[[220265]]

比特幣和其他加密貨幣越來(lái)越受歡迎，引發(fā)了安全專(zhuān)家的好奇和擔(dān)憂。人們發(fā)現(xiàn)越來(lái)越多的挖礦病毒，這些病毒通常通過(guò)僵尸網(wǎng)絡(luò)安裝。作為公司，有必要知道這其中的風(fēng)險(xiǎn)和如何防范。

我們聯(lián)系了Cato Networks的安全研究人員。 Cato提供了一個(gè)基于云的SD-WAN，包括FireWall即服務(wù)（FWaaS）。其研究團(tuán)隊(duì)Cato Research Labs負(fù)責(zé)維護(hù)該公司的Cloud IPS，并且最近發(fā)布了一個(gè)挖掘池地址列表，您可以把它們添加到防火墻黑名單。

Cato研究實(shí)驗(yàn)室認(rèn)為，挖礦病毒對(duì)公司組織來(lái)說(shuō)是中等威脅。但不太可能導(dǎo)致基礎(chǔ)設(shè)施直接中斷或敏感數(shù)據(jù)丟失。

但可能會(huì)導(dǎo)致設(shè)備成本增加。

理解區(qū)塊鏈

挖礦是驗(yàn)證加密貨幣交易并將加密塊添加到區(qū)塊鏈的過(guò)程。礦工們?cè)诮鉀Qhash后能建立一個(gè)有效的區(qū)塊。挖掘的塊越多，獲得的區(qū)塊就越多。

如今挖礦過(guò)程可能需要幾年的時(shí)間。為了解決這個(gè)問(wèn)題，礦工們使用定制的硬件來(lái)加速挖掘過(guò)程，并形成“采礦池”，計(jì)算機(jī)集合在一起計(jì)算哈希。

貢獻(xiàn)給采礦池的計(jì)算資源越多，挖掘出新區(qū)塊的幾率就越大，獲得的獎(jiǎng)勵(lì)越多。正因如此，很多礦工開(kāi)始使用企業(yè)網(wǎng)絡(luò)或者云。

參與采礦池需要電腦運(yùn)行原生或基于JavaScript的采礦軟件（見(jiàn)圖1）。兩者都將使用Stratum協(xié)議，使用TCP或HTTP / S（HTTP / S上的WebSockets）在挖掘池中的計(jì)算機(jī)之間分配計(jì)算任務(wù)。

圖1：運(yùn)行基于JavaScript的挖掘軟件的網(wǎng)站。通常網(wǎng)站不會(huì)要求許可。

本地挖掘軟件通常使用持久的TCP連接，通過(guò)TCP運(yùn)行Stratum;基于JavaScript的軟件通常依賴于時(shí)間較短的連接，并通過(guò)HTTP / S運(yùn)行Stratum。

挖礦對(duì)企業(yè)的影響

長(zhǎng)時(shí)間運(yùn)行“高負(fù)載”的CPU會(huì)增加電力成本，也可能縮短筆記本電腦中的處理器或電池的壽命。

另外，有些挖礦軟件通過(guò)僵尸網(wǎng)絡(luò)傳播，因此出現(xiàn)挖礦病毒就表明計(jì)算機(jī)可能已經(jīng)被入侵。

如何防止加密挖掘

Cato Research Labs建議在公司的網(wǎng)絡(luò)上阻止加密挖掘?？梢酝ㄟ^(guò)破壞與采礦池的加入來(lái)達(dá)成目的。

許多防火墻中的深度包檢測(cè)（DPI）引擎可以用來(lái)檢測(cè)和阻止Stratum over TCP?；蛘撸梢云帘喂_(kāi)礦池的地址和域名。

方法1：用DPI阻止未加密的階層會(huì)話

DPI引擎可以通過(guò)阻止TCP上的Stratum來(lái)破壞區(qū)塊鏈通信。 Stratum使用發(fā)布/訂閱體系結(jié)構(gòu)，其中服務(wù)器將消息（發(fā)布）發(fā)送給訂閱的客戶機(jī)。阻止訂閱或發(fā)布過(guò)程將阻止Stratum在網(wǎng)絡(luò)上運(yùn)行。

我們可以用JSON配置DPI規(guī)則。層有效負(fù)載是簡(jiǎn)單的，可讀的JSON-RPC消息（見(jiàn)圖2）。

Stratum通過(guò)JSON-RPC使用請(qǐng)求/響應(yīng)：

圖2：JSON-RPC批處理調(diào)用的細(xì)節(jié)（參考： http://www.jsonrpc.org/specification ）

加入池的訂閱請(qǐng)求將具有以下實(shí)體：id，method和params（參見(jiàn)圖3）。配置DPI規(guī)則查找這些參數(shù)，阻止未加密TCP上的Stratum。

{“id”：1，“method”：“mining.subscribe”，“params”：[]}

加入池時(shí)，在訂閱請(qǐng)求消息中使用三個(gè)參數(shù)。

方法2：屏蔽公開(kāi)挖掘池地址

但是，一些采礦池創(chuàng)建安全的通道。對(duì)于經(jīng)常通過(guò)HTTPS運(yùn)行Stratum的基于JavaScript的應(yīng)用程序尤其如此。

在這種情況下，檢測(cè)分層對(duì)于不能大規(guī)模解密TLS流量的DPI引擎非常困難。（根據(jù)記錄，Cato IPS可以大規(guī)模解密TLS會(huì)話）。因此公司企業(yè)應(yīng)該屏蔽公共區(qū)塊鏈池的IP地址和域名。

要確定要阻止的IP地址，需要查看加入挖掘池所需的配置信息。采礦軟件要求礦工填寫(xiě)以下細(xì)節(jié)：

適當(dāng)?shù)某氐刂罚ㄓ蚧騃P）

一個(gè)錢(qián)包地址來(lái)接收股權(quán)

加入池的密碼

配置信息通常通過(guò)JSON或通過(guò)命令行參數(shù)傳遞（參見(jiàn)圖3）。

圖3：提供必要的礦工池配置的JSON文件

組織可以配置防火墻規(guī)則以使用黑名單并阻止相關(guān)地址。理論上，這樣的清單應(yīng)該是容易創(chuàng)建的，因?yàn)楸匾男畔⑹枪_(kāi)的。大多數(shù)采礦池通過(guò)互聯(lián)網(wǎng)發(fā)布其詳細(xì)信息，以吸引礦工到他們的網(wǎng)絡(luò)（見(jiàn)圖4）。

圖4：mineXMR.com的“入門(mén)”頁(yè)面演示了挖掘池的公開(kāi)地址

盡管進(jìn)行了廣泛的研究，但卡托研究實(shí)驗(yàn)室找不到可靠的采礦池地址。沒(méi)有這樣的清單，收集目標(biāo)挖掘池地址阻塞將是非常耗時(shí)的。

IT專(zhuān)業(yè)人員將被迫手動(dòng)輸入公共地址，這可能會(huì)改變或增加，需要不斷的維護(hù)和更新。

Cato Research Labs發(fā)布挖掘池地址列表

為了解決這個(gè)問(wèn)題，Cato研究實(shí)驗(yàn)室生成了自己的采礦池地址清單，供社區(qū)使用。使用谷歌識(shí)別網(wǎng)站，Cato研究人員能夠提取許多礦池的池地址。

圖5：由Cato Research Labs編譯的挖掘池地址的部分列表

卡托研究人員寫(xiě)了一些代碼，利用這些結(jié)果來(lái)開(kāi)發(fā)一個(gè)采礦池地址。如今這個(gè)列表標(biāo)識(shí)了數(shù)百個(gè)池地址（見(jiàn)圖5），并且應(yīng)該適用于大多數(shù)DPI規(guī)則引擎?？吹竭@里的完整列表。

最后的思考

如果在網(wǎng)絡(luò)上發(fā)現(xiàn)挖礦病毒，Cato研究實(shí)驗(yàn)室強(qiáng)烈建議調(diào)查惡意軟件感染并清理主機(jī)，降低風(fēng)險(xiǎn)。

卡托研究實(shí)驗(yàn)室提供了一個(gè)地址清單，阻止訪問(wèn)公共區(qū)塊鏈池。但總是會(huì)有新的池或地址，這就是為什么Cato研究實(shí)驗(yàn)室強(qiáng)烈建議使用DPI引擎構(gòu)建規(guī)則。