众所周知,“挖矿”活动已被正式列为淘汰类产业。自去年以来,我国虚拟货币监管政策持续加码,清退“挖矿”活动与禁止相关业务活动双管齐下,全力打击治理违法“挖矿”行为。
但利益使然,仍有不少不法分子和组织负隅顽抗,利用多种形式逃避监管,从事“挖矿”活动,谋取私利,对国家和社会造成严重的不良影响。另外还有更多个人和组织因缺乏相关安全意识,致使资源被占用,沦为“矿机”。且这样的事例并不少见,例如本月初被曝光的某知名汽车企业员工利用公司服务器挖矿事件。因此,整治“挖矿”也是一项需要长期坚持执行的工作。
“挖矿”行为的危害无需多言。在我国促进产业结构优化,力争如期实现碳达峰、碳中和目标的背景下;在各类“挖矿”病毒伺机而动、四处掠夺的形势下,防范“挖矿”行为成为所有组织及个人应当予以配合并付诸行动的事。
那么,对应给个人以及企业组织的防范“挖矿”行为措施与实操应当包含哪些?
对“挖矿”活动的整治,当以“预防、检测、处置”为思路,首先应开展相关的宣传教育活动和网络安全技术预防建设,同时持续检测所管理的网络中是否存在“挖矿”行为,对“挖矿”主体进行处置,分析产生“挖矿”行为的原因并针对性地调整安全教育方式、网络安全防护方案等,由此形成一个闭环处理流程,不断提升“挖矿”行为的防治能力。
一、预防
1.加强个人终端安全防护
(1)培养良好的计算机使用习惯,个人电脑应在长时间不使用的情况下或下班时,及时关机。
(2)使用正版操作系统,及时更新操作系统补丁。发布
(3)安装安全防护软件或者杀毒软件,开启实时防护和自动更新功能。
(4)计算机登录口令要有足够的长度和复杂性,建议密码长度10位以上。
(5)非必要不要开启远程控制,如必须使用应在使用完后立即关闭服务。
(6)从正规渠道下载安装软件,不安装未知来源的第三方软件。
(7)不打开来源不明的链接、文档、邮件、邮件附件等。
(8)不浏览被安全软件提示为恶意或存在风险的网站。
(9)不使用未经杀毒的U盘、移动硬盘等存储设备。
2.加强服务器安全防护防范
(1)通过技术手段做好服务器主机绑定隔离措施,阻止主机间非授权访问。
(2)培养良好的计算机使用习惯,服务器长时间不使用,应及时停机。
(3)使用正版操作系统,及时更新操作系统补丁。
(4)安装安全防护软件并及时升级病毒和规则库,定期检测计算机安全状况,定期全盘扫描,保持实时防护。
(5)计算机登录口令要有足够的长度和复杂性,建议密码长度10位以上,严禁使用弱口令、空口令和缺省出厂口令,设置安全策略规则并定期更换登录口令,Linux服务器建议使用密钥认证。
(6)非必要不要开启远程控制,如必须使用应在使用完后立即关闭服务。
(7)从正规渠道下载安装软件,不安装未知来源的第三方软件;重要系统可以考虑在测试机、虚拟运行环境上安装软件进行安全检测。
(8)不使用未经杀毒的U盘、移动硬盘等存储设备。
(9)公共服务器应限制用户对管理员权限的使用,不允许私自安装软件,降低用户服务运行权限。
(10)建议服务器采用最小访问控制策略,禁止或删除不需要的服务,包括内网网络服务、互联网网络服务,仅允许授权IP地址访问。
(11)开启系统日志记录功能,并按照规定留存相关的网络日志不少于六个月。
3.加强网络安全防护
通过在网络侧部署防火墙、流量管控、日志审计等安全设备,加强对“挖矿”的监测、识别、阻断和溯源;
阻止数据中心服务器访问互联网,特殊需要上互联网的服务器,按最小化原则进行授权;
部署网络安全威胁管理平台、漏洞扫描系统等产品,对安全漏洞威胁、弱口令风险等实现及时发现和闭环管理;
部署网络安全态势感知平台,通过对流量、网络告警等信息的收集和分析,监测“挖矿”病毒情况、发现病毒传播线索。
在互联网和数据中心出口防火墙、IPS/IDS、智能DNS等安全设备上启用“挖矿”病毒等拦截防护功能,并及时更新特征库、情报库;有条件的可以配置出口防火墙、IPS等与第三方网络安全威胁情报系统联动,防火墙根据情报阻断“挖矿”行为,封禁矿池IP地址、域名等。
落实上网实名制,保存用户上网访问日志、NAT日志等,以便对涉嫌“挖矿”行为的IP进行溯源。
4.教育行业领域,加强对教学科研服务器的管理。
教学科研服务器是“挖矿”病毒感染的重灾区,应加强教学科研服务器的日常管理与运维,规范使用服务器,切实履行国有资产管理职责,具体要点包括但不限于以下内容:
严格落实教学科研服务器及机房管理责任,明确实际负责人、网络安全管理员,避免出现失管失控设备在线运行,一经发现应立即断网下线。
加强服务器账号管理:
落实账号实名制,建议一人一号、避免多人共享账号;明确超级管理员账号负责人;
当相关人员不再使用服务器时应及时删除账号;
落实网络安全责任制,明确网络安全管理员及运维人员,规范开展服务器安全运维管理工作,定期巡检、升级,加强监控及时发现服务器异常情况并处置各类网络安全问题,制定应急预案并定期开展演练;
如服务器数量或机房达到一定规模,建议使用专业技术机构或聘请专业技术人员协助开展运维管理工作。
二、检测
“挖矿”行为主要通过主机检测和网络流量检测来发现。建议组织所有用户开展一次主机自查,同时要求网络管理员基于网络流量主动发现存在的“挖矿”行为。
1.主机检测
对“挖矿”病毒的检测可通过安装杀毒软件进行查杀,同时结合以下各检查项对计算机进行排查:
检查系统CPU负载情况,是否一直或经常满载,“挖矿”需要大量计算力,通常大量使用CPU计算资源,如有GPU,建议同时检查GPU使用情况。
检查网络是否有异常连接。
检查是否有异常新增账户,检查原有账户是否有异常登录。
检查是否有异常未知进程。
检查是否存在异常添加的未知文件。
检查系统文件、系统命令是否被篡改。
检查系统日志是否存在异常记录。
检查系统定时任务是否存在未知任务。
检查系统配置文件是否被篡改。
检查查看当前系统活跃的进程信息,是否向矿池发起TCP请求。
2.网络流量检测
安全设备告警,访问了可疑“挖矿”域名,访问了可疑IP尤其是境外IP,访问目标主机的时间是否存在可疑行为,如非工作时间,访问时间间隔有一定规律性。
在防火墙等安全设备上更新特征库,结合云端威胁情报,识别“挖矿”主机。
通过DNS流量分析,结合威胁情报,识别“挖矿”域名请求,对可疑主机进一步溯源排查。
部分内网区域可以部署蜜罐或直接监测东西向流量,以发现可能的“挖矿”病毒引起的横向攻击。
对于无法识别潜在的“挖矿”行为,可通过最新的安全态势感知平台进行深度检测和分析。
三、处置
检测出的可能存在“挖矿”行为IP后应进行IP溯源,进一步确认是主动“挖矿”行为还是感染“挖矿”病毒。确认主机存在“挖矿”,应先进行断网、隔离,再进行清理处置。对于主动安装“挖矿”软件的主机,建议扣留设备,保留证据,报纪检监察部门处置;对于感染“挖矿”病毒的主机,相关处置措施如下:
Linux系统处置。通过定时任务/服务的清除、特定文件的删除、文件中特定内容的删除、目录的删除、指定文件的恢复、病毒进程文件处置、病毒文件删除等处置动作,彻底清除用户网络中的“挖矿”病毒。
Windows系统处置。通过进程内存处置、自启动目录文件删除、自启动配件文件的清除/修改,注册表项的清除/修改,计划任务删除、账号删除、WMI自启动删除、文件的删除和恢复等处置动作,彻底清除用户网络中的“挖矿”病毒。
确认事件原因,如:弱口令、漏洞、开放的服务和端口等,定位可能的感染路径,对照上文安全加固建议,进行漏洞封堵,以免再次感染。
主机上的“挖矿”病毒或“挖矿”软件必须进行彻底清除。因“挖矿”病毒具有相当隐藏性,并可能被黑客植入后门,“挖矿”建议做好备份后,彻底重装操作系统。“挖矿”如无法进行重装系统操作的,建议由安全专业人员进行处置。
阻止“挖矿”病毒局域网内扩散。对确认为“挖矿”病毒感染的主机,了解其所在环境的网络拓扑、业务架构、设备类型等关键信息,评估“挖矿”病毒可能的传播范围等,对失陷区域作出初步判断,同网段的主机、服务器进行“挖矿”病毒检测和排查。
积累“挖矿”病毒以及其他恶意软件感染事件的数据,对于发现的矿池要及时在防火墙等安全设备封禁,对于主动“挖矿”或感染“挖矿”病毒的内网主机,建立IP和物理位置信息库,调整对应的安全防护措施。
作为国内领先的安全产品提供商和安全托管服务运营商,聚铭网络专注于网络安全智能分析与检测,为客户网络安全防护建设提供全方位的安全产品与服务。
在国家全力打击治理“挖矿”行为之际,聚铭网络也积极响应监管单位与相关企业的号召和需求,推出了相应的整治“挖矿”活动专项解决方案,协助监管机构与企业双方完成“挖矿”排查整治与自查清理工作。并且,针对客户网络情况不同、防护需求不同以及预算不同等情况,聚铭网络挖矿专项解决方案设有多套版本,因地制宜,全力适配客户整治“挖矿”工作。