上海交通大學(xué)打出“挖礦”治理組合拳

文/吳芳

自2021年9月國(guó)家發(fā)展改革委等11部門聯(lián)合發(fā)布《關(guān)于整治虛擬貨幣“挖礦”活動(dòng)的通知》以來(lái)，各行各業(yè)都在加快整治虛擬貨幣“挖礦”活動(dòng)。由于高校校園網(wǎng)計(jì)算機(jī)多，用戶量大，用戶安全意識(shí)參差不齊，因此深受“挖礦”困擾。

將“挖礦”治理納入校園安全整體考慮

高校“挖礦”活動(dòng)的治理不是一項(xiàng)完全獨(dú)立的專項(xiàng)行動(dòng)，其與學(xué)校的網(wǎng)絡(luò)安全體制機(jī)制建設(shè)、監(jiān)測(cè)預(yù)警通報(bào)處置體系建設(shè)、網(wǎng)絡(luò)安全宣傳教育、網(wǎng)絡(luò)安全隊(duì)伍建設(shè)等都密切相關(guān)，治理“挖礦”需要將其納入學(xué)校校園安全綜合治理體系進(jìn)行整體考慮，打出一套“挖礦”治理的組合拳。

在網(wǎng)絡(luò)安全體制機(jī)制建設(shè)上，學(xué)校的高度重視將有利于“挖礦”活動(dòng)治理的順利開(kāi)展，成立工作專班或工作小組，明確統(tǒng)籌部門，統(tǒng)一部署“挖礦”治理工作，有利于在短期內(nèi)改善“挖礦”高發(fā)的態(tài)勢(shì)。

在監(jiān)測(cè)預(yù)警通報(bào)處置體系建設(shè)上，升級(jí)技術(shù)防護(hù)手段，加強(qiáng)“挖礦”活動(dòng)的常態(tài)化監(jiān)測(cè)能力，實(shí)現(xiàn)監(jiān)測(cè)、通報(bào)、整改、反饋閉環(huán)管理（如圖1所示）。一方面提前發(fā)現(xiàn)、及時(shí)處置，盡量避免出現(xiàn)通報(bào)；另一方面發(fā)現(xiàn)一起處置一起，實(shí)現(xiàn)動(dòng)態(tài)清零。

圖1 “挖礦”活動(dòng)監(jiān)測(cè)預(yù)警通報(bào)處置閉環(huán)管理

在網(wǎng)絡(luò)安全宣傳教育上，教育師生在數(shù)字時(shí)代掌握一定的網(wǎng)絡(luò)安全技能。攻擊者雖然能發(fā)現(xiàn)并利用一切可利用的途徑成功入侵進(jìn)行“挖礦”，但“蒼蠅不叮無(wú)縫的蛋”，主要還是因?yàn)槲覀冏陨泶嬖诼┒椿虮∪醐h(huán)節(jié)。例如，計(jì)算機(jī)操作系統(tǒng)未及時(shí)更新、使用了常見(jiàn)弱密碼、點(diǎn)擊釣魚郵件感染木馬、從非官網(wǎng)下載內(nèi)嵌木馬的軟件、使用帶病毒的U盤等。對(duì)此，學(xué)?？梢跃W(wǎng)絡(luò)安全宣傳周為契機(jī)，重點(diǎn)宣傳和常態(tài)化宣傳雙管齊下，通過(guò)線上線下講座、多媒體推送、形勢(shì)教育思政課、開(kāi)展安全演練等多種形式，將“挖礦”活動(dòng)的風(fēng)險(xiǎn)危害、政策形勢(shì)、安全防護(hù)技能傳授給廣大師生，使其“拒絕主動(dòng)‘挖礦’，防范被動(dòng)‘挖礦’”?！巴诘V”木馬入侵傳播途徑如圖2所示。

圖2 “挖礦”木馬入侵傳播途徑

在網(wǎng)絡(luò)安全隊(duì)伍建設(shè)上，除專業(yè)安全人員外，學(xué)校網(wǎng)絡(luò)運(yùn)維人員、信息系統(tǒng)開(kāi)發(fā)運(yùn)維人員和二級(jí)單位信息化聯(lián)絡(luò)員也是學(xué)校網(wǎng)絡(luò)安全保障工作的中堅(jiān)力量。工作人員可以通過(guò)各類專題講座、培訓(xùn)認(rèn)證、開(kāi)展安全演練等形式提升校園師生的網(wǎng)絡(luò)安全意識(shí)和個(gè)人處置能力。

與此同時(shí)，“挖礦”活動(dòng)的治理還需要監(jiān)管部門、高校之間、學(xué)校自身、安全廠商等多方合作交流、共享情報(bào)，打造統(tǒng)一戰(zhàn)線，從而提高教育系統(tǒng)整體對(duì)“挖礦”活動(dòng)的治理能力。

打造高效閉環(huán)的處置體系

上海交通大學(xué)通過(guò)自主研發(fā)“挖礦”監(jiān)測(cè)平臺(tái)，提升對(duì)“挖礦”活動(dòng)的監(jiān)測(cè)預(yù)警能力，建立一套從發(fā)現(xiàn)、處置到預(yù)防的高效閉環(huán)工作機(jī)制，將負(fù)面影響控制在最小范圍內(nèi)。圖3為“挖礦”監(jiān)測(cè)平臺(tái)部署示意。

圖3 “挖礦”監(jiān)測(cè)平臺(tái)部署示意

事前，一是在校園網(wǎng)絡(luò)域名解析系統(tǒng)（DNS）中配置“礦池”相關(guān)域名黑名單并定期更新，及時(shí)阻斷校內(nèi)主機(jī)與“礦池”的通訊渠道；二是向用戶提供3種終端防病毒軟件，供用戶自行選擇下載安裝，抵御“挖礦”木馬侵害；三是加強(qiáng)網(wǎng)絡(luò)安全宣傳教育，提高師生安全意識(shí)。此外，還需開(kāi)展專業(yè)技能培訓(xùn)，提升學(xué)校網(wǎng)信隊(duì)伍的安全能力。

事中，利用“挖礦”監(jiān)測(cè)平臺(tái)及時(shí)跟蹤處置，實(shí)現(xiàn)動(dòng)態(tài)清零。根據(jù)“挖礦”程序多使用域名連接至公共礦池或礦池代理的特性，研發(fā)“挖礦”監(jiān)測(cè)平臺(tái)。通過(guò)采集請(qǐng)求時(shí)間、客戶端IP地址、請(qǐng)求域名等DNS相關(guān)日志信息，與收集的“礦池”域名信息進(jìn)行比對(duì)，檢查請(qǐng)求是否命中，并進(jìn)行相關(guān)的統(tǒng)計(jì)和預(yù)警，實(shí)現(xiàn)對(duì)“挖礦”活動(dòng)的實(shí)時(shí)監(jiān)測(cè)。

“礦池”域名黑名單對(duì)檢測(cè)的準(zhǔn)確性和及時(shí)性起著重要作用。目前，平臺(tái)根據(jù)相關(guān)惡意域名通報(bào)、互聯(lián)網(wǎng)上公開(kāi)的“挖礦”域名列表、主動(dòng)工具采集三種方式，收集“礦池”域名信息并不定期更新。例如，目前公開(kāi)的“礦池”域名和“礦池”代理不少采用stratum+tcp 或stratum+ssl格式，利用工具采集互聯(lián)網(wǎng)上包含“stratum+tcp://”或“stratum+ssl://”的內(nèi)容，即可提取整理出部分“礦池”域名清單。

和漏洞威脅處置一樣，“挖礦”處置要講究時(shí)效性。一方面要在第一時(shí)間采取措施，阻斷“挖礦”木馬在網(wǎng)內(nèi)進(jìn)一步傳播。另一方面，要徹底清理“挖礦”程序，避免“挖礦”木馬死灰復(fù)燃。除了檢查異常進(jìn)程、異常網(wǎng)絡(luò)連接、定位清除“挖礦”程序之外，還要檢查遠(yuǎn)程登錄配置文件、開(kāi)機(jī)啟動(dòng)項(xiàng)、定時(shí)任務(wù)、隱藏權(quán)限、系統(tǒng)用戶設(shè)置等事項(xiàng)，采取授權(quán)IP地址訪問(wèn)、使用強(qiáng)密碼、安全配置系統(tǒng)及應(yīng)用等措施進(jìn)一步加固系統(tǒng)。

值得一提的是，在“挖礦”處置過(guò)程中，要避免一刀切的做法。高校不乏研究區(qū)塊鏈技術(shù)的科研活動(dòng)，可能會(huì)產(chǎn)生類似“挖礦”的行為，安全工作要服務(wù)于學(xué)校教學(xué)科研等各項(xiàng)事業(yè)的發(fā)展，因此處置時(shí)要充分了解實(shí)際情況，具體問(wèn)題具體分析，這也對(duì)學(xué)校網(wǎng)絡(luò)安全人員的能力提出了更高要求。

事后，通過(guò)統(tǒng)一日志分析等手段歸納總結(jié)“挖礦”活動(dòng)的共性問(wèn)題，舉一反三，發(fā)現(xiàn)一個(gè)阻斷一類。相信只要高校進(jìn)行持續(xù)治理，校園內(nèi)的“挖礦”活動(dòng)就成不了氣候，動(dòng)態(tài)清零的目標(biāo)也終將實(shí)現(xiàn)。