“挖礦”整治力度再度升級(jí) 奇安信：多行業(yè)深受“挖礦”危害

2021年上半年，奇安信安服團(tuán)隊(duì)共參與和處置了590起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件，其中挖礦木馬占所有惡意程序類型的18.8%，僅次于勒索病毒位居第二位。毫無(wú)疑問(wèn)，挖礦木馬已經(jīng)成為網(wǎng)絡(luò)安全防護(hù)的主要挑戰(zhàn)。

 隨著國(guó)家發(fā)改委開展一系列專項(xiàng)治理工作，虛擬貨幣“挖礦”進(jìn)入強(qiáng)監(jiān)管時(shí)代。在11月16日國(guó)家發(fā)改委舉行的例行發(fā)布會(huì)上，國(guó)家發(fā)改委新聞發(fā)言人孟瑋表示，將持續(xù)做好虛擬貨幣“挖礦”全鏈條治理工作，以高壓態(tài)勢(shì)持續(xù)整治虛擬貨幣“挖礦”活動(dòng)。這是繼國(guó)家發(fā)展改革委等部門聯(lián)合印發(fā)《關(guān)于整治虛擬貨幣“挖礦”活動(dòng)的通知》后，整治虛擬貨幣“挖礦”的又一有力舉措。

 

從奇安信集團(tuán)近年來(lái)收到的應(yīng)急響應(yīng)事件來(lái)看，很多企業(yè)被發(fā)現(xiàn)感染挖礦木馬，這些挖礦木馬不僅嚴(yán)重占用相關(guān)企業(yè)計(jì)算機(jī)、網(wǎng)絡(luò)和電力等寶貴生產(chǎn)資源 , 而且嚴(yán)重危害企業(yè)運(yùn)營(yíng)和生產(chǎn)安全。根據(jù)奇安信發(fā)布的《網(wǎng)絡(luò)安全應(yīng)急響應(yīng)典型案例集（2021）》顯示，2021年上半年，奇安信安服團(tuán)隊(duì)共參與和處置了590起網(wǎng)絡(luò)安全應(yīng)急響應(yīng)事件，其中挖礦木馬占所有惡意程序類型的18.8%，僅次于勒索病毒位居第二位。毫無(wú)疑問(wèn)，挖礦木馬已經(jīng)成為網(wǎng)絡(luò)安全防護(hù)的主要挑戰(zhàn)。

 

全國(guó)范圍內(nèi)重點(diǎn)整治虛擬貨幣“挖礦”

此前，《關(guān)于整治虛擬貨幣“挖礦”活動(dòng)的通知》要求全面梳理排查虛擬貨幣“挖礦”項(xiàng)目，嚴(yán)禁新增項(xiàng)目投資建設(shè)；加快存量項(xiàng)目有序退出。11月10日，國(guó)家發(fā)改委在虛擬貨幣“挖礦”治理專題視頻會(huì)議上，要求各省區(qū)切實(shí)負(fù)起屬地責(zé)任，建制度、抓監(jiān)測(cè)，對(duì)本地區(qū)虛擬貨幣“挖礦”活動(dòng)進(jìn)行清理整治，并嚴(yán)肅查處國(guó)有單位機(jī)房涉及的“挖礦”活動(dòng)。

隨后，在16日召開的國(guó)家發(fā)改委例行發(fā)布會(huì)上，國(guó)家發(fā)改委新聞發(fā)言人孟瑋表示，下一步，國(guó)家發(fā)改委將以產(chǎn)業(yè)式集中式“挖礦”、國(guó)有單位涉及“挖礦”和比特幣“挖礦”為重點(diǎn)開展全面整治。從嚴(yán)查國(guó)有單位機(jī)房涉及的“挖礦”活動(dòng)到全國(guó)范圍內(nèi)“挖礦”活動(dòng)，發(fā)改委明確采取“零容忍”態(tài)度重點(diǎn)整治，治理范圍和力度進(jìn)一步擴(kuò)大。

虛擬貨幣“挖礦”活動(dòng)背后，一方面是龐大算力帶來(lái)的高耗能、高碳排，對(duì)產(chǎn)業(yè)發(fā)展帶來(lái)不利影響；另一方面，盲目無(wú)序的發(fā)展“挖礦”活動(dòng)，將會(huì)擾亂我國(guó)正常金融秩序、催生違法犯罪活動(dòng)，以及對(duì)網(wǎng)絡(luò)安全帶來(lái)嚴(yán)重的威脅，從而進(jìn)一步威脅了社會(huì)穩(wěn)定和國(guó)家安全。

一直以來(lái)，虛擬貨幣的流行發(fā)展為利用“挖礦”木馬控制肉雞的網(wǎng)絡(luò)黑產(chǎn)狀態(tài)，提供了犯罪土壤和發(fā)展時(shí)機(jī)。實(shí)際上，“挖礦”木馬影響政企機(jī)構(gòu)組織系統(tǒng)運(yùn)行速度、占用計(jì)算機(jī)資源，極大可能中斷業(yè)務(wù)正常運(yùn)行。此外，“挖礦”木馬通常會(huì)關(guān)閉防火墻、獲取管理員權(quán)限、植入后門等，這意味著大家眼中的“良性病毒”隨時(shí)可能會(huì)“病變”，竊取核心業(yè)務(wù)數(shù)據(jù)、發(fā)動(dòng)勒索等其他網(wǎng)絡(luò)攻擊，其危害性不容小覷。

挖礦木馬影響多行業(yè)  政府、制造、交通等深受其害

2021年8月，奇安信安服團(tuán)隊(duì)接到制造業(yè)某客戶應(yīng)急響應(yīng)求助，公司服務(wù)器感染挖礦病毒，在恢復(fù)快照后依然出現(xiàn)重新感染的情況，客戶希望對(duì)受害服務(wù)器進(jìn)行排查，溯源入侵途徑。

奇安信應(yīng)急響應(yīng)人員迅速抵達(dá)現(xiàn)場(chǎng)后進(jìn)行排查，經(jīng)過(guò)分析之后，確認(rèn)服務(wù)器感染了AutoUpdate挖礦病毒，經(jīng)過(guò)安全工程師的分析溯源，徹底解決了挖礦病毒肆虐。奇安信為客戶提供防范建議，包括在服務(wù)器上部署安裝殺毒軟件，定期對(duì)服務(wù)器進(jìn)行病毒查殺，使用態(tài)勢(shì)感知類產(chǎn)品，防范漏洞利用，提高系統(tǒng)安全基線，防范黑客入侵等。

今年2月，安服應(yīng)急響應(yīng)團(tuán)隊(duì)接到交通運(yùn)輸行業(yè)某客戶應(yīng)急響應(yīng)請(qǐng)求，客戶現(xiàn)場(chǎng)大量主機(jī)感染病毒，并且與國(guó)外地址建立通訊。奇安信迅速到達(dá)客戶現(xiàn)場(chǎng)，部署天眼威脅感知預(yù)警設(shè)備，配置鏡像全網(wǎng)流量，對(duì)天眼告警及日志進(jìn)行分析，確認(rèn)客戶外網(wǎng)區(qū)電教室的數(shù)十臺(tái)臺(tái)主機(jī)感染挖礦病毒，并外連境外礦池。經(jīng)過(guò)病毒樣本分析，確定感染新型WannaMine4.0變種。

“挖礦病毒特征變化快，很難通過(guò)一個(gè)產(chǎn)品實(shí)現(xiàn)有效的防護(hù)，需要基于縱深式防護(hù)體系構(gòu)建多重防護(hù)機(jī)制，結(jié)合病毒特性，進(jìn)行有針對(duì)性的多重檢測(cè)保護(hù)。”奇安信安全專家表示。

 
那么挖礦木馬究竟是如何入侵組織的呢？基于長(zhǎng)期對(duì)各類挖礦家族的跟蹤與分析，奇安信威脅情報(bào)中心總結(jié)出了以下三個(gè)步驟：第一步，尋找初始攻擊入口，包括利用1-day或N-day的漏洞，對(duì)公網(wǎng)上存在漏洞的主機(jī)和服務(wù)進(jìn)行遠(yuǎn)程攻擊，針對(duì)目標(biāo)服務(wù)器和主機(jī)開放的Web服務(wù)和應(yīng)用進(jìn)行暴力破解等。

第二步主要是植入，執(zhí)行和持久性。例如在奇安信安服團(tuán)隊(duì)某次政府客戶應(yīng)急響應(yīng)過(guò)程中，攻擊者利用已拿到的服務(wù)器權(quán)限，上傳SystemdMiner挖礦木馬程序，并配置計(jì)劃任務(wù)，定時(shí)連接礦池域名，挖礦程序本身具有自動(dòng)掃描與自傳播功能，同時(shí)開展內(nèi)網(wǎng)的橫向感染。

第三步，競(jìng)爭(zhēng)與對(duì)抗。攻擊者在植入挖礦程序后，不僅僅會(huì)利用和安全設(shè)備進(jìn)行對(duì)抗，甚至?xí)�和其他挖礦程序之間展開“火拼”，企圖獨(dú)占資源。

 面對(duì)咄咄逼人的挖礦木馬，奇安信專家認(rèn)為，大量的應(yīng)急響應(yīng)案例，挖礦木馬的安全防護(hù)應(yīng)當(dāng)遵守以下四大原則。

首先是及時(shí)安裝補(bǔ)丁或者更新相關(guān)應(yīng)用到最新版本，或在未推出安全更新時(shí)采取恰當(dāng)?shù)木徑獯胧��?/span>

其次是對(duì)于在線系統(tǒng)和業(yè)務(wù)需要采用正確的安全配置策略，使用嚴(yán)格的認(rèn)證和授權(quán)策略，并設(shè)置復(fù)雜的訪問(wèn)憑證。

再次是加強(qiáng)企業(yè)機(jī)構(gòu)人員的安全意識(shí)，避免企業(yè)人員訪問(wèn)帶有惡意挖礦程序的文件、網(wǎng)站，或者使用安全性未知的U盤等移動(dòng)存儲(chǔ)介質(zhì)。

最后是采購(gòu)相應(yīng)的檢測(cè)和防護(hù)方案。盡管感染挖礦木馬后，主機(jī)一般會(huì)出現(xiàn)CPI、GPU或者網(wǎng)絡(luò)資源占用異常升高，有經(jīng)驗(yàn)的運(yùn)維人員很容易通過(guò)卡頓、資源占用異常等進(jìn)行手工排查，但一個(gè)體系化的檢測(cè)和防護(hù)方案依然是首選。

貫穿“邊-網(wǎng)-主機(jī)-終端”，體系化檢測(cè)方案必不可少

為了更好的配合國(guó)家對(duì)“挖礦”的全面整治行動(dòng)，近日，奇安信發(fā)布了《企業(yè)針對(duì)“挖礦”行為開展專項(xiàng)整治的建議與方案》（簡(jiǎn)稱：應(yīng)對(duì)“挖礦”專項(xiàng)方案），從“挖礦”病毒的監(jiān)測(cè)、分析、處置、溯源的閉環(huán)處置等進(jìn)行規(guī)劃和設(shè)計(jì)，形成了非常有針對(duì)性的專項(xiàng)整治工具，主要包括天眼（新一代安全感知系統(tǒng)）、椒圖（服務(wù)器安全管理系統(tǒng)）、天擎（終端安全管理系統(tǒng)），以及奇安信安全專家服務(wù)、安全訪問(wèn)服務(wù)（Q-SASE）等。

 

其中在監(jiān)測(cè)和分析環(huán)節(jié)，主要通過(guò)部署天眼，提供威脅情報(bào)與威脅監(jiān)測(cè)與分析能力。天眼包括傳感器、文件威脅鑒定器（即沙箱系統(tǒng)）、分析平臺(tái)三大產(chǎn)品設(shè)備組件，可提供挖礦病毒專項(xiàng)威脅情報(bào)檢測(cè)、可疑挖礦病毒變種樣本分析、未知挖礦病毒異常外聯(lián)行為檢測(cè)、挖礦病毒傳播過(guò)程分析等功能服務(wù)。

在處置環(huán)節(jié)，通過(guò)部署椒圖，針對(duì)操作系統(tǒng)內(nèi)核、中間件、系統(tǒng)應(yīng)用進(jìn)行深層次入侵防護(hù)與加固，并結(jié)合資產(chǎn)清點(diǎn)、漏掃、風(fēng)險(xiǎn)發(fā)現(xiàn)、（挖礦）病毒查殺、基線檢查等功能，對(duì)攻擊行為進(jìn)行分析、溯源、阻斷等措施，進(jìn)行服務(wù)器從內(nèi)而外的立體防護(hù)；通過(guò)部署天擎，有效的對(duì)終端進(jìn)行“挖礦”病毒的查殺與安全加固，提供防護(hù)能力，抵御外來(lái)的攻擊。

同時(shí)，客戶可以部署郵件威脅檢測(cè)系統(tǒng)、DNS威脅檢測(cè)系統(tǒng)等，從釣魚/詐騙郵件檢測(cè)、郵件賬號(hào)被控、郵箱暴力破解檢測(cè)，以及惡意域名檢測(cè)、惡意域名阻斷、DNS隱蔽通道、DGA域名檢測(cè)等層面，提供高效的檢測(cè)和處置方案。

該方案還提供了專家服務(wù)的快速處置。根據(jù)天眼、椒圖、天擎發(fā)現(xiàn)的異常情況和告警，通過(guò)奇安信安全服務(wù)專家進(jìn)行安全事件的分析、研判，快速采取相應(yīng)措施進(jìn)行“挖礦”病毒的應(yīng)急處置。

除此之外，針對(duì)擁有大量分支機(jī)構(gòu)的大型集團(tuán)企業(yè)而言，奇安信還可提供互聯(lián)網(wǎng)訪問(wèn)流量收口服務(wù)，應(yīng)對(duì)復(fù)雜的挖礦木馬排查工作。奇安信安全訪問(wèn)服務(wù)（Q-SASE）融合了安全運(yùn)營(yíng)、零信任、安全SD-WAN、云安全管理等優(yōu)勢(shì)能力，能夠?qū)�互�?lián)網(wǎng)訪問(wèn)流量進(jìn)行全面排查，同時(shí)聯(lián)動(dòng)各類安全設(shè)備對(duì)可疑挖礦程序進(jìn)行精準(zhǔn)告警、定位和溯源，形成處置方案和建議，在企業(yè)單位進(jìn)行全面自查自糾以及整治后的自檢過(guò)程中提供參考。