助力 “雙碳”戰(zhàn)略目標(biāo),針對(duì)政企用戶對(duì)挖礦行為預(yù)警難、定位難、防控難等特點(diǎn),亞信安全“挖礦”治理解決方案正式發(fā)布。該方案以亞信安全XDR解決方案為基礎(chǔ),提供了挖礦失陷治理能力,通過(guò)針對(duì)黑產(chǎn)挖礦攻擊鏈提供了全面覆蓋“云管端關(guān)”的一體化防護(hù)技術(shù),為貫徹落實(shí)虛擬貨幣“挖礦”整治工作提供了全面支撐。
“淘金客”背藏威脅,中國(guó)重拳出擊
比特幣2009初次發(fā)行價(jià)格約為0.00076美元,2021年10月20日,比特幣達(dá)到66,943.60美元,11月10日達(dá)到6.9萬(wàn)美元,創(chuàng)下新高,投資收益巨大。隨著比特幣出現(xiàn)之后,市面涌現(xiàn)大量的加密貨幣,形成“幣圈”。根據(jù)Coincost.net的統(tǒng)計(jì),截止2021年12月6日,全球加密貨幣共有11,197種,加密貨幣交易網(wǎng)站521個(gè),主流加密貨幣百億起步,“挖礦”利益誘惑巨大。
圖:比特幣價(jià)格逐年增高
在巨大的利益驅(qū)使下,“挖礦”黑產(chǎn)在2018年逐步形成,近年來(lái)發(fā)展迅速,危害也越發(fā)嚴(yán)重。首先,“挖礦”造成了電力資源的大量消耗,極不利于實(shí)現(xiàn)國(guó)家的碳達(dá)峰、碳中和目標(biāo)。其次,“挖礦”黑產(chǎn)非法占用系統(tǒng)資源、網(wǎng)絡(luò)資源,影響辦公效率和業(yè)務(wù)的正常開(kāi)展,增加了網(wǎng)絡(luò)攻擊風(fēng)險(xiǎn)。此外,大量圍繞“挖礦”的木馬病毒開(kāi)始盛行,目前全球共2700萬(wàn)的挖礦木馬,且每周按照2萬(wàn)個(gè)增長(zhǎng)。從亞信安全威脅情報(bào)團(tuán)隊(duì)收集到的樣本數(shù)據(jù)分析來(lái)看,截止到2021年年底一共獲取到的各個(gè)家族樣本總數(shù)為12,477,248個(gè),有些木馬不但“挖礦”,還會(huì)造成機(jī)密數(shù)據(jù)泄露等嚴(yán)重的網(wǎng)絡(luò)安全事件。
為此,自2021年9月,國(guó)家發(fā)展改革委等10部門聯(lián)合發(fā)布通知,要求全面整治虛擬貨幣“挖礦”活動(dòng)以來(lái),能源、金融、制造、教育、運(yùn)營(yíng)商等多個(gè)行業(yè),以及各個(gè)省市的“挖礦”整治行動(dòng)都已經(jīng)全面展開(kāi)。
面對(duì)狡猾的“淘金客”,用戶應(yīng)當(dāng)如何應(yīng)對(duì)
有組織、有分工的挖礦團(tuán)體在各路絞殺之下,已經(jīng)變得更加狡猾:
圖:挖礦治理需要根除“礦源”
手段一:國(guó)內(nèi)大量公共礦池IP被封堵,礦工群有專人定時(shí)發(fā)布臨時(shí)IP和端口,用于接入礦池;手段二:礦工使用專業(yè)的挖礦代理,一鍵搭建礦池和多幣種的中轉(zhuǎn)節(jié)點(diǎn),并在對(duì)流量加密的同時(shí),采用加密混淆協(xié)議,企圖“欺騙”檢測(cè);手段三:挖礦木馬軟件含有控制自身所占資源(包括GPU和CPU)的功能,只在主機(jī)資源豐富時(shí)段開(kāi)啟挖礦進(jìn)程,實(shí)現(xiàn)“隱身”。
亞信安全通過(guò)近年對(duì)大量挖礦木馬的樣本分析發(fā)現(xiàn),病毒已經(jīng)獲得全面進(jìn)化,專業(yè)化攻擊團(tuán)隊(duì)的網(wǎng)絡(luò)武器級(jí),成為其最大的威脅之一。因此,必須要全面掌握“淘金客”攻擊路線,才能建立對(duì)應(yīng)的防御點(diǎn)。
圖:挖礦病毒攻擊殺傷鏈
挖礦病毒攻擊殺傷鏈包括:弱點(diǎn)搜索、攻擊武器構(gòu)建、挖礦腳本及木馬投遞、漏洞利用、挖礦木馬安裝,黑產(chǎn)遠(yuǎn)程控制和挖礦獲利七個(gè)步驟。因此,就應(yīng)采用相對(duì)應(yīng)的技術(shù)建立防護(hù)點(diǎn),例如:資產(chǎn)風(fēng)險(xiǎn)梳理、威脅情報(bào)、補(bǔ)丁管理、病毒防護(hù)、行文檢測(cè),尤其是對(duì)“挖礦失陷”的治理。
圖:礦失陷治理的步驟和技術(shù)點(diǎn)
“失陷”治理是整體方案中的關(guān)鍵環(huán)節(jié)。首先,“挖礦”涉及礦機(jī)生產(chǎn)、能耗雙控、數(shù)據(jù)監(jiān)測(cè)、金融監(jiān)管等多個(gè)部門和領(lǐng)域,治理中可能“失控”;其次,有些網(wǎng)絡(luò)檢測(cè)設(shè)備雖然能夠暫時(shí)阻止挖礦行為,但修改連接方式后繞過(guò)檢測(cè)仍可繼續(xù)挖礦,尤其是一些體量小、隱匿強(qiáng)的監(jiān)管盲區(qū),“失陷”在所難免。
前有XDR守護(hù),后有“挖礦失陷”專治方案
在整體方案中,針對(duì)黑產(chǎn)挖礦攻擊鏈防護(hù)技術(shù)點(diǎn),亞信安全提供了完備的黑產(chǎn)挖礦防護(hù)技術(shù)與配套設(shè)備,例如:
云——信艙云主機(jī)安全管——信桅高級(jí)威脅監(jiān)測(cè)系統(tǒng)端——信端終端一體化防護(hù)體系關(guān)——信舷防毒墻系統(tǒng)
圖:亞信安全XDR方案,更有效的防御黑產(chǎn)挖礦
在防御方面,亞信安全的XDR方案可以更有效的抵御挖礦木馬攻擊。亞信安全XDR是以設(shè)備聯(lián)動(dòng)威脅情報(bào)為核心,依據(jù)標(biāo)準(zhǔn)化運(yùn)營(yíng)流程,通過(guò)運(yùn)營(yíng)組件對(duì)資產(chǎn)的漏洞、威脅、APT攻擊進(jìn)行監(jiān)控,從而構(gòu)建防御、檢測(cè)、分析、響應(yīng)的安全運(yùn)營(yíng)閉環(huán),不僅可以幫助用戶更早的發(fā)現(xiàn)挖礦木馬威脅、定位高危資產(chǎn),并且通過(guò)根因和范圍分析,確定是否被攻擊,攻擊受損程度,以及攻擊是怎么發(fā)生。
圖:亞信安全挖礦失陷治理
針對(duì)“挖礦失陷”的治理,方案采用了“持續(xù)清零、無(wú)死角,自由組合、全聯(lián)動(dòng)”方式,形成了“管理+技術(shù)”的運(yùn)管平臺(tái):
在管理上,從發(fā)現(xiàn)到根治,覆蓋了失陷治理全生命周期,通過(guò)持續(xù)治理、持續(xù)安全加固,持續(xù)減少挖礦入侵的暴露面,確保從網(wǎng)絡(luò)、終端到主機(jī)的立體覆蓋;在技術(shù)上,依據(jù)客戶實(shí)際環(huán)境,網(wǎng)路、主機(jī)、終端自由組合,形成符合客戶需求的各種方案,并且實(shí)現(xiàn)了網(wǎng)絡(luò)、主機(jī)、終端的全聯(lián)動(dòng)處置,全面提升治理效率。
圖:亞信安全信池威脅感知運(yùn)維中心(UAP)提供的挖礦行為情報(bào)
在安全運(yùn)維工作中,用戶可發(fā)揮亞信安全信池威脅感知運(yùn)維中心(UAP)的聯(lián)動(dòng)機(jī)制,將信桅高級(jí)威脅監(jiān)測(cè)系統(tǒng)(TDA)、信艙云主機(jī)安全(DeepSecurity)、信端病毒防護(hù)(O?ceScan)、信端端點(diǎn)安全管理系統(tǒng)(ESM)、信端終端檢測(cè)與響應(yīng)系統(tǒng)(EDR)、 網(wǎng)絡(luò)檢測(cè)與響應(yīng)(TDA)、信舷防毒墻系統(tǒng)(AISEDGE)的協(xié)同工作,從而形成“感知識(shí)別、調(diào)查評(píng)估、遏制阻斷、治愈加固”的全覆蓋,讓挖礦行為無(wú)處遁形。
挖礦治理“進(jìn)行時(shí)”
目前,我國(guó)全面梳理、核查虛擬貨幣“挖礦”行為的整治工作已經(jīng)全面啟動(dòng)。例如:6月13日,上海市政府官網(wǎng)就發(fā)布了《上海市經(jīng)濟(jì)信息化委、市發(fā)展改革委關(guān)于簽署“不參與虛擬貨幣‘挖礦’行為信用承諾書”的通知》,對(duì)不履行承諾的數(shù)據(jù)中心運(yùn)營(yíng)企業(yè)將依法采取差別電價(jià)、信用懲戒等措施。
亞信安全將全力配合相關(guān)單位開(kāi)展虛擬貨幣“挖礦”活動(dòng)整治,助力企事業(yè)單位梳理網(wǎng)絡(luò)資產(chǎn)、排查“挖礦”病毒風(fēng)險(xiǎn),為下一步的整改工作提供可靠的技術(shù)支撐、數(shù)據(jù)來(lái)源和決策依據(jù)。
關(guān)于亞信安全
亞信安全是中國(guó)網(wǎng)絡(luò)安全軟件領(lǐng)域的領(lǐng)跑者,是業(yè)內(nèi)“懂網(wǎng)、懂云”的網(wǎng)絡(luò)安全公司。秉承建網(wǎng)基因,堅(jiān)守護(hù)網(wǎng)之責(zé),亞信安全以護(hù)航產(chǎn)業(yè)互聯(lián)為使命,以安全數(shù)字世界為愿景。基于“安全定義邊界”的發(fā)展理念,亞信安全以身份安全為基礎(chǔ),以云網(wǎng)安全和端點(diǎn)安全為重心,以安全中臺(tái)為樞紐,以威脅情報(bào)為支撐,構(gòu)建“云化、聯(lián)動(dòng)、智能”的技術(shù)戰(zhàn)略,守護(hù)億萬(wàn)家庭和關(guān)鍵信息網(wǎng)絡(luò),為我國(guó)從網(wǎng)絡(luò)大國(guó)向網(wǎng)絡(luò)強(qiáng)國(guó)邁進(jìn)保駕護(hù)航。
