挖矿木马成为恶意程序第二大威胁，国家全面升级“挖矿”整治力度

随着国家发改委开展一系列专项治理工作，虚拟货币“挖矿”进入强监管时代。在11月16日国家发改委召开的例行新闻发布会上，国家发改委新闻发言人孟伟表示，将继续做好虚拟货币全链条治理工作。 “挖矿”，继续整治高压态势下的虚拟货币“挖矿”。活动。这是继国家发改委等部门联合发布《关于整顿虚拟货币“挖矿”活动的通知》之后，整顿虚拟货币“挖矿”活动的又一有力举措。

从奇安信集团近年接获的应急响应事件来看，发现多家企业感染挖矿木马，不仅严重占用相关企业的计算机、网络、电力等宝贵生产资源，而且严重危害企业生产经营安全。根据奇安信发布的《网络安全应急响应典型案例集（2021）》），2021年上半年，奇安信安全团队共参与处理网络安全应急响应事件590起，其中挖矿木马占各类恶意程序的18.8%，仅次于勒索软件。毫无疑问，挖矿木马已经成为网络安全防护的一大挑战。

全国重点整顿虚拟货币“挖矿”

此前，《关于整顿虚拟货币“挖矿”活动的通知》要求全面审查虚拟货币“挖矿”项目，严禁投资建设新项目；加快现有项目有序退出。 11月10日，国家发改委召开虚拟货币“挖矿”治理工作视频会议，要求各省、各地区负起属地责任，建立制度和监管，清理整顿境内虚拟货币“挖矿”活动。对涉及国有单位机房的“挖矿”活动，严肃查处。

随后，国家发改委16日召开例行会议。新闻发布会上，国家发改委新闻发言人孟伟表示，下一步，国家发改委将重点抓好产业式集中“挖矿”，国有单位参与“挖矿”。 ”和比特币“挖矿”进行全面整治。严查国有单位机房涉“挖”活动向全国“挖”活动，国家发改委明确采取“零容忍”态度重点整改，范围和力度治理范围进一步扩大。

虚拟货币“挖矿”活动的背后，一方面是巨大算力带来的高能耗、高碳排放，对行业发展造成不利影响；另一方面， “挖矿”活动的盲目无序发展，将扰乱我国正常的金融秩序，滋生违法犯罪活动，严重威胁网络安全，进而威胁社会稳定和国家安全。

长期以来，虚拟货币的流行发展为利用“挖矿”木马控制肉鸡的网络黑产状态，提供犯罪土壤和发展机会。事实上，“挖”木马会影响政企组织组织系统的运行速度，占用计算机资源，并可能中断业务的正常运行。 “我的”木马通常会关闭防火墙、获取管理员权限、植入后门等，这意味着大家眼中的“良性病毒”随时可能变成“病态”，窃取核心业务数据，发动其他网络攻击如敲诈勒索，其危害性不容小觑。

挖矿木马影响多个行业的政府、制造、交通等，深受影响

2021年8月，奇安鑫安福团队接到某制造业客户的紧急响应，该公司服务器感染了挖矿病毒全国范围内比特币挖矿排查，恢复快照后仍出现再次感染。用户希望检查受害服务器并追踪入侵源。

千鑫应急响应人员迅速赶到现场进行调查。经分析，确认服务器感染了AutoUpdate挖矿病毒。经过安全工程师的分析和溯源，挖矿病毒被彻底解决。奇安信为客户提供预防建议，包括在服务器上部署和安装杀毒软件，定期扫描和查杀服务器病毒，使用态势感知产品，防止漏洞利用，提高系统安全基线，防止黑客入侵。

今年2月，安福应急响应团队收到了一位交通行业客户的应急响应请求。客户站点上的大量主机感染了病毒并与外国地址建立了通信。奇安信迅速到达客户现场，部署SkyEye威胁感知和预警设备，配置全网流量镜像，分析SkyEye告警和日志，确认客户外网区电教室数十台主机被感染了采矿病毒并与外国有联系。矿池。经过病毒样本分析，确定感染了新的WannaMine4.0变种。

“挖矿病毒特性变化快，很难通过一款产品实现有效防护。需要在深度防护体系的基础上构建多重防护机制，结合病毒特点进行携带出针对性的多重检测和保护。”奇安信安全专家表示。

那么挖矿木马是如何入侵组织的呢？奇安信威胁情报中心基于对各个挖矿家族的长期跟踪和分析，总结出以下三个步骤：第一步，寻找初始攻击入口，包括利用1天或N天漏洞，和公共网络。对易受攻击的主机和服务进行远程攻击，对目标服务器进行暴力破解，并在主机上打开 Web 服务和应用程序。

第二步主要是植入、执行和持久化。例如，奇安新安服务团队在紧急响应某政府客户时，攻击者利用获取的服务器权限上传SystemdMiner挖矿木马程序，配置定时任务，定期连接矿池域名挖矿程序本身具有自动扫描和自我传播功能，同时对内网进行横向感染。

第三步是竞争和对抗。攻击者植入挖矿程序后，不仅会使用安全设备与之对抗，甚至会与其他挖矿程序展开“战斗”，企图垄断资源。

面对攻击性强的挖矿木马，奇安信专家认为，在大量的应急响应案例中，挖矿木马的安全防护应遵循以下四个原则。

一是及时安装补丁或将相关应用更新到最新版本，或在安全更新不可用时采取适当的缓解措施。

其次，要对在线系统和业务采取正确的安全配置策略，使用严格的认证和授权策略全国范围内比特币挖矿排查，设置复杂的访问凭证。

再次是加强企业人员的安全意识，防止企业人员使用恶意挖矿程序访问文件和网站，或者使用安全性未知的U盘等移动存储介质。

最后是购买相应的检测和防护方案。虽然主机的CPI、GPU或网络资源使用率通常在感染挖矿木马后会异常增加，但经验丰富的运维人员可以通过卡顿和资源使用异常轻松进行人工排查。但是，有系统的检测和保护方案仍然是首选。

贯穿“edge-network-host-terminal”，系统的检测方案必不可少

为更好配合国家“矿”综合整治，近日，奇安信发布《关于企业开展“矿”行为专项整治的建议和方案（简称：“矿”专项整治方案） 》），从对“挖矿”病毒的监测、分析、处置、溯源等方面进行闭环处置等。通过规划设计，形成了针对性很强的专项整治工具，主要包括天眼（新一代安全感知系统）、交途（服务器安全管理系统）、天擎（终端安全管理系统）、奇安信安全专家服务、安全访问服务（Q-SASE）等。

在监控分析环节，主要通过天眼部署，提供威胁情报和威胁监控分析能力。天眼包括三大产品设备组件：传感器、文件威胁检测器（即沙盒系统）和分析平台。可提供挖矿病毒特殊威胁情报检测、可疑挖矿病毒变种样本分析、未知挖矿病毒异常外展行为检测。 、挖掘病毒传播过程分析等功能服务。

在处理阶段，通过部署辣椒图，对操作系统内核、中间件、系统应用进行深度入侵防护加固，结合资产清点、漏扫、风险发现、（挖矿）病毒防- 查杀、基线检查等功能，对攻击行为进行分析、追踪、拦截等措施，对服务器进行由内而外的三维防护；安全强化可防止外部攻击。

同时，客户可以部署邮件威胁检测系统、DNS威胁检测系统等，从钓鱼/诈骗邮件检测、邮件账户收费、邮件暴力破解检测，以及恶意域名检测、恶意域名拦截、DNS隐蔽通道、DGA域名检测等方面，提供高效的检测和处置解决方案。

该计划还提供专家服务的快速处置。奇安信安全服务专家根据天眼、交途、天晴发现的异常情况和告警，分析判断安全事件，迅速采取相应措施，应对“矿”病毒突发事件。

此外，对于拥有大量分支机构的大型集团公司，奇安信还可以提供上网流量封堵服务，应对复杂的挖矿木马检测工作。奇安信安全接入服务（Q-SASE）集安全运营、零信任、安全SD-WAN、云安全管理等优势于一体，可对上网流量进行全面排查，同时链接各种安全可疑挖矿程序的设备。准确报警、定位、溯源，形成处置方案和建议，为企业全面自查、自纠、整改后自查过程提供参考。