多重監管之下，誰還在“挖礦”？

引言

自2021年以來，針對虛拟貨币“挖礦”的監管持續加碼的情況下，誰還在挖礦？

“挖礦”事件再次發生

4月6日消息，據某微網誌部落客爆料，某新能源汽車企業員工張某使用公司伺服器資源挖虛拟貨币。此人原擔任某叢集伺服器管理者，利用職務之便進行“挖礦”行為。在調查中，張某對自己的違規行為供認不諱，該行為涉嫌違反中華人民共和國刑法第285條第二款非法控制計算機資訊系統罪，對企業計算機系統安全和商業資訊安全造成負面影響。

相關政策，多管齊下

自2021年以來，針對虛拟貨币“挖礦”的監管持續加碼：

早在2021年5月份，國務院金融穩定發展委員會（簡稱“金融委”）就已經定調要堅決打擊比特币挖礦和交易行為，防範個體風險向社會領域傳遞。

2021年9月開始，工信部、國家發改委、公安部、人行、銀保監、國家能源局、網信辦等部門以及各地區接連出台相關措施，加大核查與整治“挖礦”力度。

從2021年第4季度開始，國内各營運商、教育機構等企業機關根據發改委和網信辦的要求，不斷封禁國内外的礦池位址，已知的網頁和APP均無法通路，國内各大礦群也是一片鬼哭狼嚎。

與此同時，也在嚴厲打擊個人“挖礦”行為：

企業機關中，若存在個人“挖礦”現象，則會被直接叫停，并勒令整改。

家庭帶寬中，若在家使用電腦挖礦，也會被營運商監測到存在挖礦行為為由，直接關停家中的網絡帶寬。

各行各業，依然存在

活躍礦池，均在境外

高收益，緻使惡意挖礦活動屢禁不止

近幾年，虛拟貨币的價格激增，這種高收益吸引了各路參與者加入到挖礦行業，也是惡意挖礦活動盛行主要原因。

惡意挖礦程式通常伴随着加密貨币市場的繁榮而出現，加密貨币價格與惡意挖礦活動有一定的關聯性，價格越高時，惡意挖礦活動就越活躍，而今年是曆年來加密貨币發展和升值最為瘋狂的一年，而現在各國都在大力發展區塊鍊技術，未來很長一段時間，加密貨币行業都不會再暗淡下去，而因加密貨币而引起的各類惡意活動将會更加流行，網絡安全形勢将會更加複雜多變。

惡意挖礦的危害

具備隐藏自身的功能，但這并不意味着它不會對你的裝置造成損害。實際上，這種對計算資源的竊取會大幅降低運作速度，加大電力消耗，并縮短裝置的使用壽命，進而影響業務或生産環境的正常營運。

受感染的裝置通常會産生以下較為明顯的負面影響：

系統運作速度變慢

增加處理器使用率

裝置過熱

增加電力消耗

惡意挖礦活動對單台裝置的影響相對較小，但如果網絡環境遭遇大範圍傳播感染的情況，網絡将會出現明顯示卡頓、運作過慢等異常現象，導緻性能降低甚至當機的情況發生，如果感染的是來自公用事業、制造業、能源行業、金融業的實體組織，惡意挖礦還可能影響其重要業務和資料的安全性，進而引起一系列的連鎖反應，造成難以評估的營運、生産損失。

根據安恒資訊獵影實驗室針對多個惡意挖礦團體、惡意挖礦木馬家族等資料研究分析，發現攻擊者正在嘗試以下幾種手段進行挖礦：

使用隐藏CPU使用率的新技術

研究人員發現Golang蠕蟲挖礦木馬就是通過特定型号的寄存器（MSR）驅動程式來禁用硬體預取器。硬體預取器是一種新的技術，處理器會根據核心過去的通路行為來預取資料，處理器（CPU）通過使用硬體預取器，将指令從主記憶體存儲到二級緩存中。然而，在多核處理器上，使用硬體預取會造成功能受損，并導緻系統性能整體下降。XMRig需要依賴機器的處理能力來挖掘Monero币，禁用MSR能夠有效阻止系統性能下降，進而提升挖礦效率。

黑産組織之間争奪挖礦資源

在惡意挖礦活動中，可能會出現兩個惡意挖礦家族互相争奪受害計算機資源的情況，這種較量通常在Linux和雲環境中進行，挖礦木馬會利用多種手法清理或阻止、幹擾受害主機上其他家族的挖礦行為，從系統中删除競争對手來獨享資源。

比較廣為人知的是Pacha和Rocke黑産組織的雲上資源争奪事件，這兩個組織所使用的技術、戰術、方法都極其相似，這種同行之間互相競争的現象有助于提高操作員的技能水準。

工控系統成為新的礦機目标

随着時間流逝，挖礦活動所産出虛拟貨币越來越少，對算力的需求越來越大，一些攻擊者已經不滿足選擇諸如PC或移動裝置作為其挖礦工具，而是将目光瞄向了具有高性能、高處理能力的基礎設施。工業控制系統的内部網絡還可能存在過時或未打更新檔的軟體，因為部署新的作業系統和更新可能會無意中破壞關鍵的傳統平台，是以系統可能仍停留在舊版本當中。

對于從事惡意挖礦活動的攻擊者而言，工廠是一個誘人的目标，由于許多基線操作不會使用大量處理能力，但會消耗大量電力，這使得挖掘惡意軟體能夠相對容易地掩蓋其 CPU 和功耗，即使查到系統異常，但排查控制系統上的網絡威脅也需要相當多的時間成本。

如何預防惡意挖礦

對個人而言

要預防個人計算機被惡意挖礦所利用，我們每個人應從以下方面做好安全措施：

1. 提高個人安全意識，從正常的應用市場和管道下載下傳安裝應用程式，不輕易安裝來曆不明的第三方軟體，或随意點選和通路一些具有誘導性質的不良網頁。

2.安裝防毒軟體或安全衛士，并定時進行全盤清除。

3.及時修複系統漏洞，更新系統版本、軟體版本和應用版本。

對企業而言

要防範計算資源被惡意挖礦所利用，企業機關應從以下4個方面做好安全防護措施：

1.雲端情報：利用雲端情報能力、線上專家服務能力與線下安全裝置結合，精準定位、處置本地惡意挖礦威脅；

2.網絡流量：利用流量檢測與大資料分析技術，多元度、深層次分析，識别網絡中存在的惡意挖礦攻擊特征，并關聯安全裝置實作自動處置；

3.邊界防禦：利用邊界網關産品對網絡中存在的惡意行為、惡意連接配接實作預警與攔截，實作對南北向資料流量精細化控制；

4.端點安全：利用終端安全防護平台為終端提供病毒防禦能力，識别終端存在的異常程式與異常連接配接，隔離終端及清除挖礦病毒。

解決方案如下：