校園網(wǎng)用戶數(shù)量大、接入端口多，具有一定的隱藏便利性，極易成為挖礦木馬攻擊的對象，許多高校深受其害。與此同時(shí)，網(wǎng)信辦等多部門在9月份聯(lián)合發(fā)布《關(guān)于整治虛擬貨幣“挖礦”的通知》，對虛擬貨幣“挖礦”活動監(jiān)管升級。銳捷深入洞察高校校園網(wǎng)絡(luò)場景，如何不讓校園變“礦場”，保護(hù)校園網(wǎng)絡(luò)的安全，銳捷給出了“網(wǎng)絡(luò)+安全”的解決方案。

什么是挖礦木馬？它會給校園帶來什么危害？

通過大量計(jì)算機(jī)的運(yùn)算獲取虛擬貨幣被稱為“挖礦”，而在受害者不知情的情況下，非法在其電腦里植入的挖礦程序稱為挖礦木馬。挖礦木馬會嚴(yán)重占據(jù)主機(jī)算力資源，干擾正常業(yè)務(wù)運(yùn)行。同時(shí)消耗大量電力，與當(dāng)前的能源戰(zhàn)略、碳中和戰(zhàn)略背道而馳。甚至有高校被挖礦木馬入侵招生網(wǎng)站，嚴(yán)重影響正常工作開展。多家高校因?qū)π@挖礦監(jiān)管不到位而被通報(bào)批評。

其實(shí)在挖礦木馬爆發(fā)趨勢顯現(xiàn)之初，許多高校就開始了防范的探索，但當(dāng)下仍然遇到了難題：

第一， 已經(jīng)建有防火墻卻形同虛設(shè)。一方面一些防火墻開啟防病毒后性能大幅下降，無法滿足防護(hù)要求。另一方面，一些防火墻防護(hù)手段不完善，依然踩了通報(bào)“高壓線”。

第二， IP告警溯源困難。校園網(wǎng)多為DHCP環(huán)境，目前防火墻多基于IP告警，需要運(yùn)維老師查詢多個(gè)日志才能進(jìn)行溯源。高校學(xué)生數(shù)量眾多，運(yùn)維老師往往只有幾人，面對大量告警的實(shí)時(shí)處理難免力有不逮。

第三，無法抑制病毒橫向擴(kuò)散。挖礦木馬的防治和疫情的防控是相似的：除了避免外來的傳染源，內(nèi)部有了傳播苗頭也要及時(shí)切斷，才能將危害降到最低。只通過出口攔截的方式無法徹底治理病毒。

那么，高校如何全面排查整治虛擬貨幣“挖礦”活動，營造安全有序的校園網(wǎng)絡(luò)環(huán)境？銳捷結(jié)合高教場景特點(diǎn)，給出了自己的解法：發(fā)掘網(wǎng)絡(luò)設(shè)備安全能力，聯(lián)動安全設(shè)備從整體架構(gòu)解決挖礦難題。

高校木馬防護(hù)方案整體架構(gòu)

高校木馬防護(hù)方案整體介紹

1.無憂防通報(bào)，不踩“高壓線”

銳捷防挖礦木馬方案出口部署銳捷防火墻，同時(shí)核心交換機(jī)旁掛流量探針。聯(lián)動騰訊云安全平臺，采用流量檢測技術(shù)精準(zhǔn)識別挖礦木馬。 

挖礦木馬入侵的常規(guī)步驟是先發(fā)起挖礦相關(guān)的DNS域名申請，然后根據(jù)DNS返回的IP，發(fā)起到礦池的登錄和交互。傳統(tǒng)的方案需要首先檢測域名，然后針對后續(xù)的IP通訊進(jìn)行阻斷。雖然也起到阻隔挖礦的效果，但是由于放行DNS解析過程，容易被監(jiān)管部門監(jiān)測系統(tǒng)識別、通報(bào)。
銳捷與騰訊云安全聯(lián)動，將挖礦DNS域名一網(wǎng)打盡，主機(jī)一旦發(fā)起對挖礦域名的申請，態(tài)勢感知與防火墻立刻就能將其隔斷，直接阻止其解析過程，避免被通告。同時(shí)流量探針對流量進(jìn)行深度識別，哪怕挖礦木馬更隱蔽，直接在主機(jī)里寫IP也不用擔(dān)心，流量探針的識別庫可以根據(jù)錢包字段、秘鑰交互等挖礦的特征行為將其精準(zhǔn)識別，全面封堵挖礦病毒。

威脅情報(bào)和騰訊云安全聯(lián)動

2. 精準(zhǔn)定位學(xué)號，解放運(yùn)維老師

在將挖礦木馬的DNS攔截后，需要對其進(jìn)行治理，被通報(bào)的則要舉證完整的證據(jù)鏈。銳捷采用防火墻與態(tài)勢感知（BDS）和身份認(rèn)證（SAM）聯(lián)動的架構(gòu)，將SAM中學(xué)生/老師的賬號、IP、時(shí)間信息與防火墻等安全設(shè)備中的告警、IP、時(shí)間信息在BDS中進(jìn)行匹配，可以輕松得出包括學(xué)號、時(shí)間和具體告警信息的完整的溯源。
這樣可以統(tǒng)一時(shí)間集中溯源和處理挖礦主機(jī)，顯著提升了運(yùn)維效率。且解決方案定位的不是IP地址而是學(xué)號，運(yùn)維老師可以直接通過學(xué)號聯(lián)系到需要進(jìn)行殺毒操作的老師和同學(xué)，規(guī)避了DHCP環(huán)境下無法精準(zhǔn)定位人員的問題。

BDS聯(lián)動SAM+實(shí)名定位到賬號

3．阻斷橫向擴(kuò)散，遏制內(nèi)部傳播

對于挖礦木馬的整治，防通報(bào)只是一方面，形成有效的治理體系才是關(guān)鍵。目前業(yè)界大部分方案都是在網(wǎng)絡(luò)邊界部署安全設(shè)備，這樣無法阻止病毒在內(nèi)部傳播。部分挖礦木馬還具備蠕蟲化的特點(diǎn)，可以滲透內(nèi)網(wǎng)，嚴(yán)重威脅服務(wù)器安全。

銳捷態(tài)勢感知實(shí)現(xiàn)與交換機(jī)聯(lián)動，通過收集交換機(jī)Sflow采樣，實(shí)現(xiàn)全校東西向挖礦流量的識別阻斷。在態(tài)勢感知平臺識別感染主機(jī)后，同時(shí)下發(fā)策略給交換機(jī)，在端口將中毒主機(jī)下線，阻斷挖礦木馬內(nèi)部的橫向病毒復(fù)制，挖礦整治更加徹底。

BDS下發(fā)策略給交換機(jī)，阻斷橫向擴(kuò)散

銳捷深耕教育行業(yè)，深入洞察校園網(wǎng)絡(luò)應(yīng)用與監(jiān)管場景。針對高校的防挖礦場景，以校園網(wǎng)整體架構(gòu)出發(fā)，充分發(fā)掘現(xiàn)有網(wǎng)絡(luò)設(shè)備安全能力，通過出口封堵，實(shí)名溯源，內(nèi)部阻斷等三重手段，實(shí)現(xiàn)挖礦病毒的快速發(fā)現(xiàn)和阻斷、準(zhǔn)確定位、避免傳播，為清朗安全的校園網(wǎng)絡(luò)環(huán)境保駕護(hù)航。