為有效防范及處置虛擬貨幣挖礦活動(dòng)盲目無(wú)序發(fā)展帶來(lái)的風(fēng)險(xiǎn)隱患，助力實(shí)現(xiàn)碳達(dá)峰、碳中和目標(biāo)，近日，國(guó)家發(fā)改委舉行新聞發(fā)布會(huì)，重點(diǎn)提及虛擬貨幣挖礦的全鏈條治理工作。這幾天，各省級(jí)、市級(jí)、區(qū)縣級(jí)政府和相關(guān)行業(yè)紛紛響應(yīng)，通報(bào)了多家單位，要求相關(guān)單位及行業(yè)針對(duì)挖礦行為進(jìn)行清理整頓。

01

整治高壓下，仍有惡意黑客頂風(fēng)作案

國(guó)家對(duì)虛擬貨幣的管控愈發(fā)嚴(yán)格，打擊此類挖礦活動(dòng)也將成為近期整治的重點(diǎn)。

挖礦行為不僅僅會(huì)導(dǎo)致組織的電腦卡頓、CPU飚滿、運(yùn)維成本暴漲，一些挖礦的主機(jī)還可能會(huì)被植入病毒，導(dǎo)致組織重要數(shù)據(jù)泄露，或者黑客利用已經(jīng)控制的機(jī)器，作為繼續(xù)對(duì)內(nèi)網(wǎng)滲透或攻擊其他目標(biāo)的跳板，導(dǎo)致更嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件等。

擒賊先擒王，早在今年7月，深信服安全團(tuán)隊(duì)已經(jīng)成功捕獲到一款主流的挖礦病毒樣本，并對(duì)其工作原理進(jìn)行了揭秘。詳細(xì)內(nèi)容可點(diǎn)擊查看：《支持雙系統(tǒng)挖礦，警惕新型AutoUpdate挖礦病毒入侵》

AutoUpdate挖礦病毒工作原理

1、通過(guò)釣魚郵件、惡意站點(diǎn)、軟件捆綁下載等方式誘導(dǎo)用戶點(diǎn)擊其惡意腳本程序。

2、在用戶點(diǎn)擊啟動(dòng)惡意腳本loader.sh后，該腳本將清除安全軟件，下載啟動(dòng)程序（kworker）。

3、Kworker程序檢查并更新各功能組件，以及啟動(dòng)挖礦程序dbus、攻擊程序autoUpdate、隱藏腳本hideproc.sh、攻擊腳本sshkey.sh。

4、autoUpdate程序掃描并攻擊所在網(wǎng)段的Struts2、Shiro、Mssql、Postgres、Redis、Dubbo、Smb和SSH等組件、服務(wù)或協(xié)議漏洞，以及國(guó)內(nèi)用戶常用的泛微OA、致遠(yuǎn)OA、通達(dá)OA、phpcms、discuz等服務(wù)，并利用相關(guān)漏洞寫入計(jì)劃任務(wù)并執(zhí)行。

5、通過(guò)hideproc.sh腳本隱藏進(jìn)程，防止被用戶發(fā)現(xiàn)。

6、通過(guò)sshkey.sh腳本嘗試從bash_history、etc/hosts、ssh/kownhost及進(jìn)程已有連接中提取該終端連接過(guò)的終端，如果可以成功連接則下載并啟動(dòng)腳本loader.sh，達(dá)到傳播目的。

7、挖礦程序dbus在受害者的設(shè)備上悄悄運(yùn)行以便挖掘加密貨幣，同時(shí)將中毒設(shè)備上連接到一個(gè)礦池，為欺詐者獲取未經(jīng)授權(quán)的“免費(fèi)”計(jì)算能力，欺詐者直接將“免費(fèi)算力”掙來(lái)的加密貨幣放入自己的錢包。

即便在整治高壓下，仍有惡意黑客頂風(fēng)作案。近期，深信服安全團(tuán)隊(duì)在為某高校進(jìn)行檢測(cè)排查過(guò)程中，通過(guò)安全態(tài)勢(shì)感知設(shè)備上的告警日志，精準(zhǔn)檢測(cè)到內(nèi)網(wǎng)存在30臺(tái)主機(jī)訪問(wèn)挖礦惡意域名的情況。最終在終端檢測(cè)響應(yīng)平臺(tái)EDR應(yīng)急響應(yīng)專家的縝密排查下，成功定位到黑客，人贓俱獲。

02

快速響應(yīng)、輕量部署，全面圍剿挖礦病毒

當(dāng)前形勢(shì)下，全面圍剿挖礦病毒勢(shì)不可擋，但如何快速檢測(cè)處置成為各組織的燃眉之急。

基于長(zhǎng)期對(duì)挖礦病毒的深入研究與多個(gè)案例實(shí)踐，深信服推出『快速響應(yīng)、輕量部署』的挖礦病毒專項(xiàng)檢測(cè)處置，為用戶提供兩種有效檢測(cè)挖礦行為的方式，并以“工具+服務(wù)”的方式實(shí)現(xiàn)精準(zhǔn)處置。

如何有效檢測(cè)挖礦行為？

• 下一代防火墻AF結(jié)合AI+規(guī)則庫(kù)快速識(shí)別隱患

（1） 針對(duì)辦公網(wǎng)或者生產(chǎn)網(wǎng)中存在的挖礦安全隱患

在互聯(lián)網(wǎng)邊界側(cè)以旁路或串聯(lián)的方式部署深信服下一代防火墻AF，通過(guò)AF本地具備的130萬(wàn)僵尸網(wǎng)絡(luò)特征庫(kù)，結(jié)合深信服云端威脅情報(bào)，以惡意URL和C&C IP地址對(duì)比的方式來(lái)監(jiān)測(cè)失陷主機(jī)的非法外聯(lián)行為。

（2）對(duì)于無(wú)法識(shí)別潛在的挖礦外聯(lián)行為

通過(guò)深信服下一代防火墻AF云端NTA檢測(cè)引擎，結(jié)合AI技術(shù)與規(guī)則的閉環(huán)迭代技術(shù)，不僅能檢測(cè)出不可讀的隨機(jī)字符構(gòu)成的域名，還能檢測(cè)出使用單詞拼接方式仿造正常域名的惡意域名，快速識(shí)別異常外聯(lián)流量，定位組織網(wǎng)絡(luò)中的挖礦主機(jī)。

• 安全感知管理平臺(tái)SIP內(nèi)置挖礦專項(xiàng)檢測(cè)模塊

用戶還可以選擇通過(guò)鏡像交換機(jī)流量到深信服流量探針，并傳輸至SIP平臺(tái)進(jìn)行分析。

深信服安全感知管理平臺(tái)SIP內(nèi)置了“挖礦專項(xiàng)檢測(cè)”模塊，通過(guò)「挖礦階段圖」、「受害資產(chǎn)」、「受害資產(chǎn)攻擊數(shù)Top5」3個(gè)維度，將挖礦影響展現(xiàn)出來(lái)，用戶可以清晰定位資產(chǎn)的受影響情況（受影響的資產(chǎn)數(shù)量、類別、所處階段、攻擊程度等）。

對(duì)于加密挖礦的場(chǎng)景，通過(guò)UEBA算法模型，發(fā)現(xiàn)用戶、機(jī)器和其他實(shí)體在用戶網(wǎng)絡(luò)上的異常和危險(xiǎn)行為，并確定此行為是否具有安全隱患，從而定位網(wǎng)絡(luò)中的挖礦行為，幫助用戶實(shí)現(xiàn)簡(jiǎn)單有效運(yùn)營(yíng)。

此外，還可以將AF和SIP接入深信服安全運(yùn)營(yíng)中心，安全專家可以進(jìn)一步對(duì)檢測(cè)到的異常外連行為進(jìn)行多元分析，利用云端大數(shù)據(jù)分析平臺(tái)和威脅狩獵平臺(tái)，精準(zhǔn)定位挖礦主機(jī)，同時(shí)為用戶提供7*24小時(shí)挖礦行為持續(xù)監(jiān)測(cè)服務(wù)。

檢測(cè)到挖礦行為后，如何精準(zhǔn)閉環(huán)處置？

• 終端檢測(cè)響應(yīng)平臺(tái)EDR+挖礦處置專項(xiàng)安全服務(wù)

一旦在用戶網(wǎng)絡(luò)中發(fā)現(xiàn)挖礦病毒，深信服建議用戶在網(wǎng)絡(luò)中部署終端檢測(cè)響應(yīng)平臺(tái)EDR，通過(guò)結(jié)合深信服挖礦處置專項(xiàng)安全服務(wù)，以“工具+服務(wù)”的方式實(shí)現(xiàn)全網(wǎng)挖礦病毒處置工作。

挖礦病毒的處置主要包括Linux系統(tǒng)與Windows系統(tǒng)的處置：

（1） Linux系統(tǒng)挖礦病毒的處置

通過(guò)定時(shí)任務(wù)/服務(wù)的清除、特定文件的刪除、文件中特定內(nèi)容的刪除、目錄的刪除、指定文件的恢復(fù)、病毒進(jìn)程文件處置、病毒文件刪除等處置動(dòng)作，徹底清除用戶網(wǎng)絡(luò)中的挖礦病毒。

（2） Windows系統(tǒng)挖礦病毒的處置

通過(guò)進(jìn)程內(nèi)存處置、自啟動(dòng)目錄文件刪除、自啟動(dòng)配件文件的清除/修改，注冊(cè)表項(xiàng)的清除/修改，計(jì)劃任務(wù)刪除、賬號(hào)刪除、WMI自啟動(dòng)刪除、文件的刪除和恢復(fù)等處置動(dòng)作，徹底清除用戶網(wǎng)絡(luò)中的挖礦病毒。

在挖礦病毒處置過(guò)程中，深信服安全專家通過(guò)對(duì)AF、SIP、EDR安全日志和流量的關(guān)聯(lián)分析，可以幫助用戶實(shí)現(xiàn)“邊界-網(wǎng)絡(luò)-終端”的整體聯(lián)動(dòng)，深度溯源找到挖礦入侵源頭，清除病毒的同時(shí)協(xié)助用戶完成安全加固。

03

“檢測(cè)-處置-預(yù)防”，構(gòu)建立體化防護(hù)解決方案

值得注意的是，檢測(cè)和處置只是應(yīng)對(duì)挖礦病毒的應(yīng)急手段。面對(duì)日益嚴(yán)峻的挖礦病毒威脅，深信服建議，用戶應(yīng)從預(yù)防思路出發(fā)，建設(shè)立體化的挖礦病毒防護(hù)解決方案，從源頭杜絕挖礦病毒進(jìn)入組織內(nèi)部。

對(duì)于挖礦病毒的預(yù)防，深信服建議從邊界側(cè)、網(wǎng)絡(luò)側(cè)、終端側(cè)三個(gè)方面建設(shè)立體化的防護(hù)體系。

通過(guò)在互聯(lián)網(wǎng)邊界側(cè)部署深信服AF，鏡像核心交換機(jī)流量到深信服SIP，同時(shí)安裝深信服EDR在終端側(cè)快速響應(yīng)處置，結(jié)合深信服挖礦專項(xiàng)安全服務(wù)，構(gòu)建集“檢測(cè)-處置-預(yù)防”于一體的7*24小時(shí)挖礦病毒防護(hù)解決方案。

1. 化被動(dòng)為主動(dòng)，從源頭避免損失

有效檢測(cè)識(shí)別挖礦行為，避免挖礦病毒和程序長(zhǎng)期潛伏；

2. 網(wǎng)端安全協(xié)同，精準(zhǔn)閉環(huán)處置

快速處置感染主機(jī)、深度溯源，防止同類挖礦病毒復(fù)發(fā)；

3. 7*24小監(jiān)測(cè)預(yù)警，貼心保障

加強(qiáng)安全防護(hù)措施，提供7*24小監(jiān)測(cè)預(yù)警機(jī)制，有效預(yù)防挖礦病毒入侵。

快來(lái)掃碼體驗(yàn)

深信服挖礦病毒防護(hù)解決方案