随着社会信息化的发展和区块链技术的广泛应用,以比特币为代表的多种虚拟货币价格水涨船高。巨额的利益促使从事“挖矿”业务的人越来越多。2013年,我国最早的比特币矿池——“鱼池”诞生;2014年,中国矿池异军突起,“鱼池”登顶算力榜第一,蚂蚁矿池和BTCC矿池也都挤进了前十,世界“挖矿”业务的中心逐渐转移到了中国。然而,在这种如火如荼的发展态势下,因“挖矿”行为泛滥而带来的巨大能耗、黑灰产业等严重问题逐渐暴露。
国家对此高度重视,2021年9月,国家发改委等部门联合发布《关于整治虚拟货币“挖矿”活动的通知》,严禁新增虚拟货币“挖矿”项目,加快存量项目有序退出。后来,虚拟货币“挖矿”活动又被列为淘汰类产业。教育行业内,高校由于其高算力集中环境的特性成为重点整治区域。2019年,思科的一份报告指出,大学校园已成为虚拟货币的第二大矿工群体,大量的教学用户终端、师生个人终端、数据中心服务器都可能成为“挖矿”病毒的感染对象。
“挖矿”攻击流程分析
“挖矿”的本质是求解一道数学题,最先破获答案就可以得到对应的数字货币奖励。恶意“挖矿”是指在未经用户同意或用户不知情的情况下使用该用户设备挖掘加密货币,并以隐蔽或不易察觉的方式使用其设备计算资源的行为为被动行为。通常情况下,恶意“挖矿”与设备感染“挖矿”木马有关。“挖矿”攻击的完整过程如图1所示。
图1 “挖矿”攻击流程
据图1可知,“挖矿”攻击流程可分为以下四个阶段:
1
入侵阶段
该阶段主要利用类似其他病毒木马程序的传播方式,例如钓鱼欺诈、色情内容诱导、伪装成热门内容的图片或文档、捆绑正常应用程序等。当用户被诱导内容迷惑并双击打开恶意文件或程序后,恶意“挖矿”程序就会成功入驻目标主机后台并执行下一步动作。此外,高校暴露在公网上的主机、服务器、网站和Web服务,由于未及时更新系统或组件补丁,导致一些可利用的远程漏洞;或者由于错误的配置和设置了较弱的口令导致登录凭据被暴力破解或绕过认证和校验过程。
2
内网扩散阶段
恶意“挖矿”团体入侵校园网内部后,为感染更多目标主机,获取最大利益,会采用不同的内外网攻击策略,进行更高效的传播,其主要手段是利用蠕虫化的僵尸网络攻击。蠕虫化的“挖矿”Botnet具备攻击模块,在内网能够自动扫描并利用多漏洞组合攻击的方式进行横向扩散,同时能使受害主机成为新的攻击源。在这种高效策略下,内网通常会在极短时间内大面积感染。攻击者可以在控制端通过僵尸网络下发指令到受害主机,执行分发“挖矿”木马等恶意操作。
3
持久化驻留阶段
“挖矿”木马入侵成功后必定希望能够长期稳定地利用主机计算资源,其技术上使用加壳、代码混淆、CPU使用率伪装等实现长期、隐蔽运行。同时,本阶段“挖矿”木马会修改主机启动项、计划任务脚本、将SSH公钥写入目标系统Root用户“.ssh”目录中,实现以Root用户对该系统的长期访问,即使木马被查杀,也有可能定时从C2服务器下载新的恶意程序。
4
连接矿池阶段
“挖矿”木马的最终目的是非法牟利,本阶段的行为主要是连接匿名公共矿池、私有矿池或者代理矿池,提交任务,获取奖励。
“挖矿”整治方案
目前,校内“挖矿”活动主要分为主动“挖矿”和被动“挖矿”。主动“挖矿”是内部人员出于好奇或者追求利益,违规私自利用学校公共资源“挖矿”;被动“挖矿”则是黑客通过网络漏洞、暴力破解口令等方式入侵主机,获得主机控制权使主机失陷,植入“挖矿”程序进行“挖矿”,或者利用部分校园网用户安全意识薄弱的特点传播木马病毒,比如钓鱼欺诈、恶意链接、伪装成普通文件等手段,让用户在毫不知情的情况下进行“挖矿”。
针对这两种行为,学校应该从“检测识别、阻断隔离、定位治理、策略加固”四个方面出发,通过专业的安全管理人员、领先的安全技术、有效的管理措施,构建适合高校的全局化“挖矿”治理方案。治理思路如图2所示。
图2 “挖矿”治理思路
1
检测识别
检测识别的重点是对整个网络环境的感知,主要目标是及时发现各类隐藏的恶意“挖矿”行为。采取云、地联合方式,通过本地部署的态势感知,全流量监测、流量探针等设备联动第三方安全厂商云威胁情报数据库,获取活跃“矿池”信息,反向检测网内矿机设备,并通过机器学习的方式实时更新本地特征库,基于主要的“挖矿”协议(Stratum,GetBlockTemplate,GetWork等)、流量大小、常用端口等特征,对抓取到的校园网核心交换机镜像流量进行分析比对。
对“挖矿”流量进行检测,识别“挖矿”回连域名、“挖矿”回连IP等信息,确认“挖矿”行为;在终端部署EDR防病毒软件,终端监控软件,能够持续监测终端设备运行状态,通过监控终端层面硬件资源占用率、系统补丁状态、系统进程、应用程序等方式来识别终端“挖矿”行为;最终需要将检测信息反馈到阻断隔离、定位治理、策略加固阶段,从而构成整个威胁处理流程的闭环。
2
阻断隔离
“挖矿”木马的最终目的是连结“矿池”获取任务和收益,针对这点结合检测识别阶段获取的情报,利用防火墙、流量控制、Web应用防御、上网行为管理、DNS等设备对检测识别到的“挖矿”回连域名、IP、端口多维度进行封堵,断开矿机与矿池的通讯,阻断“矿机”的“挖矿”活动,杜绝主动“挖矿”行为;对已经确认的“矿机”,要及时断开其网络连接,将其与校园网隔离,防止内网横向扩散。
3
定位治理
为快速定位已发现的“矿机”,高校应该对园区内信息化资产进行全面梳理,保证资产台账的准确性。同时,校园网应该部署统一身份标识、身份管理、认证和终端绑定系统,将入网用户个人信息与终端IP、MAC地址相关联,构建全校范围内的网络信任体系,确保校园网络空间实体可证、入网可控、行为可查。这样就能精准定位到个人和终端以便于及时进行查杀处理。对于顽固性木马,学校可以采取重新安装操作系统的方式彻底清除。
4
策略加固
策略加固的主要目的是为了预防“挖矿”攻击,而“挖矿”攻击的主要技术手段有钓鱼邮件、漏洞攻击、暴力破解等。
针对这些攻击手段,学校可以结合检测识别的情报、统一日志平台的相关日志,通过溯源“挖矿”木马的攻击方式、路径,分析提取网络安全脆弱性报告,对安全设备和用户终端两层策略进行加固:
在防火墙中添加已知的各类“矿池”域名、IP黑名单,拦截非法外连;在Web应用防护中开启SQL注入漏洞、0day漏洞、WebShell上传、跨部脚本等攻击拦截规则,对检测出的Web应用漏洞进行修补,并及时升级Web应用;对公开在互联网中的网页部署防篡改系统,防止网页挂码;在邮件安全网关中设置违规邮件关键字、钓鱼邮件的域名黑名单,过滤、拦截垃圾邮件和钓鱼邮件;全网段定期进行漏洞扫描,对发现的漏洞及时修补;在终端安全策略的加固主要依靠部署的终端管控系统,对入网用户行为进行精准把控。通过管控系统,强制终端安装杀毒软件,开启本机防火墙,配置出入站规则,关闭不需要的服务,增强密码复杂度并定期更换,在管理端对135、445等高危端口进行封堵。
5
持续管理
高校“挖矿”的整治方案中,技术手段固然重要,但是核心还是在于日常管理的持续性。日常管理包含网络设备管理和安全意识管理两个层面,高校信息安全管理人员,应该对整个校园网的网络态势和安全体系架构有清晰的把握。
同时,管理人员需关注最新的网络安全时事和安全厂商公布的漏洞、木马、矿池域名等信息,将其反馈到安全策略中进行相应调整,对安全设备进行日常维护、管理,及时更新、升级特征库;对各种相关设备和安全事件日志做好最大限度的留存,以便于分析、取证和事后追溯;对重要的数据和系统进行定期备份,保障数据的安全性和重要业务的连续性。
此外,安全意识是高度信息化的当今社会第一道也是最重要的安全防线,高校应该对“挖矿”整治行动有足够的重视,有针对性地宣传国家打击“挖矿”的背景、政策法规,点明“挖矿”木马的危害性,从源头上杜绝主动“挖矿”行为;强化校园网用户的个人安全意识,减少被动“挖矿”的发生概率,普及简单的针对性防护措施,例如对来源不明的邮件要保持警惕态度,不违规访问不健康网站,避免打开带有恶意“挖矿”程序的文件和未知的移动存储介质,安装必要的终端杀毒和安全防护软件,增强密码强度和复杂度,开启终端防火墙等。
实际部署方案
按照“检测识别、阻断隔离、定位治理、策略加固”配合持续性安全管理的思路,实际应用部署拓扑如图3所示。
图3 防范“挖矿”部署拓扑
部署态势感知,监控全网流量,发现“挖矿”行为;联动防火墙(NF),下发矿池IP,域名封堵拦截“挖矿”行为;部署Web应用防护(WAF)、入侵检测或防御系统、拦截网络漏洞攻击;通过上网行为管理,统一认证的校园网安全可信体系定位治理;统一日志服务器收集各种安全设备及DNS查询日志,为事后溯源、策略加固提供依据;漏洞扫描设备配置定期自动扫描服务,及时发现和修补漏洞。整体部署形成针对“挖矿”行为的闭环治理体系。
当前国内的“挖矿”行业已被列为淘汰产业,但在国外市场中,虚拟货币的交易并未受到严重冲击。可以预见,“挖矿”木马的整治是一项长期的任务,且网络攻击技术的发展与网络安全技术的进步可以说是相互依赖的。根据内生安全的理论,无论是安全设备硬件或者软件,其自身都带着“基因”上的安全缺陷。
因此,并不存在一劳永逸的防御体系,只有通过合适的技术手段配合持续性的常态化管理才能让整治方案达到预期的成效。
(本文转载自“中国教育和科研计算机网”,原文地址:https://www.edu.cn/info/xy/xytp/202209/t20220920_2246862.shtml)
作者:金飞、沙琨、吕玉峰、徐捷(海军军医大学)
责编:陈永杰