助力 “雙碳”戰(zhàn)略目標(biāo)，針對政企用戶對挖礦行為預(yù)警難、定位難、防控難等特點(diǎn)，亞信安全“挖礦”治理解決方案正式發(fā)布。該方案以亞信安全XDR解決方案為基礎(chǔ)，提供了挖礦失陷治理能力，通過針對黑產(chǎn)挖礦攻擊鏈提供了全面覆蓋“云管端關(guān)”的一體化防護(hù)技術(shù)，為貫徹落實虛擬貨幣“挖礦”整治工作提供了全面支撐。

“淘金客”背藏威脅
中國重拳出擊

比特幣2009初次發(fā)行價格約為0.00076美元，2021年10月20日，比特幣達(dá)到66,943.60美元，11月10日達(dá)到6.9萬美元，創(chuàng)下新高，投資收益巨大。隨著比特幣出現(xiàn)之后，市面涌現(xiàn)大量的加密貨幣，形成“幣圈”。根據(jù)Coincost.net的統(tǒng)計，截止2021年12月6日，全球加密貨幣共有11,197種，加密貨幣交易網(wǎng)站521個，主流加密貨幣百億起步，“挖礦”利益誘惑巨大。

圖：比特幣價格逐年增高

在巨大的利益驅(qū)使下，“挖礦”黑產(chǎn)在2018年逐步形成，近年來發(fā)展迅速，危害也越發(fā)嚴(yán)重。首先，“挖礦”造成了電力資源的大量消耗，極不利于實現(xiàn)國家的碳達(dá)峰、碳中和目標(biāo)。其次，“挖礦”黑產(chǎn)非法占用系統(tǒng)資源、網(wǎng)絡(luò)資源，影響辦公效率和業(yè)務(wù)的正常開展，增加了網(wǎng)絡(luò)攻擊風(fēng)險。此外，大量圍繞“挖礦”的木馬病毒開始盛行，目前全球共2700萬的挖礦木馬，且每周按照2萬個增長。從亞信安全威脅情報團(tuán)隊收集到的樣本數(shù)據(jù)分析來看，截止到2021年年底一共獲取到的各個家族樣本總數(shù)為12,477,248個，有些木馬不但“挖礦”，還會造成機(jī)密數(shù)據(jù)泄露等嚴(yán)重的網(wǎng)絡(luò)安全事件。

為此，自2021年9月，國家發(fā)展改革委等10部門聯(lián)合發(fā)布通知，要求全面整治虛擬貨幣“挖礦”活動以來，能源、金融、制造、教育、運(yùn)營商等多個行業(yè)，以及各個省市的“挖礦”整治行動都已經(jīng)全面展開。

面對狡猾的“淘金客”
用戶應(yīng)當(dāng)如何應(yīng)對

有組織、有分工的“挖礦”團(tuán)體在各路絞殺之下，已經(jīng)變得更加狡猾：

圖：“挖礦”治理需要根除“礦源”

手段一

國內(nèi)大量公共礦池IP被封堵，礦工群有專人定時發(fā)布臨時IP和端口，用于接入礦池；

手段二

礦工使用專業(yè)的挖礦代理，一鍵搭建礦池和多幣種的中轉(zhuǎn)節(jié)點(diǎn)，并在對流量加密的同時，采用加密混淆協(xié)議，企圖“欺騙”檢測；

手段三

挖礦木馬軟件含有控制自身所占資源（包括GPU和CPU）的功能，只在主機(jī)資源豐富時段開啟挖礦進(jìn)程，實現(xiàn)“隱身”。

亞信安全通過近年對大量挖礦木馬的樣本分析發(fā)現(xiàn)，病毒已經(jīng)獲得全面進(jìn)化，專業(yè)化攻擊團(tuán)隊的網(wǎng)絡(luò)武器級，成為其最大的威脅之一。因此，必須要全面掌握“淘金客”攻擊路線，才能建立對應(yīng)的防御點(diǎn)。

圖：挖礦病毒攻擊殺傷鏈

挖礦病毒攻擊殺傷鏈包括：弱點(diǎn)搜索、攻擊武器構(gòu)建、挖礦腳本及木馬投遞、漏洞利用、挖礦木馬安裝，黑產(chǎn)遠(yuǎn)程控制和挖礦獲利七個步驟。因此，就應(yīng)采用相對應(yīng)的技術(shù)建立防護(hù)點(diǎn)，例如：資產(chǎn)風(fēng)險梳理、威脅情報、補(bǔ)丁管理、病毒防護(hù)、行文檢測，尤其是對“挖礦失陷”的治理。

圖：礦失陷治理的步驟和技術(shù)點(diǎn)

“失陷”治理是整體方案中的關(guān)鍵環(huán)節(jié)。首先，“挖礦”涉及礦機(jī)生產(chǎn)、能耗雙控、數(shù)據(jù)監(jiān)測、金融監(jiān)管等多個部門和領(lǐng)域，治理中可能“失控”；其次，有些網(wǎng)絡(luò)檢測設(shè)備雖然能夠暫時阻止挖礦行為，但修改連接方式后繞過檢測仍可繼續(xù)挖礦，尤其是一些體量小、隱匿強(qiáng)的監(jiān)管盲區(qū)，“失陷”在所難免。

前有XDR守護(hù)
后有“挖礦失陷”專治方案

在整體方案中，針對黑產(chǎn)挖礦攻擊鏈防護(hù)技術(shù)點(diǎn)，亞信安全提供了完備的黑產(chǎn)挖礦防護(hù)技術(shù)與配套設(shè)備，例如：

云

信艙云主機(jī)安全

管

信桅高級威脅檢測系統(tǒng)

端

信楯終端一體化防護(hù)體系

關(guān)

信舷防毒墻系統(tǒng)

圖：亞信安全XDR方案，更有效的防御黑產(chǎn)挖礦

在防御方面，亞信安全的XDR方案可以更有效的抵御挖礦木馬攻擊。亞信安全XDR是以設(shè)備聯(lián)動威脅情報為核心，依據(jù)標(biāo)準(zhǔn)化運(yùn)營流程，通過運(yùn)營組件對資產(chǎn)的漏洞、威脅、APT攻擊進(jìn)行監(jiān)控，從而構(gòu)建防御、檢測、分析、響應(yīng)的安全運(yùn)營閉環(huán)，不僅可以幫助用戶更早的發(fā)現(xiàn)挖礦木馬威脅、定位高危資產(chǎn)，并且通過根因和范圍分析，確定是否被攻擊，攻擊受損程度，以及攻擊是怎么發(fā)生。

圖：亞信安全挖礦失陷治理

針對“挖礦失陷”的治理，方案采用了“持續(xù)清零、無死角，自由組合、全聯(lián)動”方式，形成了“管理+技術(shù)”的運(yùn)管平臺：

• 在管理上，從發(fā)現(xiàn)到根治，覆蓋了失陷治理全生命周期，通過持續(xù)治理、持續(xù)安全加固，持續(xù)減少挖礦入侵的暴露面，確保從網(wǎng)絡(luò)、終端到主機(jī)的立體覆蓋；

• 在技術(shù)上，依據(jù)客戶實際環(huán)境，網(wǎng)路、主機(jī)、終端自由組合，形成符合客戶需求的各種方案，并且實現(xiàn)了網(wǎng)絡(luò)、主機(jī)、終端的全聯(lián)動處置，全面提升治理效率。

圖：亞信安全信池威脅感知運(yùn)維中心(UAP)提供的挖礦行為情報

在安全運(yùn)維工作中，用戶可發(fā)揮亞信安全信池威脅感知運(yùn)維中心(UAP)的聯(lián)動機(jī)制，將信桅深度威脅發(fā)現(xiàn)設(shè)備(TDA)、信艙云主機(jī)安全(DeepSecurity)、信端病毒防護(hù)(O?ceScan)、信端端點(diǎn)安全管理系統(tǒng)(ESM)、信端終端檢測與響應(yīng)系統(tǒng)(EDR)、 網(wǎng)絡(luò)檢測與響應(yīng)(TDA)、信舷防毒墻系統(tǒng)(AISEDGE)的協(xié)同工作，從而形成“感知識別、調(diào)查評估、遏制阻斷、治愈加固”的全覆蓋，讓挖礦行為無處遁形。

挖礦治理“進(jìn)行時”

目前，我國全面梳理、核查虛擬貨幣“挖礦”行為的整治工作已經(jīng)全面啟動。例如：6月13日，上海市政府官網(wǎng)就發(fā)布了《上海市經(jīng)濟(jì)信息化委、市發(fā)展改革委關(guān)于簽署“不參與虛擬貨幣‘挖礦’行為信用承諾書”的通知》，對不履行承諾的數(shù)據(jù)中心運(yùn)營企業(yè)將依法采取差別電價、信用懲戒等措施。

亞信安全將全力配合相關(guān)單位開展虛擬貨幣“挖礦”活動整治，助力企事業(yè)單位梳理網(wǎng)絡(luò)資產(chǎn)、排查“挖礦”病毒風(fēng)險，為下一步的整改工作提供可靠的技術(shù)支撐、數(shù)據(jù)來源和決策依據(jù)。