高校被動挖礦專項整治思路

文 /金飛 沙琨 呂玉峰 徐捷

隨著社會信息化的發(fā)展和區(qū)塊鏈技術(shù)的廣泛應用，以比特幣為代表的多種虛擬貨幣價格水漲船高。巨額的利益促使從事“挖礦”業(yè)務的人越來越多。2013年，我國最早的比特幣礦池——“魚池”誕生；2014年，中國礦池異軍突起，“魚池”登頂算力榜第一，螞蟻礦池和BTCC礦池也都擠進了前十，世界“挖礦”業(yè)務的中心逐漸轉(zhuǎn)移到了中國。然而，在這種如火如荼的發(fā)展態(tài)勢下，因“挖礦”行為泛濫而帶來的巨大能耗、黑灰產(chǎn)業(yè)等嚴重問題逐漸暴露。

國家對此高度重視，2021年9月，國家發(fā)改委等部門聯(lián)合發(fā)布《關(guān)于整治虛擬貨幣“挖礦”活動的通知》，嚴禁新增虛擬貨幣“挖礦”項目，加快存量項目有序退出。后來，虛擬貨幣“挖礦”活動又被列為淘汰類產(chǎn)業(yè)。教育行業(yè)內(nèi)，高校由于其高算力集中環(huán)境的特性成為重點整治區(qū)域。2019年，思科的一份報告指出，大學校園已成為虛擬貨幣的第二大礦工群體，大量的教學用戶終端、師生個人終端、數(shù)據(jù)中心服務器都可能成為“挖礦”病毒的感染對象。

“挖礦”攻擊流程分析

“挖礦”的本質(zhì)是求解一道數(shù)學題，最先破獲答案就可以得到對應的數(shù)字貨幣獎勵。惡意“挖礦”是指在未經(jīng)用戶同意或用戶不知情的情況下使用該用戶設(shè)備挖掘加密貨幣，并以隱蔽或不易察覺的方式使用其設(shè)備計算資源的行為為被動行為。通常情況下，惡意“挖礦”與設(shè)備感染“挖礦”木馬有關(guān)?！巴诘V”攻擊的完整過程如圖1所示。

圖1 “挖礦”攻擊流程

據(jù)圖1可知，“挖礦”攻擊流程可分為以下四個階段：

1.入侵階段

該階段主要利用類似其他病毒木馬程序的傳播方式，例如釣魚欺詐、色情內(nèi)容誘導、偽裝成熱門內(nèi)容的圖片或文檔、捆綁正常應用程序等。當用戶被誘導內(nèi)容迷惑并雙擊打開惡意文件或程序后，惡意“挖礦”程序就會成功入駐目標主機后臺并執(zhí)行下一步動作。此外，高校暴露在公網(wǎng)上的主機、服務器、網(wǎng)站和 Web 服務，由于未及時更新系統(tǒng)或組件補丁，導致一些可利用的遠程漏洞；或者由于錯誤的配置和設(shè)置了較弱的口令導致登錄憑據(jù)被暴力破解或繞過認證和校驗過程。

2.內(nèi)網(wǎng)擴散階段

惡意“挖礦”團體入侵校園網(wǎng)內(nèi)部后，為感染更多目標主機，獲取最大利益，會采用不同的內(nèi)外網(wǎng)攻擊策略，進行更高效的傳播，其主要手段是利用蠕蟲化的僵尸網(wǎng)絡(luò)攻擊。蠕蟲化的“挖礦”Botnet具備攻擊模塊，在內(nèi)網(wǎng)能夠自動掃描并利用多漏洞組合攻擊的方式進行橫向擴散，同時能使受害主機成為新的攻擊源。在這種高效策略下，內(nèi)網(wǎng)通常會在極短時間內(nèi)大面積感染。攻擊者可以在控制端通過僵尸網(wǎng)絡(luò)下發(fā)指令到受害主機，執(zhí)行分發(fā)“挖礦”木馬等惡意操作。

3.持久化駐留階段

“挖礦”木馬入侵成功后必定希望能夠長期穩(wěn)定地利用主機計算資源，其技術(shù)上使用加殼、代碼混淆、CPU使用率偽裝等實現(xiàn)長期、隱蔽運行。同時，本階段“挖礦”木馬會修改主機啟動項、計劃任務腳本、將SSH公鑰寫入目標系統(tǒng)Root用戶“.ssh”目錄中，實現(xiàn)以Root用戶對該系統(tǒng)的長期訪問，即使木馬被查殺，也有可能定時從C2服務器下載新的惡意程序。

4.連接礦池階段

“挖礦”木馬的最終目的是非法牟利，本階段的行為主要是連接匿名公共礦池、私有礦池或者代理礦池，提交任務，獲取獎勵。

“挖礦”整治方案

目前，校內(nèi)“挖礦”活動主要分為主動“挖礦”和被動“挖礦”。主動“挖礦”是內(nèi)部人員出于好奇或者追求利益，違規(guī)私自利用學校公共資源“挖礦”；被動“挖礦”則是黑客通過網(wǎng)絡(luò)漏洞、暴力破解口令等方式入侵主機，獲得主機控制權(quán)使主機失陷，植入“挖礦”程序進行“挖礦”，或者利用部分校園網(wǎng)用戶安全意識薄弱的特點傳播木馬病毒，比如釣魚欺詐、惡意鏈接、偽裝成普通文件等手段，讓用戶在毫不知情的情況下進行“挖礦”。針對這兩種行為，學校應該從“檢測識別、阻斷隔離、定位治理、策略加固”四個方面出發(fā)，通過專業(yè)的安全管理人員、領(lǐng)先的安全技術(shù)、有效的管理措施，構(gòu)建適合高校的全局化“挖礦”治理方案。治理思路如圖2所示。

圖2 “挖礦”治理思路

1.檢測識別

檢測識別的重點是對整個網(wǎng)絡(luò)環(huán)境的感知，主要目標是及時發(fā)現(xiàn)各類隱藏的惡意“挖礦”行為。采取云、地聯(lián)合方式，通過本地部署的態(tài)勢感知，全流量監(jiān)測、流量探針等設(shè)備聯(lián)動第三方安全廠商云威脅情報數(shù)據(jù)庫，獲取活躍“礦池”信息，反向檢測網(wǎng)內(nèi)礦機設(shè)備，并通過機器學習的方式實時更新本地特征庫，基于主要的“挖礦”協(xié)議（Stratum，GetBlockTemplate，GetWork等）、流量大小、常用端口等特征，對抓取到的校園網(wǎng)核心交換機鏡像流量進行分析比對。

對“挖礦”流量進行檢測，識別“挖礦”回連域名、“挖礦”回連IP等信息，確認“挖礦”行為；在終端部署EDR防病毒軟件，終端監(jiān)控軟件，能夠持續(xù)監(jiān)測終端設(shè)備運行狀態(tài)，通過監(jiān)控終端層面硬件資源占用率、系統(tǒng)補丁狀態(tài)、系統(tǒng)進程、應用程序等方式來識別終端“挖礦”行為；最終需要將檢測信息反饋到阻斷隔離、定位治理、策略加固階段，從而構(gòu)成整個威脅處理流程的閉環(huán)。

2.阻斷隔離

“挖礦”木馬的最終目的是連結(jié)“礦池”獲取任務和收益，針對這點結(jié)合檢測識別階段獲取的情報，利用防火墻、流量控制、Web應用防御、上網(wǎng)行為管理、DNS等設(shè)備對檢測識別到的“挖礦”回連域名、IP、端口多維度進行封堵，斷開礦機與礦池的通訊，阻斷“礦機”的“挖礦”活動，杜絕主動“挖礦”行為；對已經(jīng)確認的“礦機”，要及時斷開其網(wǎng)絡(luò)連接，將其與校園網(wǎng)隔離，防止內(nèi)網(wǎng)橫向擴散。

3.定位治理

為快速定位已發(fā)現(xiàn)的“礦機”，高校應該對園區(qū)內(nèi)信息化資產(chǎn)進行全面梳理，保證資產(chǎn)臺賬的準確性。同時，校園網(wǎng)應該部署統(tǒng)一身份標識、身份管理、認證和終端綁定系統(tǒng)，將入網(wǎng)用戶個人信息與終端IP、MAC地址相關(guān)聯(lián)，構(gòu)建全校范圍內(nèi)的網(wǎng)絡(luò)信任體系，確保校園網(wǎng)絡(luò)空間實體可證、入網(wǎng)可控、行為可查。這樣就能精準定位到個人和終端以便于及時進行查殺處理。對于頑固性木馬，學?？梢圆扇≈匦掳惭b操作系統(tǒng)的方式徹底清除。

4.策略加固

策略加固的主要目的是為了預防“挖礦”攻擊，而“挖礦”攻擊的主要技術(shù)手段有釣魚郵件、漏洞攻擊、暴力破解等。

針對這些攻擊手段，學?？梢越Y(jié)合檢測識別的情報、統(tǒng)一日志平臺的相關(guān)日志，通過溯源“挖礦”木馬的攻擊方式、路徑，分析提取網(wǎng)絡(luò)安全脆弱性報告，對安全設(shè)備和用戶終端兩層策略進行加固：

在防火墻中添加已知的各類“礦池”域名、IP黑名單，攔截非法外連；在Web應用防護中開啟SQL注入漏洞、0day漏洞、WebShell上傳、跨部腳本等攻擊攔截規(guī)則，對檢測出的Web應用漏洞進行修補，并及時升級Web應用；對公開在互聯(lián)網(wǎng)中的網(wǎng)頁部署防篡改系統(tǒng)，防止網(wǎng)頁掛碼；在郵件安全網(wǎng)關(guān)中設(shè)置違規(guī)郵件關(guān)鍵字、釣魚郵件的域名黑名單，過濾、攔截垃圾郵件和釣魚郵件；全網(wǎng)段定期進行漏洞掃描，對發(fā)現(xiàn)的漏洞及時修補；在終端安全策略的加固主要依靠部署的終端管控系統(tǒng)，對入網(wǎng)用戶行為進行精準把控。通過管控系統(tǒng)，強制終端安裝殺毒軟件，開啟本機防火墻，配置出入站規(guī)則，關(guān)閉不需要的服務，增強密碼復雜度并定期更換，在管理端對135、445等高危端口進行封堵。

5.持續(xù)管理

高校“挖礦”的整治方案中，技術(shù)手段固然重要，但是核心還是在于日常管理的持續(xù)性。日常管理包含網(wǎng)絡(luò)設(shè)備管理和安全意識管理兩個層面，高校信息安全管理人員，應該對整個校園網(wǎng)的網(wǎng)絡(luò)態(tài)勢和安全體系架構(gòu)有清晰的把握。同時，管理人員需關(guān)注最新的網(wǎng)絡(luò)安全時事和安全廠商公布的漏洞、木馬、礦池域名等信息，將其反饋到安全策略中進行相應調(diào)整，對安全設(shè)備進行日常維護、管理，及時更新、升級特征庫；對各種相關(guān)設(shè)備和安全事件日志做好最大限度的留存，以便于分析、取證和事后追溯；對重要的數(shù)據(jù)和系統(tǒng)進行定期備份，保障數(shù)據(jù)的安全性和重要業(yè)務的連續(xù)性。

此外，安全意識是高度信息化的當今社會第一道也是最重要的安全防線，高校應該對“挖礦”整治行動有足夠的重視，有針對性地宣傳國家打擊“挖礦”的背景、政策法規(guī)，點明“挖礦”木馬的危害性，從源頭上杜絕主動“挖礦”行為；強化校園網(wǎng)用戶的個人安全意識，減少被動“挖礦”的發(fā)生概率，普及簡單的針對性防護措施，例如對來源不明的郵件要保持警惕態(tài)度，不違規(guī)訪問不健康網(wǎng)站，避免打開帶有惡意“挖礦”程序的文件和未知的移動存儲介質(zhì)，安裝必要的終端殺毒和安全防護軟件，增強密碼強度和復雜度，開啟終端防火墻等。

實際部署方案

按照“檢測識別、阻斷隔離、定位治理、策略加固”配合持續(xù)性安全管理的思路，實際應用部署拓撲如圖3所示。

圖3 防范“挖礦”部署拓撲

部署態(tài)勢感知，監(jiān)控全網(wǎng)流量，發(fā)現(xiàn)“挖礦”行為；聯(lián)動防火墻（NF），下發(fā)礦池IP，域名封堵攔截“挖礦”行為；部署Web應用防護（WAF）、入侵檢測或防御系統(tǒng)、攔截網(wǎng)絡(luò)漏洞攻擊；通過上網(wǎng)行為管理，統(tǒng)一認證的校園網(wǎng)安全可信體系定位治理；統(tǒng)一日志服務器收集各種安全設(shè)備及DNS查詢?nèi)罩?，為事后溯源、策略加固提供依?jù)；漏洞掃描設(shè)備配置定期自動掃描服務，及時發(fā)現(xiàn)和修補漏洞。整體部署形成針對“挖礦”行為的閉環(huán)治理體系。

當前國內(nèi)的“挖礦”行業(yè)已被列為淘汰產(chǎn)業(yè)，但在國外市場中，虛擬貨幣的交易并未受到嚴重沖擊。可以預見，“挖礦”木馬的整治是一項長期的任務，且網(wǎng)絡(luò)攻擊技術(shù)的發(fā)展與網(wǎng)絡(luò)安全技術(shù)的進步可以說是相互依賴的。根據(jù)內(nèi)生安全的理論，無論是安全設(shè)備硬件或者軟件，其自身都帶著“基因”上的安全缺陷。

因此，并不存在一勞永逸的防御體系，只有通過合適的技術(shù)手段配合持續(xù)性的常態(tài)化管理才能讓整治方案達到預期的成效。