​十八般武艺查“挖矿”丨盛邦安全发布“挖矿”活动主控端检测方案

近年来，在巨大利益的驱使下，“挖矿”活动愈演愈烈。与此同时，“挖矿”检测与整治工作也在如火如荼地开展。然而，目前的“挖矿”治理方案虽多却又良莠不齐，给广大企事业单位带来了困扰。为此，盛邦安全发布“挖矿”活动主控端检测方案，助力企事业单位彻底杜绝“挖矿”威胁。

“挖矿”愈演愈烈、贻害无穷

虚拟货币“挖矿”需要大规模、高功效的计算设备进行长时间的运算以谋取利益。随着门罗币等虚拟货币对GPU要求的降低，在拉低“挖矿”门槛的同时，也让不法分子看到了其中的商机。自2017年以来，黑客通过非法控制服务器、计算机进行“挖矿”的行为陡然增多，与此相关的攻击也是层出不穷。

企事业单位的服务器、计算机一旦被植入“挖矿”软件，首先面临的就是长时间执行高性能计算，会带来网络带宽以及计算内存等资源的浪费。这不但造成更高的能耗，加快计算机硬件的老化速度，也将直接导致用户的正常业务应用资源被挤占，甚至被终止。

不仅如此，黑客一旦控制受害主机，还可以进行机密窃取，导致企事业单位遭受更进一步的损失。如果不能及时的检测和排除这种危害植入，黑客还有可能进一步利用被控制的主机作为跳板，进行更大范围的内网渗透，甚至攻击其他单位和应用，让受害者单位背负法律责任。

“挖矿”检测“偏科”，面临选择困难

及时检测“挖矿”活动，避免成为“挖矿”主机，是各企事业单位都非常关心的事情。目前来看，常见“挖矿”活动主要分为“挖矿脚本检测”、“挖矿软件检测”、“矿机检测”、“币类协议检测”、“矿池检测”五大类，而每个大类下含多个小类，具体分布如下图所示：

常见挖矿木马种类和矿池

“挖矿”活动检测主要分为流量检测、客户端检测、安全情报检测和主动检测四种模式。几种模式各具特性，由此构建的方案也呈现出不同的优缺点。例如，流量检测模式无法分析加密流量；客户端检测模式无法对IoT设备进行检测；安全情报模式对于情报的准确性和及时性要求较高等。

几种主流检测方式的优劣势对比

“挖矿”检测方案这种偏科现象,不但让企事业单位更加困惑，也使其在采用方案时面临选择困难。

全科状元，一网打尽“挖矿”行为

针对以上“挖矿”检测方案的不足，盛邦安全推出了“挖矿”活动主控端检测方案，可对近百种“挖矿”病毒进行互联网端的主动检测。该方案基于盛邦安全网络空间资产探测系统（RaySpace），采用大数据分析技术，汇聚5种核心矿池识别技术，以主动探测+情报+沙箱相结合的方式，铸就“挖矿”检测的全科状元，实现对“挖矿”资产的全面检测和精准识别，一网打尽“挖矿”行为。

“挖矿”活动主控端检测原理图

把“挖矿”行为、“挖矿”木马研究透，是盛邦安全一网打尽“挖矿”行为的底气所在。该检测方案通过分析矿机和矿池的交互行为、过程，进行网络空间资产探测，分析“挖矿”木马主控端，对“挖矿”木马进行通信协议识别、指纹识别、端口识别，在网络通信等层面让“挖矿”木马无处遁形。

此外，盛邦安全还基于IOC情报的识别技术，通过互联网情报收集、联盟情报共享、蜜罐抓取等方式形成自有的大数据威胁情报系统。该系统将“挖矿”木马相关信息与PDNS、WHOIS等数据进行关联拓展后形成注册人信息-注册域名-子域名-IP-端口-服务等信息关键链条，通过内部关联匹配，对探测到的内容进行自动标签，并通过平台进行可视化展示。

不仅如此，盛邦安全还采用逆向分析识别技术，对空间探测结果进行分析，获取可执行应用程序；通过静态文件的恶意行为检测及动态沙箱检测技术，对应用程序进行“挖矿”木马分析，让新出现或还没有进入威胁情报库的恶意木马和病毒乖乖现出原形。

精准识别、轻量无感，为“挖矿”治理工作提供“新思路”

目前，盛邦安全指纹库数量已达到14万+，“挖矿”指纹数量超过100+，且仍在不断完善增加中，成为对“挖矿”资产精准发现与识别的牢固根基。同时，依靠TCP SYN Scan高性能端口扫描技术和DPDK高性能数据包处理技术，盛邦安全可做到24小时内即可完成全网存活探测。

轻量级的主动探测数据包及多种探测方式，结合防护绕过方案，可有效降低对结果准确性的影响。同时，探测过程也不会在目标主机上产生任何会话记录，对用户的使用来说是“无感”的。近期，盛邦安全还将陆续推出矿池检测、矿机检测等技术方案，助力各企事业单位用户高效整治“挖矿”活动。​