【“挖矿”威胁治理】专项方案

▲ 图：安天威胁想定分析框架

针对“挖矿”威胁攻击，理清“我情”（价值资产）、“敌情”（威胁行为体、动机、行为）、“风险后果”，是开展专项治理工作的前提。基于对典型“挖矿”攻击持续深度监测分析与赋能客户现场应急响应处置经验，安天CERT梳理了典型“挖矿攻击活动”的威胁行为及分析后果图谱。如下表所示：

综合来看，伴随加密应用的普遍化，“挖矿类”网络通信行为也隐藏在正常的加密通信中，传统边界侧安全的作用正在被削弱甚至被绕过，网络安全防护的支点重回系统侧安全；另外一方面，无论是内部人员自主行为、还是被攻击者入侵后的被动行为，“挖矿动作”的作用主体在主机节点，因此“挖矿”威胁治理工作的核心是需要加强对各类工作负载端点的统一管理，形成端点有效防护屏障。

同时，“挖矿”行为的主要动机是趋利行为，虚拟货币只要有利可图，“挖矿”威胁将持续存在，因此针对网内可能出现的主动或被动“挖矿行为”，还需要加强常态化安全监测和提升对“挖矿威胁情报”的消费能力，支撑更加及时和准确的检测与响应。

▲ 图：安天“挖矿”威胁治理体系架构

安天面向服务器、云、虚拟化、容器和传统办公节点等提供有全防御能力覆盖的“智甲安全产品家族”，可以满足客户对于包括终端杀毒、终端检测与响应（EDR）、云工作安全防护（CWPP）等系统安全层面需求。

“智甲终端防御系统”是业内率先采用“云查杀+黑白双控模式”进行有效防御的终端安全防护产品，结合本地的深度检测和云端服务的强大计算能力，有效保障“挖矿木马”快速精准的识别，同时大幅减少终端资源占用；智甲能主动对进入系统的文件进行监控，自动感知并扫描文件安全性；自动扫描监控进程源文件以及调用文件的安全性；监控网络的端口和流量，实现对“挖矿行为”的实时监测告警。

▲ 图：智甲对“挖矿”的检测和查杀

智甲具备全面的终端设备关键信息采集能力，可实时监控系统行为，并通过机器学习等智能检测分析技术来构建高效的威胁检测分析模型。依托大数据分析技术和威胁情报关联分析技术，可精准、及时、有效的发现“挖矿活动”，揭示“挖矿”等威胁事件。

2.2 持续监测·提升网络侧挖矿检测能力

通过部署“安天探海威胁检测系统”，对用户网络侧流量进行实时检测；探海基于内置的威胁检测引擎（文件检测引擎、C&C 检测引擎、网络行为检测引擎、自定义检测引擎）能够对采集到的数据从数据流、网络行为、文件等多层次进行检测，及时发现网络中的“挖矿木马”、病毒横向移动、病毒感染传播等攻击行为。

▲ 图：“挖矿”行为检测分析

探海内置矿池相关威胁情报，可有效发现比特币、以太坊、门罗币、莱特币等主流的虚拟货币矿池连接行为，发现矿池“挖矿”活动；能够检测多种基于区块链的数字虚拟代币发行服务的矿池连接行为，可检测基于波场公链TRON、币安智能链BSC、火币生态链HECO、以太坊ETH等公链发行的衍生虚拟货币。同时，通过对“挖矿”协议的分析与识别，在威胁情报滞后更新的情况下，也能发现在主要矿池进行的“挖矿”行为。

2.3 情报驱动·支撑智能化安全运营闭环

通过“安天威胁情报分析平台”、“追影威胁分析系统”和“捕风蜜罐系统”的威胁情报能力，有效提升客户情报赋能和私有化情报生产能力，可以有效支撑更为细致的“挖矿”活动分析工作，针对攻击者的攻击工具、攻击资源、攻击手段进行全面揭示，基于情报驱动网内各环节检测和发现能力。

▲ 图:“挖矿”IP地址关联分析

▲ 图: “挖矿”IP端口关联分析

通过持续监控与协同响应，联动包括端点侧、边界侧、应用侧、流量侧等场景对“挖矿”活动进行全面响应处置，基于情报生产、消费的闭环，赋能给各场景防御系统，有效实现对“挖矿”行为的实时监测告警、响应处置。

2.4 协同响应·协助快速处置与威胁猎杀

安天提供安全服务专家，通过远程或现场安全实时监测、响应处置和威胁猎杀服务，全面监测发现“挖矿行为”，检测内部失陷的主机，以及针对发现的“挖矿行为”进行分析研判，协助客户对疑似“挖矿主机”进行检查分析，对发现的“挖矿活动”进行彻底清除，并对相关“挖矿活动”进行深度分析和追溯，及时修复相关安全漏洞，避免主机被再次植入“挖矿程序”，做到把“挖矿活动”“找出来”和“赶出去”。

合规价值：全面梳理排查虚拟货币“挖矿”威胁，符合国家、相关行业的标准和规范，以及主管部门监管检查要求。

运营提升：从“端点统管、持续监测、情报驱动、协同响应”四个维度入手，构建挖矿木马检测、防护、监测、研判、溯源和取证一体化安全管理闭环，提升安全运营能力，确保企业内的“挖矿”行为无处藏身。

社会效益：积极响应国家政策，有效防护和清除“挖矿”活动，降低“挖矿”能源和计算资源消耗，为推动国家节能减排，实现碳达峰、碳中和目标等做出积极贡献。