张继梅 蔡磊

摘   要:近年来,虚拟货币变得越发炙手可热,吸引了大量的投资资金参与比特币的相关交易。同时,也催生了虚拟货币挖矿产业,各路庞大的资金纷纷投入到虚拟货币的挖矿活动中。尤其是政企内部人员利用办公资源和企业电力进行挖矿,或利用自身管理的服务器和其他网络设备,通过部署矿机的方式进行挖矿,治理这种假公济私和网络安全管理不到位的行为刻不容缓。挖矿活动的治理需要从检测—阻断—定位处置—预防出发,制定立体化的防护治理方案。

关键词:虚拟货币;“挖矿”活动;危害;治理难点;治理对策

中图分类号:F831.7       文献标志码:A      文章编号:1673-291X(2023)19-0156-03

近年来虚拟货币越发炙手可热,特别是以比特币为首的虚拟货币的币值一度突破60 000美元大关,吸引了大量的投资参与比特币的相关交易。同时也催生了虚拟货币挖矿产业,各路庞大的资金纷纷投入到虚拟货币的挖矿活动。

2021年9月24日,央行公布了《关于进一步防范和处置虚拟货币交易炒作风险的通知》明确虚拟货币兑换等均属非法金融活动。2021年9月24日,国家发改委、中央网信办等11部门发布《关于整治虚拟货币“挖矿”活动的通知》,强调要全面梳理排查虚拟货币“挖矿”项目,严禁新增项目投资建设,加快存量项目有序退出。2021年11月10日下午,国家发改委 “挖矿”治理专题视频会议中强调,严查严处国有单位机房涉及的“挖矿”活动。

一、虚拟货币“挖矿”活动的概念

所谓挖矿活动是指通过大量计算机、服务器的算力来运算一个哈希值的过程,谁能第一个计算出来,并通知全网得到验证,谁就算挖到了这个区块,从而获取虚拟货币的行为。掌握的算力越多能挖到的区块越快越多。其中的“矿”就是指比特币一类的以区块链技术为基础虚拟货币;“挖矿”则是指在区块链的“区块链网络”上挖比特币等虚拟货币的行为;“矿机”是指运行挖矿程序的计算机、服务器的设备。

常见的虚拟货币有“比特币”“狗币”“莱特币”“KDA币”“以太币”以及“门罗币”等。

二、虚拟货币“挖矿”行为的主要来源

一是政企内部人员自主挖矿。政企内部人员利用办公资源和企业电力进行挖矿,或利用自身管理的服务器和其他网络设备,通过部署矿机的方式进行挖矿,是最典型的假公济私。二是网站页面存在挖矿脚本。在网页中插入一段用于挖矿的JS代码,用户浏览时即可在主机挖矿,在加密货币具备价值的前提下,这种变现模式比流量和广告变现要容易得多。在利益驱动下,很多网站甚至广告平台被曝光网页植入挖矿脚本。三是终端感染挖矿木马。攻击者利用密码爆破、垃圾邮件、挂马网页、僵尸蠕虫、软件捆绑等手段,控制大量终端并植入挖矿程序。四是服务器被植入挖矿程序。服务器安全管理不到位或软件补丁更新不及时,则可能由于口令、应用程序漏洞等原因,被攻击者成功入侵,植入恶意挖矿代码。

三、虚拟货币“挖矿”活动的危害

挖矿活动会增加额外运行成本,挖矿行为会导致组织的电脑卡顿、CPU飈满、功耗增加,成本暴涨。挖矿主机会被植入病毒,导致组织重要数据泄露,成为继续对内网渗透或攻击其他目标的跳板,导致更严重的网络安全攻击事件等。

四、“挖矿”活动治理的难点

一是防火墙形同虚设。防火墙开启防病毒后性能大幅下降,无法满足防护要求,对内部人员挖矿行为无法及时发现,依然会被监管单位发现并通报。二是告警溯源困难。用户网络多为DHCP环境,需要运维人员查询多个日志才能进行溯源,面对数量众多的终端,运维人员难以溯源。三是难防病毒横向扩散。挖矿木马的防治除了避免外来的传染源,内部传播也要及时切断,才能将危害降到最低,只通过出口拦截的方式无法彻底治理病毒。四是挖矿木马种类繁多。多数病毒在入侵终端后会破坏并结束终端的安全防护软件,具备一定的查杀对抗能力,且能够隐藏自身进行扫描攻击和挖矿,常规终端安全软件难以清除。

五、虚拟货币“挖矿”活动治理对策

(一)配备挖矿活动治理需要的硬件与软件设备

一是防火墙。南北向发现挖矿活动及挖矿木马流量(IPS/AV)特征、威胁情报(TI)进行南北向阻断。二是高级持续性威胁预警系统。单位内潜在的矿机和外部矿池间的通信流量及协议进行深度解析和分析,发现矿机及其连接的矿池间的通信行为并告警,联动防火墙阻断挖矿链接。三是身份认证系统。联动防火墙、高级持续性威胁预警系统告警\IP\时间等信息与帐号匹配精确识别用户定位及溯源。四是三层交换机。高级持续性威胁预警系统联动阻断内网东西流量避免挖矿病毒在内部网络横向传播。五是终端安全系统。及时查杀挖矿木马及禁止挖矿程序,同时可实时监控企业终端的系统资源占用率,状态、系统进程、应用程序等信息,分析可疑的挖矿行为,并提供多维度的及时响应措施,全面保障企业免疫挖矿活动及挖矿病毒入侵。

(二)明确挖矿活动的治理思路

挖矿活动的治理需要从检测—阻断—定位处置—预防出发,构建立体化的防护治理方案。化被动为主动,从源头避免损失,有效检测识别挖矿行为,避免挖矿行业和挖矿木马病毒和程序长期潜伏;通过检测、阻断、定位处置、预防立体防护手段,实现网端安全协同闭环,精准快速处置内部挖矿主机以及病毒感染主机、深度溯源,防止内部人员挖矿以及挖矿病毒感染传播以及复发。一是检测识别。监测特定通信协议及行为定位挖矿主机,基于矿池的活跃情报信息、反向定位和监测中招矿机,监测矿机木马的活跃行为深度发现矿机,发现矿机监测通过挖矿木马文件程序进行的入侵行为。二是阻断拦截。利用云安全威胁情报与防火墙联动将挖矿DNS域名一网打尽并阻断相关挖矿通信流量,通过与交换机联动收集交换机sflow采样,实现全网东西向挖矿流量的识别阻断,阻断挖矿木马内部的横向病毒复制。三是定位处置。认证系统联动与防火墙等安全设备中的告警、IP、时间信息在系统中进行匹配,可以轻松得出包括使用人员账号、时间和具体告警信息的完整的精确定位和溯源。通过精确定位后利用部署一体化终端安全管理系统及时查杀挖矿木马及禁止挖矿程序。四是预防保护。安全运维人员及时修复远程利用监测时,对于在线和系统业务需要采用正确的安全配置策略,加强企业机构人员的安全意识,避免企业人员访问带有恶意挖矿程序的文件、网站;制定相关安全条款及内部管理规范,杜绝内部人员的主动挖矿行为。

(三)检测

通过安全流量设备自动化的检测及分析,对内部网络层的流量进行分析,帮助用户及时发现网络中是否存在挖矿行为。

挖矿活动检测识别:一是监测特定通信协议及行为定位挖矿主机。挖矿木马感染主机和矿池通信一般采用stratum、GetWork、GetBlockTemplate等通信协议,通信内容一般会带有特殊的字符特征及行为特征,如“method”“params”“mining”“difficulty”“blob”“nonce”等和登记、任务下发,成果提交相关的特征,通过特征和行为规则匹配的方式,发现挖矿行为,定位矿机。二是基与矿池的活跃情报信息,反向定位和监测中招矿机。通常情况下,尤其是服务器类型的设备,都不会主动对矿池地址发起请求,除非该服务器正在进行挖矿行为,基于此特性,通过采集流量中的DNS请求和IP地址与虚拟货币矿池情况库进行比对,如果匹配成功,就会输出相应的情报告警数据,从而确认内网存在的挖矿行为。三是监测矿机木马的活跃行为深度发现矿机。动态域名模块:虚拟货币矿池提供商扩充节点时候会变化域名前缀,基于全域名方案会漏报,因此通过动态域名检测方式,对矿池域名进行长期监控,可以避免子域名变动导致的漏报。心跳行为:如果攻击者自己部署虚拟货币矿池节点,不对外公布矿池节点域名或者直接通过IP进行访问,或者在挖矿协议通信中加入混淆技术,甚至利用https加密挖矿通信流量,那么通过特征和情报检测方式是无法进行有效的检测,但是矿工与矿池为了保证通信的实时,会产生心跳行为,通过异常行为检测模块中的心跳检测功能可以发现以上挖矿行为。四是监测通过挖矿木马文件程序进行的入侵行为。挖矿木马的传播过程中,需要传递挖矿程序到受害端,因此通过流量还原的方式,针对挖矿程序进行虚拟沙箱检测,从而发现挖矿木马。

(四)阻断

检测出挖矿流量后利用防火墙将挖矿DNS域名一网打尽,全部阻断,主机一旦发起对挖矿域名的申请,防火墙立刻就能将其隔断,检测出挖矿主机后利用交换机端口隔离阻断中毒主机在内网东西向的流量,以阻止挖矿病毒横向传播感染更多的主机,避免挖矿病毒大规模爆发。

挖矿活动阻断拦截:一是出口防火墙阻断挖矿流量。利用云安全威胁情报与防火墙联动将挖矿DNS域名一网打尽,挖矿主机一旦发起对挖矿城名的申请,防火墙立刻就能将其隔断,直接阻止其解析过程,避免监管单位通报。同时协助检测系统对流量进行深度识别。哪怕挖矿流量更隐蔽,系统的识别库可以根椐钱包字段、密钥交等挖矿的特征行为将其精准识别,全面封堵挖矿病毒。二是阻断横向扩散遏制内部传播。网络边界布置安全设备只阻断对外流量,这样无法阻止病毒在内部传播,部分挖矿木马还具备蠕虫化的特点,可以渗透内网,严重威胁服务器安全。通过与交换机联动收集交换机Sflow采样,实现全网东西各挖矿流量的识别阻断。在识别感染主机后,同时下发策略给交换机,在端口将中毒主机下线,阻断挖矿木马内部的横向病毒复制,挖矿活动整治更加彻底(稳固)。

(五)定位处置

在确定用户网络中存在挖矿行为时,通过与认证准入系统的联动精准的定位挖矿主机,再通过软件查杀或手工清除的方式根除挖矿程序和挖矿病毒。

挖矿活动定位处置:一是精确定位。在将挖矿活动流量的DNS拦截后,方案将与认证系统联动与防火墙等安全设备中的告警、IP、时间信息在系统中进行匹配,可以轻松得出包括使用人员账号、时间和具体告警信息等完整的精确定位和溯源。规避了DHCP环境下无法精准定位人员的问题。二是查杀处置。通过精确定位后利用部署一体化终端安全管理系统及时查杀挖矿木马及禁止挖矿程序,同时可实时监控企业终端的系统资源占用率,状态、系统进程、应用程序等信息,分析可疑的挖矿行为,并提供多维度的及时响应措施,全面保障企业免疫挖矿活动及挖矿病毒入侵。

(六)预防

处置完成后协助用户分析现有网络安全管理漏洞及网络中存在的安全问题,从风险削减的角度出发,帮助用户完善网络安全体系建设。

挖矿活动预防保护:一是企业网络或系统管理员以及安全运维人员应该在企业内部使用相关系统,组件和服务出现公开的相关远程利用漏洞时,尽快更新到最新版本,或在为推出安全更新时采取恰当的缓解措施。二是对于在线系统和业务需要采用正确的安全配置策略,使用严格的认证和授权策略,并设置复杂的访问凭证。三是加强企业机构人员的安全意识,避免企业人员访问带有恶意挖矿程序的文件、网站。四是制定相关安全条款及内部管理规范,杜绝内部人员的主动挖矿行为。

六、结束语

近年来,随着虚拟货币的疯狂炒作,挖矿病毒已经成为不法分子利用最为频繁的攻击方式之一。病毒传播者可以利用个人电脑或服务器入侵其他单位服务器或云环境资源进行挖矿,导致挖矿病毒、木马泛滥的同时浪费业务单位电力、计算机资源。尤其是学校环境为高计算集中环境、校园数据中心存放大量服务器、云主机、虚拟主机、同时教室办公终端、学生终端数量巨大,都成为挖矿病毒的感染对象。因此,整治虚拟货币挖矿活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。

参考文献:

[1]   国同光.“移动网络+安全”预防校园变“矿场”[J].计算机与网络,2021(12).

[2   王熠珏.“区块链+”时代比特币侵财犯罪研究[J].东方法学,2019(3).

[3]   孙一蓬.虚拟加密货币与区块链共识机制[J].电脑知识与技术,2018(32).

[4]   毕文慧.比特币对我国法定数字货币的影响[J].华中科技大学学报,2017(1).

[5]   魏可源.关于网络安全和数据隐私需要了解什么[J].计算机与网络,2018(6).

[6]   陈胤翀.虚拟货币及ICO首次代币发行[J].中国科技投资期,2018(3).

[7]   黄林.比特币等虚拟货币的基本原理及其风险与冲击[J].投资与创业,2019(10).

[8]   曹建.带有不耐烦顾客和工作故障的排队系统研究[J].秦皇岛:燕山大学,2019(1).

[9]   赵文军.挖矿病毒处理案例分析及思考[J].现代信息技术,2020(12).

[责任编辑   卫   星]