協議本身進行惡意“挖礦”軟體投放、命令和控制(C2)等。

對此，中新賽克推出“DNS安全託管”方案，透過檢測、響應、預防三步驟，不僅能夠檢測和防禦包括挖礦、勒索軟體、殭屍網路等多種威脅，更重要的是，透過星河DNS安全閘道器可以實現對告警IP的精準定位，對非法域名訪問進行阻斷。

檢測

透過星河DNS安全閘道器以及企業安全管理中心對DNS流量進行檢測，實時發現主機異常外聯行為，結合情報分析威脅行為。

響應

企業內一旦有對應的惡意軟體執行，星河DNS安全閘道器將會阻斷這些惡意軟體與遠控端的通訊，有效降低惡意軟體的風險，包括阻止惡意軟體進一步執行、阻止下載其他惡意模組如內網滲透模組、挖礦模組等。

預防

透過安全產品+雲端安全運營服務的方式，有效預防挖礦、殭屍網路等木馬病毒。

掃描二維碼，升級公司網路安全防護能力