多重监管之下,谁还在“挖矿”?

引言

自2021年以来,针对虚拟货币“挖矿”的监管持续加码的情况下,谁还在挖矿?

“挖矿”事件再次发生

4月6日消息,据某微博博主爆料,某新能源汽车企业员工张某使用公司服务器资源挖虚拟货币。此人原担任某集群服务器管理员,利用职务之便进行“挖矿”行为。在调查中,张某对自己的违规行为供认不讳,该行为涉嫌违反中华人民共和国刑法第285条第二款非法控制计算机信息系统罪,对企业计算机系统安全和商业信息安全造成负面影响。

多重监管之下,谁还在“挖矿”?

相关政策,多管齐下

自2021年以来,针对虚拟货币“挖矿”的监管持续加码:

早在2021年5月份,国务院金融稳定发展委员会(简称“金融委”)就已经定调要坚决打击比特币挖矿和交易行为,防范个体风险向社会领域传递。2021年9月开始,工信部、国家发改委、公安部、人行、银保监、国家能源局、网信办等部门以及各地区接连出台相关措施,加大核查与整治“挖矿”力度。

从2021年第4季度开始,国内各运营商、教育机构等企业单位根据发改委和网信办的要求,不断封禁国内外的矿池地址,已知的网页和APP均无法访问,国内各大矿群也是一片鬼哭狼嚎。

  • 与此同时,也在严厉打击个人“挖矿”行为:

企业单位中,若存在个人“挖矿”现象,则会被直接叫停,并勒令整改。

多重监管之下,谁还在“挖矿”?

  • 家庭带宽中,若在家使用电脑挖矿,也会被运营商监测到存在挖矿行为为由,直接关停家中的网络带宽。

多重监管之下,谁还在“挖矿”?各行各业,依然存在

安恒信息猎影实验室针对2021Q4~2022Q1期间的挖矿数据进行统计分析,其中行业挖矿行为主要分布在IT、教育、科研、汽车、通信等行业,其他行业也存在一定的挖矿行为。

多重监管之下,谁还在“挖矿”?

活跃矿池,均在境外

安恒信息猎影实验室针对2021Q4~2022Q1期间的挖矿数据监测发现,活跃的矿池地址主要分布在境外。

多重监管之下,谁还在“挖矿”?

高收益,致使恶意挖矿活动屡禁不止

近几年,虚拟货币的价格激增,这种高收益吸引了各路参与者加入到挖矿行业,也是恶意挖矿活动盛行主要原因。

恶意挖矿程序通常伴随着加密货币市场的繁荣而出现,加密货币价格与恶意挖矿活动有一定的关联性,价格越高时,恶意挖矿活动就越活跃,而今年是历年来加密货币发展和升值最为疯狂的一年,而现在各国都在大力发展区块链技术,未来很长一段时间,加密货币行业都不会再暗淡下去,而因加密货币而引起的各类恶意活动将会更加流行,网络安全形势将会更加复杂多变。

恶意挖矿的危害

具备隐藏自身的功能,但这并不意味着它不会对你的设备造成损害。实际上,这种对计算资源的窃取会大幅降低运行速度,加大电力消耗,并缩短设备的使用寿命,从而影响业务或生产环境的正常运营。

受感染的设备通常会产生以下较为明显的负面影响:

  • 系统运行速度变慢
  • 增加处理器使用率
  • 设备过热
  • 增加电力消耗

恶意挖矿活动对单台设备的影响相对较小,但如果网络环境遭遇大范围传播感染的情况,网络将会出现明显卡顿、运行过慢等异常现象,导致性能降低甚至死机的情况发生,如果感染的是来自公用事业、制造业、能源行业、金融业的实体组织,恶意挖矿还可能影响其重要业务和数据的安全性,从而引起一系列的连锁反应,造成难以评估的运营、生产损失。

恶意挖矿的趋势

根据安恒信息猎影实验室针对多个恶意挖矿团体、恶意挖矿木马家族等数据研究分析,发现攻击者正在尝试以下几种手段进行挖矿:

  • 使用隐藏CPU使用率的新技术

研究人员发现Golang蠕虫挖矿木马就是通过特定型号的寄存器(MSR)驱动程序来禁用硬件预取器。硬件预取器是一种新的技术,处理器会根据内核过去的访问行为来预取数据,处理器(CPU)通过使用硬件预取器,将指令从主内存存储到二级缓存中。然而,在多核处理器上,使用硬件预取会造成功能受损,并导致系统性能整体下降。XMRig需要依赖机器的处理能力来挖掘Monero币,禁用MSR能够有效阻止系统性能下降,从而提升挖矿效率。

  • 黑产组织之间争夺挖矿资源

在恶意挖矿活动中,可能会出现两个恶意挖矿家族相互争夺受害计算机资源的情况,这种较量通常在Linux和云环境中进行,挖矿木马会利用多种手法清理或阻止、干扰受害主机上其他家族的挖矿行为,从系统中删除竞争对手来独享资源。

比较广为人知的是Pacha和Rocke黑产组织的云上资源争夺事件,这两个组织所使用的技术、战术、方法都极其相似,这种同行之间相互竞争的现象有助于提高操作员的技能水平。

  • 工控系统成为新的矿机目标

随着时间流逝,挖矿活动所产出虚拟货币越来越少,对算力的需求越来越大,一些攻击者已经不满足选择诸如PC或移动设备作为其挖矿工具,而是将目光瞄向了具有高性能、高处理能力的基础设施。工业控制系统的内部网络还可能存在过时或未打补丁的软件,因为部署新的操作系统和更新可能会无意中破坏关键的传统平台,所以系统可能仍停留在旧版本当中。

对于从事恶意挖矿活动的攻击者而言,工厂是一个诱人的目标,由于许多基线操作不会使用大量处理能力,但会消耗大量电力,这使得挖掘恶意软件能够相对容易地掩盖其 CPU 和功耗,即使查到系统异常,但排查控制系统上的网络威胁也需要相当多的时间成本。

如何预防恶意挖矿

对个人而言

要预防个人计算机被恶意挖矿所利用,我们每个人应从以下方面做好安全措施:

1. 提高个人安全意识,从正常的应用市场和渠道下载安装应用程序,不轻易安装来历不明的第三方软件,或随意点击和访问一些具有诱导性质的不良网页。

2.安装杀毒软件或安全卫士,并定时进行全盘查杀。

3.及时修复系统漏洞,更新系统版本、软件版本和应用版本。

对企业而言

要防范计算资源被恶意挖矿所利用,企业单位应从以下4个方面做好安全防护措施:

1.云端情报:利用云端情报能力、在线专家服务能力与线下安全设备结合,精准定位、处置本地恶意挖矿威胁;

2.网络流量:利用流量检测与大数据分析技术,多维度、深层次分析,识别网络中存在的恶意挖矿攻击特征,并联动安全设备实现自动处置;

3.边界防御:利用边界网关产品对网络中存在的恶意行为、恶意连接实现预警与拦截,实现对南北向数据流量精细化控制;

4.端点安全:利用终端安全防护平台为终端提供病毒防御能力,识别终端存在的异常程序与异常连接,隔离终端及查杀挖矿病毒。

解决方案如下:

多重监管之下,谁还在“挖矿”?