目录
1.2.3 《关于整治虚拟货币“挖矿”活动的通知》... 2
1.2.4 《关于进一步防范和处置虚拟货币交易炒作风险的通知》... 2
5.5.1 高阶专家守护,7*24小时掌控挖矿状况... 14
2008年爆发全球金融危机,2008年11月1日,一个自称中本聪(SatoshiNakamoto)的人在P2Pfoundation网站上发布了比特币白皮书《比特币:一种点对点的电子现金系统》,陈述了他对电子货币的新设想——比特币就此面世。比特币是一种P2P形式的数字货币,由计算机生成的一串串复杂代码组成,和法定货币相比,其没有集中的发行方,是由网络节点的计算生成,任何人都可以参与制造过程(挖矿),并且可以在任意一台联网的计算机上进行买卖,且交易过程无法辨认用户身份信息,因此吸引了大量玩家。
比特币的制造过程实质上是利用计算机解决一项复杂的数学问题,因其设计机制导致比特币总量被永久限制在2100万个,且制造难度(挖矿)越来越高,而随着比特币价值最高突破6万美元一枚催生出了一个产业——“挖矿”。
自2017年以比特币为代表的虚拟货币迎来“矿潮”后,也直接让挖矿和矿工这两个词在互联网中的含义,与原本的意思发生了偏离。随着比特币(BTC)、以太坊(ETH)等虚拟货币价格的一路走高,挖矿也成为了网络黑产关注的焦点,虚拟货币“挖矿”是利用计算机的设备资源(如算力、带宽、硬盘存储等)去解决复杂数学运算的一个过程,从而产生基于区块链技术的去中心化虚拟货币的行为,产生的虚拟货币以比特币和以太坊为主。为了确保尽可能快地计算出问题答案,从而获取虚拟货币奖励,参与“挖矿”的“矿工”们需要投入尽可能多的算力资源,因此获取控制尽可能多的“矿机”成为增加“挖矿”收益的一个主要手段,挖矿木马/病毒随之开始泛滥。
第三十一条国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。关键信息基础设施的具体范围和安全保护办法由国务院制定。
第五十二条负责关键信息基础设施安全保护工作的部门,应当建立健全本行业、本领域的网络安全监测预警和信息通报制度,并按照规定报送网络安全监测预警信息。
第二十二条国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。
整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。各地区、各部门和有关企业要高度重视,充分认识整治虚拟货币“挖矿”活动的必要性和重要性,切实把整治虚拟货币“挖矿”活动作为促进经济社会高质量发展的一项重要任务,进一步增强责任感和紧迫感,抓住关键环节,采取有效措施,全面整治虚拟货币“挖矿”活动,确保取得实际成效。
(十九)形成监管合力。金融管理部门、网信部门加强对相关主体的监测分析和穿透式监管,对虚拟加密资产大数据监测平台等识别出的矿场定位到IP地址、具体企业和物理住所,并加强与相关监管部门的信息共享交流和数据交叉验证,形成全链条治理合力。
(一)虚拟货币不具有与法定货币等同的法律地位。
(二)虚拟货币相关业务活动属于非法金融活动。
(六)强化属地落实。各省级人民政府对本行政区域内防范和处置虚拟货币交易炒作相关风险负总责,由地方金融监管部门牵头,国务院金融管理部门分支机构以及网信、电信主管、公安、市场监管等部门参加,建立常态化工作机制,统筹调动资源,积极预防、妥善处理虚拟货币交易炒作有关问题,维护经济金融秩序和社会和谐稳定。
(八)建立信息共享和快速反应机制。在各省级人民政府领导下,地方金融监管部门会同国务院金融管理部门分支机构、网信部门、公安机关等加强线上监控、线下摸排、资金监测的有效衔接,……
本项目是在满足《中华人民共和国网络安全法》等国家相关网络安全法律法规的基础上进行的挖矿活动治理方案的建设,确保其遵循相关法律法规,满足国家及行业政策要求。
挖矿活动治理方案建设的目的是有力促进治理挖矿行为工作的规范高效,更是为业务系统稳定、可靠运行提供支撑。并且需要与业务的开展进行充分结合,发挥出安全对业务运行的支撑作用。
挖矿活动治理方案建设的过程中,借鉴国内外先进理念和方法,参考国内外的相关安全体系化建设标准,并结合国内外成功案例或最佳实践,确保设计的网络安全保障体系先进成熟。
2 现状分析
因为计算进行挖掘虚拟货币的过程,需要消耗大量电力能源,产生巨大的碳排放量,且对国民经济贡献度低,对产业发展、科技进步等带动作用有限,加之虚拟货币生产、交易环节衍生的风险越发突出,其盲目无序发展对推动经济社会高质量发展和实现3060双碳目标背道而驰。因此整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。
在国家层面,2021年9月国家发展改革委、网信办、工信部、公安部、人行、银保监会、能源局等11部门印发《关于整治虚拟货币“挖矿”活动的通知》,明确加强虚拟货币“挖矿”活动上下游全产业链监管,严禁新增虚拟货币“挖矿”项目,加快存量项目有序退出。将“虚拟货币‘挖矿’活动”增补列入《产业结构调整指导目录(2019年本)》“淘汰类”。同年9月中国人民银行、网信办、最高人民法院、最高人民检察院、工业和信息化部、公安部、市场监管总局、银保监会、证监会、外汇局联合印发《关于进一步防范和处置虚拟货币交易炒作风险的通知》,明确虚拟货币不具有法定货币等同的法律地位,其相关业务活动属于非法金融活动,参与虚拟货币投资交易活动存在法律风险。同年12月国家发展改革委组织召开虚拟货币“挖矿”治理专题视频会议,通报虚拟货币“挖矿”监测和整治情况,部署了下一阶段工作,要求各省区市切实负起属地责任,建制度、抓监测,对本地区虚拟货币“挖矿”活动进行清理整治,严查严处国有单位机房涉及的“挖矿”活动。
《通知》还要求金融、能源、工信、网信、财政、税务、市场监管等部门统筹推进对“挖矿”活动的整治工作,金融管理部门、网信部门要加强对于虚拟币挖矿行为的监测分析和穿透式监管。各地区、各部门和有关企业要高度重视,充分认识整治虚拟货币“挖矿”活动的必要性和重要性,切实把整治虚拟货币“挖矿”活动作为促进经济社会高质量发展的一项重要任务,截至目前已有内蒙古、云南、新疆、青海、四川、安徽、河北、江苏、浙江、福建、江西、海南等地出手整治虚拟货币“挖矿”活动。
在教育行业,高校拥有众多的高性能服务器,同时用户个人网络安全防护意识相对比较薄弱,存在大量可被利用的算力等资源,因此往往成为黑客入侵、病毒传播进行“挖矿”活动的重要目标,也是清理整治虚拟货币“挖矿”活动的重点对象,为此教育部、各省教育厅发布了一系列关于高校整治清理虚拟货币“挖矿”活动的文件。
一般常见的挖矿攻击分为四个步骤,包括入侵攻击、投递植入、横向扩散及回连矿池。在入侵攻击阶段,黑客通过分析目标主机,采取爆破、注入等多种攻击手段渗透到内部服务器中;在投递植入阶段,黑客安装对应的挖矿客户端以及部署脚本,并对挖矿主机进行植入;在横向扩散阶段,黑客通过探测等相关技术,横向扩散内网相关主机,并植入挖矿程序;最终运行黑客挖矿程序后,与远端矿池进行回连,形成完整的一次挖矿行为。
挖矿病毒攻击杀伤链包括侦察、资源开发、荷载投递、安装植入、横向移动、命令控制和执行挖矿七个步骤。攻击者首先搜寻目标的弱点,应用端口扫描漏洞扫描及弱口令等手段寻获目标;再基于侦查阶段收集到的信息,构建特定挖矿病毒;通过使用漏洞和后门制作可以发送的病毒载体将挖矿病毒投递到目标机器,然后在目标主机安装、运行挖矿程序,伴随持久化、守护进程等操作;再利用投递程度集成漏洞扫描和利用模块,从目标主机横向传播;病毒再与远端控制系统通信回连,接受命令;最后释放挖矿程序,执行矿池/代理矿池挖矿命令,以及其他指令。攻击者远程完成挖矿及其他任务目标。
挖矿病毒和传统计算机病毒类似,经过多年的演进,越来越多的挖矿木马利用多种方式入侵系统,意图感染更多的机器,提高挖矿的效率和收益,常见的感染传播方式包括:钓鱼邮件传播,通过伪造邮件,添加恶意附件和恶意链接诱导用户点击下载;非法网页传播,攻击者在色情网站、在线赌博等非法站点上内嵌网页挖矿脚本,用户一旦进入此类网站,挖矿JS脚本就会自动执行;软件捆绑下载传播,将恶意程序捆绑在软件程序中,当用户下载执行激活工具、破解软件、游戏外挂以及盗版游戏就已经被攻击;将执行恶意程序僵尸网络下发及漏洞传播等。在云环境下有攻击者利用DockerHub公共容器镜像仓库,上传恶意挖矿镜像,污染容器镜像,当用户下载执行镜像时,将导致其docker主机被感染。
据安全机构监测全球存在数百万级的挖矿木马,每周以W为单位增长,并不断更新出新版本,挖矿病毒种类多、更新快,仅依靠枚举方式难以有效应对新型挖矿病毒。而且为了对抗安全设备检测,越来越多的挖矿病毒团伙选择对挖矿流量进行加密,以避开安全设备解析、识别。并且传播方式多样且极具隐蔽性,利用邮件、网站站点、藏身文件、漏洞、伪装、无文件等数十种高级方式传播病毒,落地终端后伪装正常进程,规避安全设备检查。在实际检测过程中发现挖矿病毒在执行挖矿活动中产生海量流量与日志,挖矿病毒日志混淆海量日志中,且需要多方日志关联方可定位,尤其是在大型骨干网络中,对于溯源和处置带来了极大挑战。越来越多的挖矿病毒家族盯上了云主机,在其攻击活动中会添加专门针对云主机的相关模块。总之,挖矿病毒识别难、监测难、处置难、溯源难。
挖矿活动会带来不确定性的高利润回报,以及从事挖矿行为无需较高的技术门槛,在利益驱使下,部分“挖矿”人员尤其是企事业单位中熟悉网络、计算机的网络管理人员或相关技术人员利用单位机房、设备、电力资源或个人计算机,直接运行“挖矿”程序软件主动挖矿。去年,浙江省纪委网信等部门采取不提前通知、不打招呼、不听汇报、直查机房、循线倒查“矿机”等方式对省内部分国有单位进行突击检查,整治利用公共资源参与虚拟货币“挖矿”其中70%的单位存在主动“挖矿”行为,涉及20余人,给予党纪政务处分7人。
依据国家发改委等部门发布的《关于整治虚拟货币“挖矿”活动的通知》,各地区、各部门和有关企业要高度重视挖矿活动的危害性,充分认识到整治虚拟货币“挖矿”活动的必要性和重要性,采取有效措施,全面整治虚拟货币“挖矿”活动。公安、网信等已经部门加强了对相关主体的监测分析和穿透式监管,有能力识别出所有已知虚拟加密货币挖矿行为,识别出矿机矿场定位到IP地址、具体企业和物理住所,并与相关监管部门进行信息共享交流和数据交叉验证,形成全链条治理合力。为了落实国家政策要求,加强自查自纠,需要开展挖矿治理相关的技术体系建设工作。需要主动建立检测识别能力、处置能力,确保单位网络环境中的挖矿活动得到根治。
挖矿病毒潜在的最大风险是携带的蠕虫、勒索病毒,除了使用设备资源、电力资源,其携带的蠕虫病毒会在用户网络中进行横向扩散,控制更多主机进行挖矿,或形成僵尸网络从而发动更为广泛的攻击行为。其携带的勒索病毒会对用户数据资产进行加密控制、篡改、窃取,因此需要建立相应防范处置措施。
挖矿病毒在执行挖矿过程中会占用几乎全部的网络计算资源,不论是CPU\GPU还是存储,都将满负荷工作,进行挖矿活动所需要的复杂计算,严重占用了正常业务开展所需的计算资源,从而造成业务卡顿甚至宕机,对于经营业务可能造成不可估量的经济损失,对于公众业务可能会造成用户公信力下降甚至发生社会公共安全事件。由于挖矿病毒通常具有较高的隐蔽性,常规手段较难识别挖矿程序的存在,需要采用先进成熟的技术手段健全挖矿病毒检测治理体系。
单位网络安全要素复杂,网络安全业务需求多样,使得单位在网络安全整体建设上面临较大困难。针对这些无论是满足监管需求还是网络安全防护和运维的需求,都指明单位应构建综合的网络安全防护体系,对单位的整体安全要素进行集中管控,将“主动防御,自动阻断”的新型网络安全防护理念应用于挖矿活动治理当中。
随着国家层面对信息安全的重视程度越来越高,主管和监管部门对单位的信息安全管理能力、技术防护能力也不断提出新的要求。因此,单位亟需在信息安全的管理和技防能力建设方面进行系统化的、全面化地评估与规划,以挖矿治理为契机,为抓手,采用系统、科学方法构建云网边端体系化的网络安全和运营保障体系。
从计算机病毒的传播机理分析可知,只要是能够进行数据交换的链路,都可能成为计算机病毒传播途径。挖矿病毒也不例外,为了能控制更多的计算资源达到利益最大化,除了携带挖矿模块外,还会携带具有较强横向传播能力的蠕虫模块,可以通过企业终端内的漏洞肆意传播,感染更多的终端。其在运行时,因占用大量系统资源,造成系统卡顿后容易被察觉,所以会使用伪装成系统文件、无文件化等技术保护自身,即使被发现也不会被轻易清除,长时间占用单位的系统资源,挖矿获取利益。而且目前常见的挖矿病毒,多会长期进行更新,比如随时更换挖矿的币种、增加更多的传播方式,通过增加混淆的方式,以达到自保的目的。
基于挖矿病毒的传播特点及治理难点,针对其多样性的传播方式,种类多更新快的特点以及较强的隐蔽性,应建设出以资产为核心,以识别检测、分析处置、持续运营、定位溯源等综合能力为依托的云、网、边、端立体化全方位的防挖矿治理体系。
云网边端挖矿活动治理是综合性的挖矿治理解决方案。在单位服务器终端、入网PC终端部署终端安全及防病毒系统对终端提供病毒防御能力,对感染终端隔离、深层次查杀,与大数据安全平台结合,对挖矿事件提供事件溯源,对东西向数据流量控制,阻断横向渗透;在单位网络出口边界及安全域边界部署下一代防火墙,对挖矿行为数据流量及时阻断,并将产生的安全日志上报给大数据安全平台,接受来自安全平台指令,对南北向数据流量安全控制;在单位核心交换旁路部署大数据安全平台、智能编排与协同响应平台以及流量探针,以专业大数据安全平台为安全监测与分析中心,对防火墙、EDR、流量探针等安全设备上报的安全日志利用机器学习、AI等能力展开多维度、深层次分析,识别网络中存在的挖矿行为,及时告警,通过智能编排与协同响应平台(SOAR)联动安全设备处置,并与云端威胁情报平台联系,获取最新情报,通过安全专家进行深度分析与二次识别,增强挖矿行为识别能力,并减少误报。部署方案如下:
通过对网络全流量的深度解析,包括多币种检测、扫描矿机、登录矿池、任务下发、回连等挖矿规则检测,识别浏览器挖矿、客户端挖矿、本地主机挖矿等多种形式,实时发现Web攻击、恶意病毒样本、勒索病毒爆发、挖矿行为、内部主机受控、暴力破解、隐蔽信道数据传输、弱口令、邮件社工类攻击等APT攻击,实时检测已知和未知风险。
内置的反病毒引擎,同时内置静态分析引擎和动态沙箱引擎,准确提取恶意代码样本中内嵌的shellcode及0day漏洞利用行为,实时发现未知威胁。
记录所有攻击行为和威胁数据并进行深度挖掘和关联分析,对攻击源和攻击目标进行长周期内的威胁情况分析、攻击溯源和攻击过程可视化展现,并绘制攻击路线图以进行快速分析定位。
通过云端威胁情报中心共享实时挖掘、收集全球网络中存在的挖矿域名/IP、病毒、漏洞等情报信息,安全设备与其碰撞,识别挖矿活动。
集成多种C&C回连行为的检测机制,全面和准确发现受控主机、回连方式和中招的病毒木马类型。
利用AI能力自动识别出“挖矿活动”的流量、行为,补充特征库方式的滞后性,应对日益增长的新型挖矿病毒。
主机安全及管理系统是一款集成了丰富的系统防护与加固、网络防护与加固等功能的主机安全产品。主机安全及管理系统通过文件诱饵引擎,有勒索专防专杀能力;通过内核级东西向流量隔离技术,实现网络隔离与防护;拥有补丁修复、外设管控、文件审计、违规外联检测与阻断等主机安全能力。
智能编排与协同响应平台(SOAR)是一款结合大数据技术和智能算法的安全运营系统,平台可通过智能灵活编排,把人、过程和技术整合起来,大幅提升挖矿活动处置工作效率。支持拖拽式交互设计,支持多种策略编排动作,包括但不限于关联验证、告警聚合、联动、阻断。可以联动大量不同类型的安全设备,支持策略下发生成跟踪任务,任务执行过程中可加入安管人员控制环节。将人工分析经验沉淀为标准流程,不断优化挖矿病毒预警响应流程,减少对人工的依赖。
防火墙实现不同安全域之间的访问控制,可以达到等级保护中要求根据会话状态信息为数据流提供明确的允许/拒绝访问的能力,控制粒度为端口级,保护服务器脆弱的服务、控制对系统的访问、实现区域划分和阻止网络攻击。
APT预警平台结合数据包存储回溯系统可对海量数据进行采集、分析、存储和回溯,数据包存储回溯系统(PTS)能提供灵活的存储能力扩展,可以对网络原始数据包进行全流量完整保存,解决了本地对海量流量数据进行存储问题,能够快速查询海量历史流量,还原挖矿活动发生时的全部网络通信内容,实现数据包级的数据取证,在解决海量数据全包存储的同时保证了事件溯源的及时性与准确性。
通过对检测出的日志进行汇总分析整理,实现以攻击链的形式可视化展示挖矿活动的入侵路径、入侵程度等。一次完整的挖矿往往过程复杂,手段多样,当前的安全产品无法检测出所有过程和手段,更无法对所有的过程和手段进行关联,所以以攻击链的形式可视化展示,就可以对挖矿活动的入侵路径进行完整的呈现。便于事后对内部网络进行分析,对挖矿活动进行取证溯源。
可视化攻击链实现所有安全日志按照攻防逻辑进行编排,一目了然的进行挖矿事件回顾和溯源分析,把攻击者入侵分为前期阶段、入侵阶段、控制阶段、外传阶段形成针对资产维度和针对攻击者维度两条链。资产维度的攻击链可以对内网资产进行针对性分析,准确把握其安全威胁情况,让基础安全人员也能进行安全分析,明确感知到安全事件的严重性。攻击者维度的攻击链可针对某攻击者进行分析,帮助修复内部安全漏洞。
全局化呈现基于流量梳理发现的所有资产互访关系,访问类型包括正常访问和异常访问,并统计访问次数,访问方向包括访问内网、来源内网、访问互联网、来源互联网,帮助区分外部攻击和横向威胁。
通过网络和终端的告警、日志关联分析功能达到告警降噪、提升精准度的目的。将告警与原始流量日志关联,提升精准度。同时,网络与终端日志关联,形成精准安全事件,当有终端数据时,将网络侧的告警与终端日志关联形成精准告警,进一步溯源形成安全事件。
大多数厂商安全运营中心通过专家内部轮动值守,能够实现7*24小时服务,帮助单位持续了解现网环境中的挖矿活动状态,解决了人员因夜间休息等导致的无法本地分析的问题。当出现挖矿事件状况时,服务人员会根据标准流程对信息进行确认、通报、并支持第一时间协助用户解决挖矿问题,缓解运营商单位在检测挖矿过程中的工作压力。
通过流量特征与威胁情报中心实时匹配,单位爆发挖矿事件时能够第一时间得到处置,解决是否挖矿不知道、如何处置不了解、是否闭环不清楚等一系列问题,保障业务不被挖矿持续影响。