引言
自2021年以來,針對虛拟貨币“挖礦”的監管持續加碼的情況下,誰還在挖礦?
“挖礦”事件再次發生
4月6日消息,據某微網誌部落客爆料,某新能源汽車企業員工張某使用公司伺服器資源挖虛拟貨币。此人原擔任某叢集伺服器管理者,利用職務之便進行“挖礦”行為。在調查中,張某對自己的違規行為供認不諱,該行為涉嫌違反中華人民共和國刑法第285條第二款非法控制計算機資訊系統罪,對企業計算機系統安全和商業資訊安全造成負面影響。
相關政策,多管齊下
自2021年以來,針對虛拟貨币“挖礦”的監管持續加碼:
早在2021年5月份,國務院金融穩定發展委員會(簡稱“金融委”)就已經定調要堅決打擊比特币挖礦和交易行為,防範個體風險向社會領域傳遞。
2021年9月開始,工信部、國家發改委、公安部、人行、銀保監、國家能源局、網信辦等部門以及各地區接連出台相關措施,加大核查與整治“挖礦”力度。
從2021年第4季度開始,國内各營運商、教育機構等企業機關根據發改委和網信辦的要求,不斷封禁國内外的礦池位址,已知的網頁和APP均無法通路,國内各大礦群也是一片鬼哭狼嚎。
與此同時,也在嚴厲打擊個人“挖礦”行為:
企業機關中,若存在個人“挖礦”現象,則會被直接叫停,并勒令整改。
家庭帶寬中,若在家使用電腦挖礦,也會被營運商監測到存在挖礦行為為由,直接關停家中的網絡帶寬。
各行各業,依然存在
活躍礦池,均在境外
高收益,緻使惡意挖礦活動屢禁不止
近幾年,虛拟貨币的價格激增,這種高收益吸引了各路參與者加入到挖礦行業,也是惡意挖礦活動盛行主要原因。
惡意挖礦程式通常伴随着加密貨币市場的繁榮而出現,加密貨币價格與惡意挖礦活動有一定的關聯性,價格越高時,惡意挖礦活動就越活躍,而今年是曆年來加密貨币發展和升值最為瘋狂的一年,而現在各國都在大力發展區塊鍊技術,未來很長一段時間,加密貨币行業都不會再暗淡下去,而因加密貨币而引起的各類惡意活動将會更加流行,網絡安全形勢将會更加複雜多變。
惡意挖礦的危害
具備隐藏自身的功能,但這并不意味着它不會對你的裝置造成損害。實際上,這種對計算資源的竊取會大幅降低運作速度,加大電力消耗,并縮短裝置的使用壽命,進而影響業務或生産環境的正常營運。
受感染的裝置通常會産生以下較為明顯的負面影響:
系統運作速度變慢
增加處理器使用率
裝置過熱
增加電力消耗
惡意挖礦活動對單台裝置的影響相對較小,但如果網絡環境遭遇大範圍傳播感染的情況,網絡将會出現明顯示卡頓、運作過慢等異常現象,導緻性能降低甚至當機的情況發生,如果感染的是來自公用事業、制造業、能源行業、金融業的實體組織,惡意挖礦還可能影響其重要業務和資料的安全性,進而引起一系列的連鎖反應,造成難以評估的營運、生産損失。
根據安恒資訊獵影實驗室針對多個惡意挖礦團體、惡意挖礦木馬家族等資料研究分析,發現攻擊者正在嘗試以下幾種手段進行挖礦:
使用隐藏CPU使用率的新技術
研究人員發現Golang蠕蟲挖礦木馬就是通過特定型号的寄存器(MSR)驅動程式來禁用硬體預取器。硬體預取器是一種新的技術,處理器會根據核心過去的通路行為來預取資料,處理器(CPU)通過使用硬體預取器,将指令從主記憶體存儲到二級緩存中。然而,在多核處理器上,使用硬體預取會造成功能受損,并導緻系統性能整體下降。XMRig需要依賴機器的處理能力來挖掘Monero币,禁用MSR能夠有效阻止系統性能下降,進而提升挖礦效率。
黑産組織之間争奪挖礦資源
在惡意挖礦活動中,可能會出現兩個惡意挖礦家族互相争奪受害計算機資源的情況,這種較量通常在Linux和雲環境中進行,挖礦木馬會利用多種手法清理或阻止、幹擾受害主機上其他家族的挖礦行為,從系統中删除競争對手來獨享資源。
比較廣為人知的是Pacha和Rocke黑産組織的雲上資源争奪事件,這兩個組織所使用的技術、戰術、方法都極其相似,這種同行之間互相競争的現象有助于提高操作員的技能水準。
工控系統成為新的礦機目标
随着時間流逝,挖礦活動所産出虛拟貨币越來越少,對算力的需求越來越大,一些攻擊者已經不滿足選擇諸如PC或移動裝置作為其挖礦工具,而是将目光瞄向了具有高性能、高處理能力的基礎設施。工業控制系統的内部網絡還可能存在過時或未打更新檔的軟體,因為部署新的作業系統和更新可能會無意中破壞關鍵的傳統平台,是以系統可能仍停留在舊版本當中。
對于從事惡意挖礦活動的攻擊者而言,工廠是一個誘人的目标,由于許多基線操作不會使用大量處理能力,但會消耗大量電力,這使得挖掘惡意軟體能夠相對容易地掩蓋其 CPU 和功耗,即使查到系統異常,但排查控制系統上的網絡威脅也需要相當多的時間成本。
如何預防惡意挖礦
對個人而言
要預防個人計算機被惡意挖礦所利用,我們每個人應從以下方面做好安全措施:
1. 提高個人安全意識,從正常的應用市場和管道下載下傳安裝應用程式,不輕易安裝來曆不明的第三方軟體,或随意點選和通路一些具有誘導性質的不良網頁。
2.安裝防毒軟體或安全衛士,并定時進行全盤清除。
3.及時修複系統漏洞,更新系統版本、軟體版本和應用版本。
對企業而言
要防範計算資源被惡意挖礦所利用,企業機關應從以下4個方面做好安全防護措施:
1.雲端情報:利用雲端情報能力、線上專家服務能力與線下安全裝置結合,精準定位、處置本地惡意挖礦威脅;
2.網絡流量:利用流量檢測與大資料分析技術,多元度、深層次分析,識别網絡中存在的惡意挖礦攻擊特征,并關聯安全裝置實作自動處置;
3.邊界防禦:利用邊界網關産品對網絡中存在的惡意行為、惡意連接配接實作預警與攔截,實作對南北向資料流量精細化控制;
4.端點安全:利用終端安全防護平台為終端提供病毒防禦能力,識别終端存在的異常程式與異常連接配接,隔離終端及清除挖礦病毒。
解決方案如下: