隨著加密貨幣市值的一路飆升，惡意挖礦軟件正在全球肆虐，比員工上班摸魚更可怕的是，來自外部或內部的挖礦軟件正在悄悄消耗著企業的IT資源，侵蝕企業利潤。當不法分子通過 Web 服務器和瀏覽器劫持系統時，就會發生加密劫持（挖礦）。惡意 JavaScript 通常被注入或植入 Web 服務器，當用戶訪問網頁時，瀏覽器就會被感染，將他們的計算機變成礦工。

監控網絡性能

首先，企業安全團隊需要檢查系統性能。終端用戶可能會注意到 CPU 使用率過高、溫度變化或風扇速度加快，這可能是業務應用程序編碼不當的征兆，但也可能表明系統上存在隱藏的惡意軟件，企業可以設置安全基線以更好地發現系統中的異常。不過，僅僅依靠性能異常來識別系統是否受影響也并不是萬全之策。

[[435750]]

最近的事件表明，攻擊者正在限制對系統 CPU 的需求以隱藏其影響。例如，近期微軟數字防御報告就指出越南威脅組織 BISMUTH 針對法國和越南的私營部門和政府機構，正在通過“融入”正常網絡活動來避免檢測。因為加密貨幣礦工往往被安全系統視為優先級較低的威脅，所以 BISMUTH 能夠在不被注意的情況下潛入系統。

查看未經授權連接的日志

除了檢查表現異常的計算機之外，企業還應查看防火墻和代理日志，了解它們正在建立的連接，以檢測隱蔽的惡意挖礦活動。企業最好能準確地獲知有權連接的位置和IP地址，如果此過程過于繁瑣，請至少查看防火墻日志并阻止已知的加密礦工服務器地址。近日 Nextron 的一篇博客文章分析了常見加密礦池，推薦查看防火墻或 DNS 服務器是否受到影響。

例如，查看是否有包含 *xmr.* *pool.com *pool.org 和 pool.* 的日志，看看是否有人正在濫用企業網絡。如果企業有一個高度敏感的網絡，可以設置白名單允許必要的IP地址訪問，不過，在云計算時代，這種方法很難實現。舉例說明，當微軟為其 Azure 數據中心添加新范圍時，微軟客戶就可能需要調整授權 IP 地址列表，這無疑給客戶增加了負擔。

使用瀏覽器擴展組件，阻止惡意挖礦軟件

一些瀏覽器擴展組件能夠監控并阻止惡意挖礦軟件，例如NoCoin和MinerBlocker就能監控可疑活動，并阻止攻擊，兩者都是適用于 Chrome、Opera 和 Firefox 的擴展程序。企業還可以通過禁用瀏覽器 JavaScript 阻止惡意活動，因為惡意 JavaScript 應用程序通過橫幅廣告和其他網站操作技術傳播。不過，在企業中禁用瀏覽器JavaScript需要提前確認核實，因為這么做可能會對網站業務功能產生不利影響。

啟用Edge瀏覽器的 Super-Duper安全模式

微軟正在測試Edge瀏覽器的Super-Duper安全模式，通過在 V8 JavaScript 引擎中禁用即時 JIT 編譯來提高 Edge 的安全性。微軟表示，現代瀏覽器中的 JavaScript 漏洞是攻擊者最常用的載體。2019年 CVE 漏洞數據顯示，大約有45%的 V8 攻擊與 JIT 相關。不過，禁用 JIT 編譯確實會影響性能，Microsoft Browser Vulnerability Research 進行的測試證實了這一點。在Speedometer 2.0 這樣的JavaScript 基準測試中，其性能下降幅度高達58%。盡管如此，微軟表示用戶不會在意這種性能下降，因為用戶在日常使用中很少會注意到這種性能下降。