随着国家发改委开展一系列专项治理工作,虚拟货币“挖矿”进入强监管时代。在11月16日国家发改委举行的例行发布会上,国家发改委新闻发言人孟玮表示,将持续做好虚拟货币“挖矿”全链条治理工作,以高压态势持续整治虚拟货币“挖矿”活动。这是继国家发展改革委等部门联合印发《关于整治虚拟货币“挖矿”活动的通知》后,整治虚拟货币“挖矿”的又一有力举措。
从奇安信集团近年来收到的应急响应事件来看,很多企业被发现感染挖矿木马,这些挖矿木马不仅严重占用相关企业计算机、网络和电力等宝贵生产资源 , 而且严重危害企业运营和生产安全。根据奇安信发布的《网络安全应急响应典型案例集(2021)》显示,2021年上半年,奇安信安服团队共参与和处置了590起网络安全应急响应事件,其中挖矿木马占所有恶意程序类型的18.8%,仅次于勒索病毒位居第二位。毫无疑问,挖矿木马已经成为网络安全防护的主要挑战。
全国范围内重点整治虚拟货币“挖矿”
此前,《关于整治虚拟货币“挖矿”活动的通知》要求全面梳理排查虚拟货币“挖矿”项目,严禁新增项目投资建设;加快存量项目有序退出。11月10日,国家发改委在虚拟货币“挖矿”治理专题视频会议上,要求各省区切实负起属地责任,建制度、抓监测,对本地区虚拟货币“挖矿”活动进行清理整治,并严肃查处国有单位机房涉及的“挖矿”活动。
随后,在16日召开的国家发改委例行发布会上,国家发改委新闻发言人孟玮表示,下一步,国家发改委将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。从严查国有单位机房涉及的“挖矿”活动到全国范围内“挖矿”活动,发改委明确采取“零容忍”态度重点整治,治理范围和力度进一步扩大。
虚拟货币“挖矿”活动背后,一方面是庞大算力带来的高耗能、高碳排,对产业发展带来不利影响;另一方面,盲目无序地发展“挖矿”活动,将会扰乱我国正常金融秩序、催生违法犯罪活动,以及对网络安全带来严重的威胁,从而进一步威胁了社会稳定和国家安全。
一直以来,虚拟货币的流行发展为利用“挖矿”木马控制肉鸡的网络黑产状态,提供了犯罪土壤和发展时机。实际上,“挖矿”木马影响政企机构组织系统运行速度、占用计算机资源,极大可能中断业务正常运行。此外,“挖矿”木马通常会关闭防火墙、获取管理员权限、植入后门等,这意味着大家眼中的“良性病毒”随时可能会“病变”,窃取核心业务数据、发动勒索等其他网络攻击,其危害性不容小觑。
挖矿木马影响多行业 政府、制造、交通等深受其害
2021年8月,奇安信安服团队接到制造业某客户应急响应求助,公司服务器感染挖矿病毒,在恢复快照后依然出现重新感染的情况,客户希望对受害服务器进行排查,溯源入侵途径。
奇安信应急响应人员迅速抵达现场后进行排查,经过分析之后,确认服务器感染了AutoUpdate挖矿病毒,经过安全工程师的分析溯源,彻底解决了挖矿病毒肆虐。奇安信为客户提供防范建议,包括在服务器上部署安装杀毒软件,定期对服务器进行病毒查杀,使用态势感知类产品,防范漏洞利用,提高系统安全基线,防范黑客入侵等。
今年2月,安服应急响应团队接到交通运输行业某客户应急响应请求,客户现场大量主机感染病毒,并且与国外地址建立通讯。奇安信迅速到达客户现场,部署天眼威胁感知预警设备,配置镜像全网流量,对天眼告警及日志进行分析,确认客户外网区电教室的数十台台主机感染挖矿病毒,并外连境外矿池。经过病毒样本分析,确定感染新型WannaMine4.0变种。
“挖矿病毒特征变化快,很难通过一个产品实现有效的防护,需要基于纵深式防护体系构建多重防护机制,结合病毒特性,进行有针对性的多重检测保护。”奇安信安全专家表示。
那么挖矿木马究竟是如何入侵组织的呢?基于长期对各类挖矿家族的跟踪与分析,奇安信威胁情报中心总结出了以下三个步骤:第一步,寻找初始攻击入口,包括利用1-day或N-day的漏洞,对公网上存在漏洞的主机和服务进行远程攻击,针对目标服务器和主机开放的Web服务和应用进行暴力破解等。
第二步主要是植入,执行和持久性。例如在奇安信安服团队某次政府客户应急响应过程中,攻击者利用已拿到的服务器权限,上传SystemdMiner挖矿木马程序,并配置计划任务,定时连接矿池域名,挖矿程序本身具有自动扫描与自传播功能,同时开展内网的横向感染。
第三步,竞争与对抗。攻击者在植入挖矿程序后,不仅仅会利用和安全设备进行对抗,甚至会和其他挖矿程序之间展开“火拼”,企图独占资源。
面对咄咄逼人的挖矿木马,奇安信专家认为,大量的应急响应案例,挖矿木马的安全防护应当遵守以下四大原则。
首先是及时安装补丁或者更新相关应用到最新版本,或在未推出安全更新时采取恰当的缓解措施。
其次是对于在线系统和业务需要采用正确的安全配置策略,使用严格的认证和授权策略,并设置复杂的访问凭证。
再次是加强企业机构人员的安全意识,避免企业人员访问带有恶意挖矿程序的文件、网站,或者使用安全性未知的U盘等移动存储介质。
最后是采购相应的检测和防护方案。尽管感染挖矿木马后,主机一般会出现CPI、GPU或者网络资源占用异常升高,有经验的运维人员很容易通过卡顿、资源占用异常等进行手工排查,但一个体系化的检测和防护方案依然是首选。
贯穿“边-网-主机-终端”,体系化检测方案必不可少
为了更好地配合国家对“挖矿”的全面整治行动,近日,奇安信发布了《企业针对“挖矿”行为开展专项整治的建议与方案》(简称:应对“挖矿”专项方案),从“挖矿”病毒的监测、分析、处置、溯源的闭环处置等进行规划和设计,形成了非常有针对性的专项整治工具,主要包括天眼(新一代安全感知系统)、椒图(服务器安全管理系统)、天擎(终端安全管理系统),以及奇安信安全专家服务、安全访问服务(Q-SASE)等。
其中在监测和分析环节,主要通过部署天眼,提供威胁情报与威胁监测与分析能力。天眼包括传感器、文件威胁鉴定器(即沙箱系统)、分析平台三大产品设备组件,可提供挖矿病毒专项威胁情报检测、可疑挖矿病毒变种样本分析、未知挖矿病毒异常外联行为检测、挖矿病毒传播过程分析等功能服务。
在处置环节,通过部署椒图,针对操作系统内核、中间件、系统应用进行深层次入侵防护与加固,并结合资产清点、漏扫、风险发现、(挖矿)病毒查杀、基线检查等功能,对攻击行为进行分析、溯源、阻断等措施,进行服务器从内而外的立体防护;通过部署天擎,有效地对终端进行“挖矿”病毒的查杀与安全加固,提供防护能力,抵御外来的攻击。
同时,客户可以部署邮件威胁检测系统、DNS威胁检测系统等,从钓鱼/诈骗邮件检测、邮件账号被控、邮箱暴力破解检测,以及恶意域名检测、恶意域名阻断、DNS隐蔽通道、DGA域名检测等层面,提供高效的检测和处置方案。
该方案还提供了专家服务的快速处置。根据天眼、椒图、天擎发现的异常情况和告警,通过奇安信安全服务专家进行安全事件的分析、研判,快速采取相应措施进行“挖矿”病毒的应急处置。
除此之外,针对拥有大量分支机构的大型集团企业而言,奇安信还可提供互联网访问流量收口服务,应对复杂的挖矿木马排查工作。奇安信安全访问服务(Q-SASE)融合了安全运营、零信任、安全SD-WAN、云安全管理等优势能力,能够对互联网访问流量进行全面排查,同时联动各类安全设备对可疑挖矿程序进行精准告警、定位和溯源,形成处置方案和建议,在企业单位进行全面自查自纠以及整治后的自检过程中提供参考。