高校被動挖礦專項整治思路

文 /金飛 沙琨 呂玉峰 徐捷

隨著社會信息化的發展和區塊鏈技術的廣泛應用，以比特幣為代表的多種虛擬貨幣價格水漲船高。巨額的利益促使從事“挖礦”業務的人越來越多。2013年，我國最早的比特幣礦池——“魚池”誕生；2014年，中國礦池異軍突起，“魚池”登頂算力榜第一，螞蟻礦池和BTCC礦池也都擠進了前十，世界“挖礦”業務的中心逐漸轉移到了中國。然而，在這種如火如荼的發展態勢下，因“挖礦”行為泛濫而帶來的巨大能耗、黑灰產業等嚴重問題逐漸暴露。

國家對此高度重視，2021年9月，國家發改委等部門聯合發布《關于整治虛擬貨幣“挖礦”活動的通知》，嚴禁新增虛擬貨幣“挖礦”項目，加快存量項目有序退出。后來，虛擬貨幣“挖礦”活動又被列為淘汰類產業。教育行業內，高校由于其高算力集中環境的特性成為重點整治區域。2019年，思科的一份報告指出，大學校園已成為虛擬貨幣的第二大礦工群體，大量的教學用戶終端、師生個人終端、數據中心服務器都可能成為“挖礦”病毒的感染對象。

“挖礦”攻擊流程分析

“挖礦”的本質是求解一道數學題，最先破獲答案就可以得到對應的數字貨幣獎勵。惡意“挖礦”是指在未經用戶同意或用戶不知情的情況下使用該用戶設備挖掘加密貨幣，并以隱蔽或不易察覺的方式使用其設備計算資源的行為為被動行為。通常情況下，惡意“挖礦”與設備感染“挖礦”木馬有關。“挖礦”攻擊的完整過程如圖1所示。

圖1 “挖礦”攻擊流程

據圖1可知，“挖礦”攻擊流程可分為以下四個階段：

1.入侵階段

該階段主要利用類似其他病毒木馬程序的傳播方式，例如釣魚欺詐、色情內容誘導、偽裝成熱門內容的圖片或文檔、捆綁正常應用程序等。當用戶被誘導內容迷惑并雙擊打開惡意文件或程序后，惡意“挖礦”程序就會成功入駐目標主機后臺并執行下一步動作。此外，高校暴露在公網上的主機、服務器、網站和 Web 服務，由于未及時更新系統或組件補丁，導致一些可利用的遠程漏洞；或者由于錯誤的配置和設置了較弱的口令導致登錄憑據被暴力破解或繞過認證和校驗過程。

2.內網擴散階段

惡意“挖礦”團體入侵校園網內部后，為感染更多目標主機，獲取最大利益，會采用不同的內外網攻擊策略，進行更高效的傳播，其主要手段是利用蠕蟲化的僵尸網絡攻擊。蠕蟲化的“挖礦”Botnet具備攻擊模塊，在內網能夠自動掃描并利用多漏洞組合攻擊的方式進行橫向擴散，同時能使受害主機成為新的攻擊源。在這種高效策略下，內網通常會在極短時間內大面積感染。攻擊者可以在控制端通過僵尸網絡下發指令到受害主機，執行分發“挖礦”木馬等惡意操作。

3.持久化駐留階段

“挖礦”木馬入侵成功后必定希望能夠長期穩定地利用主機計算資源，其技術上使用加殼、代碼混淆、CPU使用率偽裝等實現長期、隱蔽運行。同時，本階段“挖礦”木馬會修改主機啟動項、計劃任務腳本、將SSH公鑰寫入目標系統Root用戶“.ssh”目錄中，實現以Root用戶對該系統的長期訪問，即使木馬被查殺，也有可能定時從C2服務器下載新的惡意程序。

4.連接礦池階段

“挖礦”木馬的最終目的是非法牟利，本階段的行為主要是連接匿名公共礦池、私有礦池或者代理礦池，提交任務，獲取獎勵。

“挖礦”整治方案

目前，校內“挖礦”活動主要分為主動“挖礦”和被動“挖礦”。主動“挖礦”是內部人員出于好奇或者追求利益，違規私自利用學校公共資源“挖礦”；被動“挖礦”則是黑客通過網絡漏洞、暴力破解口令等方式入侵主機，獲得主機控制權使主機失陷，植入“挖礦”程序進行“挖礦”，或者利用部分校園網用戶安全意識薄弱的特點傳播木馬病毒，比如釣魚欺詐、惡意鏈接、偽裝成普通文件等手段，讓用戶在毫不知情的情況下進行“挖礦”。針對這兩種行為，學校應該從“檢測識別、阻斷隔離、定位治理、策略加固”四個方面出發，通過專業的安全管理人員、領先的安全技術、有效的管理措施，構建適合高校的全局化“挖礦”治理方案。治理思路如圖2所示。

圖2 “挖礦”治理思路

1.檢測識別

檢測識別的重點是對整個網絡環境的感知，主要目標是及時發現各類隱藏的惡意“挖礦”行為。采取云、地聯合方式，通過本地部署的態勢感知，全流量監測、流量探針等設備聯動第三方安全廠商云威脅情報數據庫，獲取活躍“礦池”信息，反向檢測網內礦機設備，并通過機器學習的方式實時更新本地特征庫，基于主要的“挖礦”協議（Stratum，GetBlockTemplate，GetWork等）、流量大小、常用端口等特征，對抓取到的校園網核心交換機鏡像流量進行分析比對。

對“挖礦”流量進行檢測，識別“挖礦”回連域名、“挖礦”回連IP等信息，確認“挖礦”行為；在終端部署EDR防病毒軟件，終端監控軟件，能夠持續監測終端設備運行狀態，通過監控終端層面硬件資源占用率、系統補丁狀態、系統進程、應用程序等方式來識別終端“挖礦”行為；最終需要將檢測信息反饋到阻斷隔離、定位治理、策略加固階段，從而構成整個威脅處理流程的閉環。

2.阻斷隔離

“挖礦”木馬的最終目的是連結“礦池”獲取任務和收益，針對這點結合檢測識別階段獲取的情報，利用防火墻、流量控制、Web應用防御、上網行為管理、DNS等設備對檢測識別到的“挖礦”回連域名、IP、端口多維度進行封堵，斷開礦機與礦池的通訊，阻斷“礦機”的“挖礦”活動，杜絕主動“挖礦”行為；對已經確認的“礦機”，要及時斷開其網絡連接，將其與校園網隔離，防止內網橫向擴散。

3.定位治理

為快速定位已發現的“礦機”，高校應該對園區內信息化資產進行全面梳理，保證資產臺賬的準確性。同時，校園網應該部署統一身份標識、身份管理、認證和終端綁定系統，將入網用戶個人信息與終端IP、MAC地址相關聯，構建全校范圍內的網絡信任體系，確保校園網絡空間實體可證、入網可控、行為可查。這樣就能精準定位到個人和終端以便于及時進行查殺處理。對于頑固性木馬，學校可以采取重新安裝操作系統的方式徹底清除。

4.策略加固

策略加固的主要目的是為了預防“挖礦”攻擊，而“挖礦”攻擊的主要技術手段有釣魚郵件、漏洞攻擊、暴力破解等。

針對這些攻擊手段，學校可以結合檢測識別的情報、統一日志平臺的相關日志，通過溯源“挖礦”木馬的攻擊方式、路徑，分析提取網絡安全脆弱性報告，對安全設備和用戶終端兩層策略進行加固：

在防火墻中添加已知的各類“礦池”域名、IP黑名單，攔截非法外連；在Web應用防護中開啟SQL注入漏洞、0day漏洞、WebShell上傳、跨部腳本等攻擊攔截規則，對檢測出的Web應用漏洞進行修補，并及時升級Web應用；對公開在互聯網中的網頁部署防篡改系統，防止網頁掛碼；在郵件安全網關中設置違規郵件關鍵字、釣魚郵件的域名黑名單，過濾、攔截垃圾郵件和釣魚郵件；全網段定期進行漏洞掃描，對發現的漏洞及時修補；在終端安全策略的加固主要依靠部署的終端管控系統，對入網用戶行為進行精準把控。通過管控系統，強制終端安裝殺毒軟件，開啟本機防火墻，配置出入站規則，關閉不需要的服務，增強密碼復雜度并定期更換，在管理端對135、445等高危端口進行封堵。

5.持續管理

高校“挖礦”的整治方案中，技術手段固然重要，但是核心還是在于日常管理的持續性。日常管理包含網絡設備管理和安全意識管理兩個層面，高校信息安全管理人員，應該對整個校園網的網絡態勢和安全體系架構有清晰的把握。同時，管理人員需關注最新的網絡安全時事和安全廠商公布的漏洞、木馬、礦池域名等信息，將其反饋到安全策略中進行相應調整，對安全設備進行日常維護、管理，及時更新、升級特征庫；對各種相關設備和安全事件日志做好最大限度的留存，以便于分析、取證和事后追溯；對重要的數據和系統進行定期備份，保障數據的安全性和重要業務的連續性。

此外，安全意識是高度信息化的當今社會第一道也是最重要的安全防線，高校應該對“挖礦”整治行動有足夠的重視，有針對性地宣傳國家打擊“挖礦”的背景、政策法規，點明“挖礦”木馬的危害性，從源頭上杜絕主動“挖礦”行為；強化校園網用戶的個人安全意識，減少被動“挖礦”的發生概率，普及簡單的針對性防護措施，例如對來源不明的郵件要保持警惕態度，不違規訪問不健康網站，避免打開帶有惡意“挖礦”程序的文件和未知的移動存儲介質，安裝必要的終端殺毒和安全防護軟件，增強密碼強度和復雜度，開啟終端防火墻等。

實際部署方案

按照“檢測識別、阻斷隔離、定位治理、策略加固”配合持續性安全管理的思路，實際應用部署拓撲如圖3所示。

圖3 防范“挖礦”部署拓撲

部署態勢感知，監控全網流量，發現“挖礦”行為；聯動防火墻（NF），下發礦池IP，域名封堵攔截“挖礦”行為；部署Web應用防護（WAF）、入侵檢測或防御系統、攔截網絡漏洞攻擊；通過上網行為管理，統一認證的校園網安全可信體系定位治理；統一日志服務器收集各種安全設備及DNS查詢日志，為事后溯源、策略加固提供依據；漏洞掃描設備配置定期自動掃描服務，及時發現和修補漏洞。整體部署形成針對“挖礦”行為的閉環治理體系。

當前國內的“挖礦”行業已被列為淘汰產業，但在國外市場中，虛擬貨幣的交易并未受到嚴重沖擊。可以預見，“挖礦”木馬的整治是一項長期的任務，且網絡攻擊技術的發展與網絡安全技術的進步可以說是相互依賴的。根據內生安全的理論，無論是安全設備硬件或者軟件，其自身都帶著“基因”上的安全缺陷。

因此，并不存在一勞永逸的防御體系，只有通過合適的技術手段配合持續性的常態化管理才能讓整治方案達到預期的成效。