直播回顾 |【原引擎】解密云原生安全：如何高效破解挖矿攻击难题？

官方解释，挖矿是指透过执行工作量证明或其他类似的挖矿算法来获取加密货币。而其实挖矿就好比某人出了一道算术题，如果谁能在第一时间解答并提交正确答案，就会得到一定的奖励。而这个奖励引申到现实中，就是所谓的加密货币，整个求解的过程就叫做挖矿。

因此，在用户不知情或未经允许的情况下，占用受害者的系统资源和网络资源进行挖矿，从而获取加密货币来牟利的行为称为挖矿攻击。

挖矿攻击的常用手法主要分为四大类，应用捆绑、暴力破解、漏洞利用、挖矿网站。

应用捆绑好比去第三方网站下载了一个盗版破解的软件，而这些软件其实捆绑了一些挖矿程序，因此在执行程序的时候，后台也会相应地执行挖矿木马。例如去年腾讯安全所发布的文章，《腾讯安全：游戏私服捆绑传播挖矿木马，已感染超5000台电脑》

暴力破解是指攻击者针对目标服务器和主机开放的Web服务和应用进行暴力破解获得控制权限，然后植入恶意挖矿程序。比如黑客通常会在互联网上扫描大量的端口，然后用提前收集好的弱口令对这些端口进行暴力破解，一旦破解成功，黑客就会拿到这些服务器主机的权限，接着就会植入挖矿程序来进行挖矿。

漏洞利用是挖矿攻击非常主流的一种手段，主要分为两类，远程代码执行漏洞和未授权访问漏洞。远程代码执行漏洞，如永恒之蓝系列漏洞；未授权访问漏洞，如Redis未授权访问漏洞。

挖矿网站，部分恶意网站会在js代码中插入挖矿代码，用户浏览该网站会占用系统cpu进行挖矿，关闭网页后才会恢复正常。

挖矿攻击演示，以TeamTNT为例，其挖矿攻击主要分为三大部分。第一部分它会去扫描公网上开放的存在漏洞的主机，然后下发恶意脚本，以篡改系统的命令，创建用户，写入SSH公钥，执行挖矿程序；第二部分，他们会在这些主机里安装一些masscan或者pnscan这样的端口扫描工具，以进一步去下发执行他们的恶意脚本；第三步，以这些主机为跳板，继续利用redis未授权访问漏洞进行攻击，扫描开放的6379端口的主机，扩大战果。

腾讯云安全服务会在第一时间以短信的方式告知用户他们的主机被挖矿了，安全服务能检测到系统中存在恶意文件，比如通过这些文件的md 5值，判断它们是否恶意，同时会给它们添上恶意的标签。

解决挖矿攻击的同时，还需要知道这样的攻击是通过什么方式入侵进来的，若不能把被入侵的漏洞给修复了，那就是治标不治本，以后还会再次被感染。

在腾讯云主机安全的控制台，可以看到黑客是通过什么方法攻击用户的，比如演示中通过SSH暴力破解登陆了服务器，同时还能看到黑客入侵之后都做了哪些操作，比如远程下载挖矿木马的脚本，或对系统的一些关键文件进行加锁等。

控制台攻击溯源的图里可以非常清晰地看到黑客是通过什么方式入侵服务器的，是怎么植入挖矿的，这方便了用户们做事后的复盘。同时控制台还提供了建议栏，它会为用户提供危害概述和修复建议。主机安全这一部分的功能可帮助用户做到对安全整体的把控。

应急不应成为常态，企业更应构建以评估-监测-应急为体系的闭环安全能力，就像腾讯MSS安全服务，它会给客户做一些事前的安全评估、风险检测，帮助用户发现事前的风险点。

事中即使出现了问题，它可以做到持续监控、分析、处置风险事件，推动事件得到闭环处置。包括在安全问题出现之后，可对安全进行及时加固，并进行及时的响应，以帮助快速回复业务。同时，它还能获取客户业务最新漏洞及数据泄露情报，以占据安全运营的主动权。

云上挖矿攻击常见的手法，需记住攻击者只关注两点，资源爆露面端口和对应端口漏洞及弱口令。

开源软件的应用越来越多；云原生带来了的环境配置问题，客户端的接入方式更加多变，导致了同一个业务会有多种客户端同时接入；包括业务流量攻击增加，如CC攻击流量、多源低频CC、BOT爬虫等，这些都给云上安全防护带来了难点。

腾讯云MSS安全服务在应对攻击队入侵各阶段的策略包括了侦查/扫描、武器化/投递、漏洞利用、工具安装、C&C、横向移动、持久化。

前期可以通过云防火墙梳理云上资产暴露，进行边界防护，溯源反制，自动拦截非法外联；武器化以及漏洞利用阶段，会有相应的虚拟补丁，能及时发现并阻断高危命令、反弹

SHELL、异常登陆等攻击行动；在工具安装阶段，可以有效地通过主机安全做相应的识别，可以做到及时并自动地将恶意文件进行隔离；在命令执行以及横向移动阶段，可以通过主机安全快速地发现一些恶意请求，包括横向内网扫描的行为，并做到相应的拦截和防护。

针对于挖矿场景，腾讯云MSS安全服务最核心的两个维度就是检测和响应。其单产品可联动多维数据源，网络层、终端层、安全层都可做到多维度的检测。同时单数据也可服务于多安全产品，抗D、云防火墙、WAF可做到相应的攻击拦截。

腾讯云防火墙主要提供了访问控制、身份认证、入侵防御（威胁情报）等流量管控能力，并集成漏洞扫描、网络蜜罐、日志审计等功能，可以很方便地帮助用户识别到攻击的行为，且能做到相应地拦截和阻断。云防火墙的旗舰版也提供了一些重保甚至护网的威胁情报，可以做到全流量的分析，包括威胁IP的追踪，此追踪可以一键式的对某个区域或者某一批有风险的IP做到批量的封禁。

整个云防火墙具有三个维度：事前排查，实时拦截，溯源取证。主要体现在以下几步内容。

第一，通过云防火墙可以具备资产中心的能力，即快速梳理云上资产以及所暴露的端口，适当关闭非必要服务，这能够帮助用户提高整个暴露面的安全收敛。

第二，通过云防火墙的观察模式，可以看到互联网边界防火墙和NAT边界防火墙所检测的各种流量。腾讯云防火墙可以实时地检测并自动化调用威胁情报做整体IP的研判，面对有风险的IP，可以及时地做到阻断。

第三，在入侵阶段有一个严格的模式，在重保或护网阶段可以打开，其对相应风险的研判都会做必要的拦截。

第四，腾讯云防火墙还提供了零信任防护远程运维的能力，这个能力提供了远程的登录，避免了企业的服务器暴露在公网上。通过零信任远程运维的方式能够接入到腾讯云的业务机器上做相应的业务配置变更，这样就能更加有效地进行防护。

第五，云防火墙可以管控主动外联，阻断主机受控。第六，云防火墙也是一个告警中心，能够及时地通过短信，包括邮件、微信小程序等进行通知。

腾讯云主机安全目前主要分为三个版本，基础版本主要提供了一些简单的主机列表、异常登录检测，包括密码破解的检测等；专业版里更多地提供了核心的检测能力，包括资产管理、入侵检测、漏洞管理（仅检测，无修复），基线管理、高级防御（攻击检测）；旗舰版里则更多地增强了漏洞的自动修复，核心文件的监控，包括入侵检测（文件查杀自动隔离）、漏洞管理（自动修复）、高级防御（核心文件）、入侵溯源可视化、云原生安全预警。

挖矿场景下，主机安全首先要做好事前的加固，及时做高危漏洞的修复。腾讯云主机安全提供了七大入侵检测模块，包括文件查杀、异常登录、密码破解防护、恶意请求、高危命令的执行、本地提权、反弹Shell等，可以实时地监控并对恶意行为做相应的阻断。

旗舰版里提供了一个能力，可以对恶意文件做到自动的隔离，并且能够针对整体的攻击做自动溯源，可以帮助用户更有效、更快速地去检测哪些业务机器受到了攻击，有没有横向渗透等等。

针对容器维度的挖矿防护，腾讯安全也推出了容器安全的防护解决方案。从整个容器的生命周期，从容器的镜像进行了高危漏洞的检测，包括木马病毒的扫描检测，同样都和云顶实验室做了深入的能力集成。

在部署阶段，防护解决方案可以有效的针对于集权安全，包括通过机械配置、合规检查去检测容器本身的配置是不是具有脆弱性。在运行阶段，其可以有效的通过容器逃逸检测、高风险操作检测来识别病毒木马，以及可以针对一些核心业务添加进程白名单，这些都可以更有效地帮助容器做安全的检测和防护。

容器安全的几个视角。第一，一定要做好常规的漏洞运营，收敛漏洞的风险，减少整体的风险暴露面。

第二，在集群阶段可以通过容器集群安全配置、合规检查，检测到容器的集群漏洞以及配置合规的风险。这些可以帮助客户做好集群的安全加固，尤其是对runC、Kubelet、API Server、Docker、Pods等相关维度的一些组件，可以快速展开整体的安全巡检。

第三，容器内部也做了相应的入侵检测和防护，可以更有效地检测用户容器内部的入侵事件，并且能做到持续地检测，同时还能实时的通过短信或邮件去告警用户所发生的攻击事件。

云上的安全服务包含了攻击者视角下的有效防守、KPI视角下的过程展示、护网级的常态化运营、准实时的情报及威胁共享。腾讯MSS积累了腾讯安全专家二十多年攻防的经验，包含了红蓝对抗、安全运营指标、高端的安全能力，以及提供了整体安全评估和日常常态化的安全运营。

腾讯的安全托管服务可以提供7*24小时的服务。托管服务分为两大类，MSS日常运营品类和MSS重保护航品类。

腾讯的安全服务沉淀了很多年的经验，并且有相关行业的标杆在支撑，包括了政府机构、金融行业、泛互联网、医疗行业、零售行业。

腾讯的云原生安全服务在产品上可以实现零部署，即开即用、弹性扩容、按量付费，并且自带全网威胁情报和HW情报，可以洞察复杂多样的攻击场景，同时具备顶尖攻防团队的构建，拥有打通微信端的预警及处理能力。

腾讯云原生的安全产品在最佳实践的配置上总结为了两个手册，《构筑云原生安全体系，抵御挖矿索等入侵的风险》和《挖矿木马自助清理手册》。

第一个手册分为云防火墙最佳实践和主机安全最佳实践，云防火墙最佳实践分为四个部分。第一部分是收敛暴露面，针对于互联网暴露的非必要端口和服务，可以通过云防火墙的资产中心快速地将资产梳理出来。

第二部分是堵漏洞，云防火墙提供了虚拟补丁的能力，能够有效地监测漏洞被利用的行为，并及时做出相应的阻断。

第三步是管控，通过云防火墙安全告警中心里管控外联的功能，有效地检测哪些主机资产有了外联的行为，或检测出外联的哪些IP是有风险的。

第四步，针对入侵后，云防火墙能快速地将有风险的资产进行隔离，防止威胁的蔓延。

腾讯安全服务所建立的防挖矿场景，更多的是希望能在事前做好安全的防护，避免入侵事件，而一旦发生入侵事件，他们也提供了清理手册，可供用户快速地做出相应的处理。当然也可以直接联系腾讯云MSS的应急响应服务，该服务可帮助用户做出相应的风险处理和应急处置。

扫码获取完整课件

提问一：怎么判定自己被挖矿了？该如何来解决？

高智鹏：第一，可以通过系统的进程文件去判断，比如CPU超负载，这是非常明显的现象；第二，可以从流量的维度去推测，因为挖矿之后，挖矿的主机和矿石之间会进行通讯。

关于如何解决，可以在被挖矿的主机上查一些关键的挖矿进程，看这些进程在哪些文件里，然后用腾讯安全服务的主机安全把这些文件进行隔离。

提问二：挖矿的原理是什么？在没有安全工具的情况下该如何进行防护？

赵志广：从原理来讲，挖矿更多的是对CPU做相应的占用，他的攻击手法是前期做入侵的扫描，中期做恶意命令的执行，后期做相应的计划持久化，并且会隐藏自身的进程，甚至会对常见的命令做出篡改。

如果没有购买安全产品，需要专业的安全团队对整个挖矿的入侵做一个整体的监测，对已经中了挖矿木马的这些主机做到及时地隔离。比如通过腾讯云的网络安全组可以对出入项的流量做相应的隔离和阻断。

第二个维度是快速的对异常通信的流量做相应的拦截。第三个维度是去检查有没有恶意的计划任务，单单清除进程是治标不治本。同时还要清理相应的恶意启动项，包括恶意的iso和不在正常范围内的SSK的公钥。以上这些都处理好后再去清理相应的挖矿木马的进程。