助力 “双碳”战略目标,针对政企用户对挖矿行为预警难、定位难、防控难等特点,亚信安全“挖矿”治理解决方案正式发布。该方案以亚信安全XDR解决方案为基础,提供了挖矿失陷治理能力,通过针对黑产挖矿攻击链提供了全面覆盖“云管端关”的一体化防护技术,为贯彻落实虚拟货币“挖矿”整治工作提供了全面支撑。
“淘金客”背藏威胁
中国重拳出击
比特币2009初次发行价格约为0.00076美元,2021年10月20日,比特币达到66,943.60美元,11月10日达到6.9万美元,创下新高,投资收益巨大。随着比特币出现之后,市面涌现大量的加密货币,形成“币圈”。根据Coincost.net的统计,截止2021年12月6日,全球加密货币共有11,197种,加密货币交易网站521个,主流加密货币百亿起步,“挖矿”利益诱惑巨大。
图:比特币价格逐年增高
在巨大的利益驱使下,“挖矿”黑产在2018年逐步形成,近年来发展迅速,危害也越发严重。首先,“挖矿”造成了电力资源的大量消耗,极不利于实现国家的碳达峰、碳中和目标。其次,“挖矿”黑产非法占用系统资源、网络资源,影响办公效率和业务的正常开展,增加了网络攻击风险。此外,大量围绕“挖矿”的木马病毒开始盛行,目前全球共2700万的挖矿木马,且每周按照2万个增长。从亚信安全威胁情报团队收集到的样本数据分析来看,截止到2021年年底一共获取到的各个家族样本总数为12,477,248个,有些木马不但“挖矿”,还会造成机密数据泄露等严重的网络安全事件。
为此,自2021年9月,国家发展改革委等10部门联合发布通知,要求全面整治虚拟货币“挖矿”活动以来,能源、金融、制造、教育、运营商等多个行业,以及各个省市的“挖矿”整治行动都已经全面展开。
面对狡猾的“淘金客”
用户应当如何应对
有组织、有分工的“挖矿”团体在各路绞杀之下,已经变得更加狡猾:
图:“挖矿”治理需要根除“矿源”
手段一
国内大量公共矿池IP被封堵,矿工群有专人定时发布临时IP和端口,用于接入矿池;
手段二
矿工使用专业的挖矿代理,一键搭建矿池和多币种的中转节点,并在对流量加密的同时,采用加密混淆协议,企图“欺骗”检测;
手段三
挖矿木马软件含有控制自身所占资源(包括GPU和CPU)的功能,只在主机资源丰富时段开启挖矿进程,实现“隐身”。
亚信安全通过近年对大量挖矿木马的样本分析发现,病毒已经获得全面进化,专业化攻击团队的网络武器级,成为其最大的威胁之一。因此,必须要全面掌握“淘金客”攻击路线,才能建立对应的防御点。
图:挖矿病毒攻击杀伤链
挖矿病毒攻击杀伤链包括:弱点搜索、攻击武器构建、挖矿脚本及木马投递、漏洞利用、挖矿木马安装,黑产远程控制和挖矿获利七个步骤。因此,就应采用相对应的技术建立防护点,例如:资产风险梳理、威胁情报、补丁管理、病毒防护、行文检测,尤其是对“挖矿失陷”的治理。
图:矿失陷治理的步骤和技术点
“失陷”治理是整体方案中的关键环节。首先,“挖矿”涉及矿机生产、能耗双控、数据监测、金融监管等多个部门和领域,治理中可能“失控”;其次,有些网络检测设备虽然能够暂时阻止挖矿行为,但修改连接方式后绕过检测仍可继续挖矿,尤其是一些体量小、隐匿强的监管盲区,“失陷”在所难免。
前有XDR守护
后有“挖矿失陷”专治方案
在整体方案中,针对黑产挖矿攻击链防护技术点,亚信安全提供了完备的黑产挖矿防护技术与配套设备,例如:
云
信舱云主机安全
管
信桅高级威胁检测系统
端
信楯终端一体化防护体系
关
信舷防毒墙系统
图:亚信安全XDR方案,更有效的防御黑产挖矿
在防御方面,亚信安全的XDR方案可以更有效的抵御挖矿木马攻击。亚信安全XDR是以设备联动威胁情报为核心,依据标准化运营流程,通过运营组件对资产的漏洞、威胁、APT攻击进行监控,从而构建防御、检测、分析、响应的安全运营闭环,不仅可以帮助用户更早的发现挖矿木马威胁、定位高危资产,并且通过根因和范围分析,确定是否被攻击,攻击受损程度,以及攻击是怎么发生。
图:亚信安全挖矿失陷治理
针对“挖矿失陷”的治理,方案采用了“持续清零、无死角,自由组合、全联动”方式,形成了“管理+技术”的运管平台:
在管理上,从发现到根治,覆盖了失陷治理全生命周期,通过持续治理、持续安全加固,持续减少挖矿入侵的暴露面,确保从网络、终端到主机的立体覆盖;
在技术上,依据客户实际环境,网路、主机、终端自由组合,形成符合客户需求的各种方案,并且实现了网络、主机、终端的全联动处置,全面提升治理效率。
图:亚信安全信池威胁感知运维中心(UAP)提供的挖矿行为情报
在安全运维工作中,用户可发挥亚信安全信池威胁感知运维中心(UAP)的联动机制,将信桅深度威胁发现设备(TDA)、信舱云主机安全(DeepSecurity)、信端病毒防护(O?ceScan)、信端端点安全管理系统(ESM)、信端终端检测与响应系统(EDR)、 网络检测与响应(TDA)、信舷防毒墙系统(AISEDGE)的协同工作,从而形成“感知识别、调查评估、遏制阻断、治愈加固”的全覆盖,让挖矿行为无处遁形。
挖矿治理“进行时”
目前,我国全面梳理、核查虚拟货币“挖矿”行为的整治工作已经全面启动。例如:6月13日,上海市政府官网就发布了《上海市经济信息化委、市发展改革委关于签署“不参与虚拟货币‘挖矿’行为信用承诺书”的通知》,对不履行承诺的数据中心运营企业将依法采取差别电价、信用惩戒等措施。
亚信安全将全力配合相关单位开展虚拟货币“挖矿”活动整治,助力企事业单位梳理网络资产、排查“挖矿”病毒风险,为下一步的整改工作提供可靠的技术支撑、数据来源和决策依据。