張繼梅 蔡磊

摘? ?要：近年來，虛擬貨幣變得越發(fā)炙手可熱，吸引了大量的投資資金參與比特幣的相關(guān)交易。同時，也催生了虛擬貨幣挖礦產(chǎn)業(yè)，各路龐大的資金紛紛投入到虛擬貨幣的挖礦活動中。尤其是政企內(nèi)部人員利用辦公資源和企業(yè)電力進(jìn)行挖礦，或利用自身管理的服務(wù)器和其他網(wǎng)絡(luò)設(shè)備，通過部署礦機(jī)的方式進(jìn)行挖礦，治理這種假公濟(jì)私和網(wǎng)絡(luò)安全管理不到位的行為刻不容緩。挖礦活動的治理需要從檢測—阻斷—定位處置—預(yù)防出發(fā)，制定立體化的防護(hù)治理方案。

關(guān)鍵詞：虛擬貨幣；“挖礦”活動；危害；治理難點(diǎn)；治理對策

中圖分類號：F831.7? ? ? ?文獻(xiàn)標(biāo)志碼：A? ? ? 文章編號：1673-291X（2023）19-0156-03

近年來虛擬貨幣越發(fā)炙手可熱，特別是以比特幣為首的虛擬貨幣的幣值一度突破60 000美元大關(guān)，吸引了大量的投資參與比特幣的相關(guān)交易。同時也催生了虛擬貨幣挖礦產(chǎn)業(yè)，各路龐大的資金紛紛投入到虛擬貨幣的挖礦活動。

2021年9月24日，央行公布了《關(guān)于進(jìn)一步防范和處置虛擬貨幣交易炒作風(fēng)險的通知》明確虛擬貨幣兌換等均屬非法金融活動。2021年9月24日，國家發(fā)改委、中央網(wǎng)信辦等11部門發(fā)布《關(guān)于整治虛擬貨幣“挖礦”活動的通知》，強(qiáng)調(diào)要全面梳理排查虛擬貨幣“挖礦”項(xiàng)目，嚴(yán)禁新增項(xiàng)目投資建設(shè)，加快存量項(xiàng)目有序退出。2021年11月10日下午，國家發(fā)改委 “挖礦”治理專題視頻會議中強(qiáng)調(diào)，嚴(yán)查嚴(yán)處國有單位機(jī)房涉及的“挖礦”活動。

一、虛擬貨幣“挖礦”活動的概念

所謂挖礦活動是指通過大量計算機(jī)、服務(wù)器的算力來運(yùn)算一個哈希值的過程，誰能第一個計算出來，并通知全網(wǎng)得到驗(yàn)證，誰就算挖到了這個區(qū)塊，從而獲取虛擬貨幣的行為。掌握的算力越多能挖到的區(qū)塊越快越多。其中的“礦”就是指比特幣一類的以區(qū)塊鏈技術(shù)為基礎(chǔ)虛擬貨幣；“挖礦”則是指在區(qū)塊鏈的“區(qū)塊鏈網(wǎng)絡(luò)”上挖比特幣等虛擬貨幣的行為；“礦機(jī)”是指運(yùn)行挖礦程序的計算機(jī)、服務(wù)器的設(shè)備。

常見的虛擬貨幣有“比特幣”“狗幣”“萊特幣”“KDA幣”“以太幣”以及“門羅幣”等。

二、虛擬貨幣“挖礦”行為的主要來源

一是政企內(nèi)部人員自主挖礦。政企內(nèi)部人員利用辦公資源和企業(yè)電力進(jìn)行挖礦，或利用自身管理的服務(wù)器和其他網(wǎng)絡(luò)設(shè)備，通過部署礦機(jī)的方式進(jìn)行挖礦，是最典型的假公濟(jì)私。二是網(wǎng)站頁面存在挖礦腳本。在網(wǎng)頁中插入一段用于挖礦的JS代碼，用戶瀏覽時即可在主機(jī)挖礦，在加密貨幣具備價值的前提下，這種變現(xiàn)模式比流量和廣告變現(xiàn)要容易得多。在利益驅(qū)動下，很多網(wǎng)站甚至廣告平臺被曝光網(wǎng)頁植入挖礦腳本。三是終端感染挖礦木馬。攻擊者利用密碼爆破、垃圾郵件、掛馬網(wǎng)頁、僵尸蠕蟲、軟件捆綁等手段，控制大量終端并植入挖礦程序。四是服務(wù)器被植入挖礦程序。服務(wù)器安全管理不到位或軟件補(bǔ)丁更新不及時，則可能由于口令、應(yīng)用程序漏洞等原因，被攻擊者成功入侵，植入惡意挖礦代碼。

三、虛擬貨幣“挖礦”活動的危害

挖礦活動會增加額外運(yùn)行成本，挖礦行為會導(dǎo)致組織的電腦卡頓、CPU飈滿、功耗增加，成本暴漲。挖礦主機(jī)會被植入病毒，導(dǎo)致組織重要數(shù)據(jù)泄露，成為繼續(xù)對內(nèi)網(wǎng)滲透或攻擊其他目標(biāo)的跳板，導(dǎo)致更嚴(yán)重的網(wǎng)絡(luò)安全攻擊事件等。

四、“挖礦”活動治理的難點(diǎn)

一是防火墻形同虛設(shè)。防火墻開啟防病毒后性能大幅下降，無法滿足防護(hù)要求，對內(nèi)部人員挖礦行為無法及時發(fā)現(xiàn)，依然會被監(jiān)管單位發(fā)現(xiàn)并通報。二是告警溯源困難。用戶網(wǎng)絡(luò)多為DHCP環(huán)境，需要運(yùn)維人員查詢多個日志才能進(jìn)行溯源，面對數(shù)量眾多的終端，運(yùn)維人員難以溯源。三是難防病毒橫向擴(kuò)散。挖礦木馬的防治除了避免外來的傳染源，內(nèi)部傳播也要及時切斷，才能將危害降到最低，只通過出口攔截的方式無法徹底治理病毒。四是挖礦木馬種類繁多。多數(shù)病毒在入侵終端后會破壞并結(jié)束終端的安全防護(hù)軟件，具備一定的查殺對抗能力，且能夠隱藏自身進(jìn)行掃描攻擊和挖礦，常規(guī)終端安全軟件難以清除。

五、虛擬貨幣“挖礦”活動治理對策

（一）配備挖礦活動治理需要的硬件與軟件設(shè)備

一是防火墻。南北向發(fā)現(xiàn)挖礦活動及挖礦木馬流量（IPS/AV）特征、威脅情報（TI）進(jìn)行南北向阻斷。二是高級持續(xù)性威脅預(yù)警系統(tǒng)。單位內(nèi)潛在的礦機(jī)和外部礦池間的通信流量及協(xié)議進(jìn)行深度解析和分析，發(fā)現(xiàn)礦機(jī)及其連接的礦池間的通信行為并告警，聯(lián)動防火墻阻斷挖礦鏈接。三是身份認(rèn)證系統(tǒng)。聯(lián)動防火墻、高級持續(xù)性威脅預(yù)警系統(tǒng)告警＼IP＼時間等信息與帳號匹配精確識別用戶定位及溯源。四是三層交換機(jī)。高級持續(xù)性威脅預(yù)警系統(tǒng)聯(lián)動阻斷內(nèi)網(wǎng)東西流量避免挖礦病毒在內(nèi)部網(wǎng)絡(luò)橫向傳播。五是終端安全系統(tǒng)。及時查殺挖礦木馬及禁止挖礦程序，同時可實(shí)時監(jiān)控企業(yè)終端的系統(tǒng)資源占用率，狀態(tài)、系統(tǒng)進(jìn)程、應(yīng)用程序等信息，分析可疑的挖礦行為，并提供多維度的及時響應(yīng)措施，全面保障企業(yè)免疫挖礦活動及挖礦病毒入侵。

（二）明確挖礦活動的治理思路

挖礦活動的治理需要從檢測—阻斷—定位處置—預(yù)防出發(fā)，構(gòu)建立體化的防護(hù)治理方案。化被動為主動，從源頭避免損失，有效檢測識別挖礦行為，避免挖礦行業(yè)和挖礦木馬病毒和程序長期潛伏；通過檢測、阻斷、定位處置、預(yù)防立體防護(hù)手段，實(shí)現(xiàn)網(wǎng)端安全協(xié)同閉環(huán)，精準(zhǔn)快速處置內(nèi)部挖礦主機(jī)以及病毒感染主機(jī)、深度溯源，防止內(nèi)部人員挖礦以及挖礦病毒感染傳播以及復(fù)發(fā)。一是檢測識別。監(jiān)測特定通信協(xié)議及行為定位挖礦主機(jī)，基于礦池的活躍情報信息、反向定位和監(jiān)測中招礦機(jī)，監(jiān)測礦機(jī)木馬的活躍行為深度發(fā)現(xiàn)礦機(jī)，發(fā)現(xiàn)礦機(jī)監(jiān)測通過挖礦木馬文件程序進(jìn)行的入侵行為。二是阻斷攔截。利用云安全威脅情報與防火墻聯(lián)動將挖礦DNS域名一網(wǎng)打盡并阻斷相關(guān)挖礦通信流量，通過與交換機(jī)聯(lián)動收集交換機(jī)sflow采樣，實(shí)現(xiàn)全網(wǎng)東西向挖礦流量的識別阻斷，阻斷挖礦木馬內(nèi)部的橫向病毒復(fù)制。三是定位處置。認(rèn)證系統(tǒng)聯(lián)動與防火墻等安全設(shè)備中的告警、IP、時間信息在系統(tǒng)中進(jìn)行匹配，可以輕松得出包括使用人員賬號、時間和具體告警信息的完整的精確定位和溯源。通過精確定位后利用部署一體化終端安全管理系統(tǒng)及時查殺挖礦木馬及禁止挖礦程序。四是預(yù)防保護(hù)。安全運(yùn)維人員及時修復(fù)遠(yuǎn)程利用監(jiān)測時，對于在線和系統(tǒng)業(yè)務(wù)需要采用正確的安全配置策略，加強(qiáng)企業(yè)機(jī)構(gòu)人員的安全意識，避免企業(yè)人員訪問帶有惡意挖礦程序的文件、網(wǎng)站；制定相關(guān)安全條款及內(nèi)部管理規(guī)范，杜絕內(nèi)部人員的主動挖礦行為。

（三）檢測

通過安全流量設(shè)備自動化的檢測及分析，對內(nèi)部網(wǎng)絡(luò)層的流量進(jìn)行分析，幫助用戶及時發(fā)現(xiàn)網(wǎng)絡(luò)中是否存在挖礦行為。

挖礦活動檢測識別：一是監(jiān)測特定通信協(xié)議及行為定位挖礦主機(jī)。挖礦木馬感染主機(jī)和礦池通信一般采用stratum、GetWork、GetBlockTemplate等通信協(xié)議，通信內(nèi)容一般會帶有特殊的字符特征及行為特征，如“method”“params”“mining”“difficulty”“blob”“nonce”等和登記、任務(wù)下發(fā)，成果提交相關(guān)的特征，通過特征和行為規(guī)則匹配的方式，發(fā)現(xiàn)挖礦行為，定位礦機(jī)。二是基與礦池的活躍情報信息，反向定位和監(jiān)測中招礦機(jī)。通常情況下，尤其是服務(wù)器類型的設(shè)備，都不會主動對礦池地址發(fā)起請求，除非該服務(wù)器正在進(jìn)行挖礦行為，基于此特性，通過采集流量中的DNS請求和IP地址與虛擬貨幣礦池情況庫進(jìn)行比對，如果匹配成功，就會輸出相應(yīng)的情報告警數(shù)據(jù)，從而確認(rèn)內(nèi)網(wǎng)存在的挖礦行為。三是監(jiān)測礦機(jī)木馬的活躍行為深度發(fā)現(xiàn)礦機(jī)。動態(tài)域名模塊：虛擬貨幣礦池提供商擴(kuò)充節(jié)點(diǎn)時候會變化域名前綴，基于全域名方案會漏報，因此通過動態(tài)域名檢測方式，對礦池域名進(jìn)行長期監(jiān)控，可以避免子域名變動導(dǎo)致的漏報。心跳行為：如果攻擊者自己部署虛擬貨幣礦池節(jié)點(diǎn)，不對外公布礦池節(jié)點(diǎn)域名或者直接通過IP進(jìn)行訪問，或者在挖礦協(xié)議通信中加入混淆技術(shù)，甚至利用https加密挖礦通信流量，那么通過特征和情報檢測方式是無法進(jìn)行有效的檢測，但是礦工與礦池為了保證通信的實(shí)時，會產(chǎn)生心跳行為，通過異常行為檢測模塊中的心跳檢測功能可以發(fā)現(xiàn)以上挖礦行為。四是監(jiān)測通過挖礦木馬文件程序進(jìn)行的入侵行為。挖礦木馬的傳播過程中，需要傳遞挖礦程序到受害端，因此通過流量還原的方式，針對挖礦程序進(jìn)行虛擬沙箱檢測，從而發(fā)現(xiàn)挖礦木馬。

（四）阻斷

檢測出挖礦流量后利用防火墻將挖礦DNS域名一網(wǎng)打盡，全部阻斷，主機(jī)一旦發(fā)起對挖礦域名的申請，防火墻立刻就能將其隔斷，檢測出挖礦主機(jī)后利用交換機(jī)端口隔離阻斷中毒主機(jī)在內(nèi)網(wǎng)東西向的流量，以阻止挖礦病毒橫向傳播感染更多的主機(jī)，避免挖礦病毒大規(guī)模爆發(fā)。

挖礦活動阻斷攔截：一是出口防火墻阻斷挖礦流量。利用云安全威脅情報與防火墻聯(lián)動將挖礦DNS域名一網(wǎng)打盡，挖礦主機(jī)一旦發(fā)起對挖礦城名的申請，防火墻立刻就能將其隔斷，直接阻止其解析過程，避免監(jiān)管單位通報。同時協(xié)助檢測系統(tǒng)對流量進(jìn)行深度識別。哪怕挖礦流量更隱蔽，系統(tǒng)的識別庫可以根椐錢包字段、密鑰交等挖礦的特征行為將其精準(zhǔn)識別，全面封堵挖礦病毒。二是阻斷橫向擴(kuò)散遏制內(nèi)部傳播。網(wǎng)絡(luò)邊界布置安全設(shè)備只阻斷對外流量，這樣無法阻止病毒在內(nèi)部傳播，部分挖礦木馬還具備蠕蟲化的特點(diǎn)，可以滲透內(nèi)網(wǎng)，嚴(yán)重威脅服務(wù)器安全。通過與交換機(jī)聯(lián)動收集交換機(jī)Sflow采樣，實(shí)現(xiàn)全網(wǎng)東西各挖礦流量的識別阻斷。在識別感染主機(jī)后，同時下發(fā)策略給交換機(jī)，在端口將中毒主機(jī)下線，阻斷挖礦木馬內(nèi)部的橫向病毒復(fù)制，挖礦活動整治更加徹底（穩(wěn)固）。

（五）定位處置

在確定用戶網(wǎng)絡(luò)中存在挖礦行為時，通過與認(rèn)證準(zhǔn)入系統(tǒng)的聯(lián)動精準(zhǔn)的定位挖礦主機(jī)，再通過軟件查殺或手工清除的方式根除挖礦程序和挖礦病毒。

挖礦活動定位處置：一是精確定位。在將挖礦活動流量的DNS攔截后，方案將與認(rèn)證系統(tǒng)聯(lián)動與防火墻等安全設(shè)備中的告警、IP、時間信息在系統(tǒng)中進(jìn)行匹配，可以輕松得出包括使用人員賬號、時間和具體告警信息等完整的精確定位和溯源。規(guī)避了DHCP環(huán)境下無法精準(zhǔn)定位人員的問題。二是查殺處置。通過精確定位后利用部署一體化終端安全管理系統(tǒng)及時查殺挖礦木馬及禁止挖礦程序，同時可實(shí)時監(jiān)控企業(yè)終端的系統(tǒng)資源占用率，狀態(tài)、系統(tǒng)進(jìn)程、應(yīng)用程序等信息，分析可疑的挖礦行為，并提供多維度的及時響應(yīng)措施，全面保障企業(yè)免疫挖礦活動及挖礦病毒入侵。

（六）預(yù)防

處置完成后協(xié)助用戶分析現(xiàn)有網(wǎng)絡(luò)安全管理漏洞及網(wǎng)絡(luò)中存在的安全問題，從風(fēng)險削減的角度出發(fā)，幫助用戶完善網(wǎng)絡(luò)安全體系建設(shè)。

挖礦活動預(yù)防保護(hù)：一是企業(yè)網(wǎng)絡(luò)或系統(tǒng)管理員以及安全運(yùn)維人員應(yīng)該在企業(yè)內(nèi)部使用相關(guān)系統(tǒng)，組件和服務(wù)出現(xiàn)公開的相關(guān)遠(yuǎn)程利用漏洞時，盡快更新到最新版本，或在為推出安全更新時采取恰當(dāng)?shù)木徑獯胧?。二是對于在線系統(tǒng)和業(yè)務(wù)需要采用正確的安全配置策略，使用嚴(yán)格的認(rèn)證和授權(quán)策略，并設(shè)置復(fù)雜的訪問憑證。三是加強(qiáng)企業(yè)機(jī)構(gòu)人員的安全意識，避免企業(yè)人員訪問帶有惡意挖礦程序的文件、網(wǎng)站。四是制定相關(guān)安全條款及內(nèi)部管理規(guī)范，杜絕內(nèi)部人員的主動挖礦行為。

六、結(jié)束語

近年來，隨著虛擬貨幣的瘋狂炒作，挖礦病毒已經(jīng)成為不法分子利用最為頻繁的攻擊方式之一。病毒傳播者可以利用個人電腦或服務(wù)器入侵其他單位服務(wù)器或云環(huán)境資源進(jìn)行挖礦，導(dǎo)致挖礦病毒、木馬泛濫的同時浪費(fèi)業(yè)務(wù)單位電力、計算機(jī)資源。尤其是學(xué)校環(huán)境為高計算集中環(huán)境、校園數(shù)據(jù)中心存放大量服務(wù)器、云主機(jī)、虛擬主機(jī)、同時教室辦公終端、學(xué)生終端數(shù)量巨大，都成為挖礦病毒的感染對象。因此，整治虛擬貨幣挖礦活動對促進(jìn)我國產(chǎn)業(yè)結(jié)構(gòu)優(yōu)化、推動節(jié)能減排、如期實(shí)現(xiàn)碳達(dá)峰、碳中和目標(biāo)具有重要意義。

參考文獻(xiàn)：

[1]? ?國同光.“移動網(wǎng)絡(luò)+安全”預(yù)防校園變“礦場”[J].計算機(jī)與網(wǎng)絡(luò)，2021（12）.

[2? ?王熠玨.“區(qū)塊鏈+”時代比特幣侵財犯罪研究[J].東方法學(xué)，2019（3）.

[3]? ?孫一蓬.虛擬加密貨幣與區(qū)塊鏈共識機(jī)制[J].電腦知識與技術(shù)，2018（32）.

[4]? ?畢文慧.比特幣對我國法定數(shù)字貨幣的影響[J].華中科技大學(xué)學(xué)報，2017（1）.

[5]? ?魏可源.關(guān)于網(wǎng)絡(luò)安全和數(shù)據(jù)隱私需要了解什么[J].計算機(jī)與網(wǎng)絡(luò)，2018（6）.

[6]? ?陳胤翀.虛擬貨幣及ICO首次代幣發(fā)行[J].中國科技投資期，2018（3）.

[7]? ?黃林.比特幣等虛擬貨幣的基本原理及其風(fēng)險與沖擊[J].投資與創(chuàng)業(yè)，2019（10）.

[8]? ?曹建.帶有不耐煩顧客和工作故障的排隊(duì)系統(tǒng)研究[J].秦皇島：燕山大學(xué)，2019（1）.

[9]? ?趙文軍.挖礦病毒處理案例分析及思考[J].現(xiàn)代信息技術(shù)，2020（12）.

[責(zé)任編輯? ?衛(wèi)? ?星]