近年來，在巨大利益的驅使下，“挖礦”活動愈演愈烈。與此同時，“挖礦”檢測與整治工作也在如火如荼地開展。然而，目前的“挖礦”治理方案雖多卻又良莠不齊，給廣大企事業單位帶來了困擾。為此，盛邦安全發布“挖礦”活動主控端檢測方案，助力企事業單位徹底杜絕“挖礦”威脅。

“挖礦”愈演愈烈、貽害無窮

虛擬貨幣“挖礦”需要大規模、高功效的計算設備進行長時間的運算以謀取利益。隨著門羅幣等虛擬貨幣對GPU要求的降低，在拉低“挖礦”門檻的同時，也讓不法分子看到了其中的商機。自2017年以來，黑客通過非法控制服務器、計算機進行“挖礦”的行為陡然增多，與此相關的攻擊也是層出不窮。

企事業單位的服務器、計算機一旦被植入“挖礦”軟件，首先面臨的就是長時間執行高性能計算，會帶來網絡帶寬以及計算內存等資源的浪費。這不但造成更高的能耗，加快計算機硬件的老化速度，也將直接導致用戶的正常業務應用資源被擠占，甚至被終止。

不僅如此，黑客一旦控制受害主機，還可以進行機密竊取，導致企事業單位遭受更進一步的損失。如果不能及時的檢測和排除這種危害植入，黑客還有可能進一步利用被控制的主機作為跳板，進行更大范圍的內網滲透，甚至攻擊其他單位和應用，讓受害者單位背負法律責任。

“挖礦”檢測“偏科”，面臨選擇困難

及時檢測“挖礦”活動，避免成為“挖礦”主機，是各企事業單位都非常關心的事情。目前來看，常見“挖礦”活動主要分為“挖礦腳本檢測”、“挖礦軟件檢測”、“礦機檢測”、“幣類協議檢測”、“礦池檢測”五大類，而每個大類下含多個小類，具體分布如下圖所示：

常見挖礦木馬種類和礦池

“挖礦”活動檢測主要分為流量檢測、客戶端檢測、安全情報檢測和主動檢測四種模式。幾種模式各具特性，由此構建的方案也呈現出不同的優缺點。例如，流量檢測模式無法分析加密流量；客戶端檢測模式無法對IoT設備進行檢測；安全情報模式對于情報的準確性和及時性要求較高等。

幾種主流檢測方式的優劣勢對比

“挖礦”檢測方案這種偏科現象,不但讓企事業單位更加困惑，也使其在采用方案時面臨選擇困難。

全科狀元，一網打盡“挖礦”行為

針對以上“挖礦”檢測方案的不足，盛邦安全推出了“挖礦”活動主控端檢測方案，可對近百種“挖礦”病毒進行互聯網端的主動檢測。該方案基于盛邦安全網絡空間資產探測系統（RaySpace），采用大數據分析技術，匯聚5種核心礦池識別技術，以主動探測+情報+沙箱相結合的方式，鑄就“挖礦”檢測的全科狀元，實現對“挖礦”資產的全面檢測和精準識別，一網打盡“挖礦”行為。

“挖礦”活動主控端檢測原理圖

把“挖礦”行為、“挖礦”木馬研究透，是盛邦安全一網打盡“挖礦”行為的底氣所在。該檢測方案通過分析礦機和礦池的交互行為、過程，進行網絡空間資產探測，分析“挖礦”木馬主控端，對“挖礦”木馬進行通信協議識別、指紋識別、端口識別，在網絡通信等層面讓“挖礦”木馬無處遁形。

此外，盛邦安全還基于IOC情報的識別技術，通過互聯網情報收集、聯盟情報共享、蜜罐抓取等方式形成自有的大數據威脅情報系統。該系統將“挖礦”木馬相關信息與PDNS、WHOIS等數據進行關聯拓展后形成注冊人信息-注冊域名-子域名-IP-端口-服務等信息關鍵鏈條，通過內部關聯匹配，對探測到的內容進行自動標簽，并通過平臺進行可視化展示。

不僅如此，盛邦安全還采用逆向分析識別技術，對空間探測結果進行分析，獲取可執行應用程序；通過靜態文件的惡意行為檢測及動態沙箱檢測技術，對應用程序進行“挖礦”木馬分析，讓新出現或還沒有進入威脅情報庫的惡意木馬和病毒乖乖現出原形。

精準識別、輕量無感，為“挖礦”治理工作提供“新思路”

目前，盛邦安全指紋庫數量已達到14萬+，“挖礦”指紋數量超過100+，且仍在不斷完善增加中，成為對“挖礦”資產精準發現與識別的牢固根基。同時，依靠TCP SYN Scan高性能端口掃描技術和DPDK高性能數據包處理技術，盛邦安全可做到24小時內即可完成全網存活探測。

輕量級的主動探測數據包及多種探測方式，結合防護繞過方案，可有效降低對結果準確性的影響。同時，探測過程也不會在目標主機上產生任何會話記錄，對用戶的使用來說是“無感”的。近期，盛邦安全還將陸續推出礦池檢測、礦機檢測等技術方案，助力各企事業單位用戶高效整治“挖礦”活動。?