加密貨幣價(jià)格的爆炸性增長(zhǎng)給它們帶來(lái)了更多的關(guān)注，更多的人希望通過(guò) "挖礦 "來(lái)獲得加密貨幣，而不是購(gòu)買(mǎi)它們。2022年1月，發(fā)改委等11部門(mén)發(fā)文整治虛擬貨幣挖礦：列為淘汰類(lèi)產(chǎn)業(yè)。

01

企業(yè)環(huán)境中加密挖礦的風(fēng)險(xiǎn)

在你的企業(yè)環(huán)境中運(yùn)行的加密挖礦軟件有三個(gè)主要風(fēng)險(xiǎn)：

成本的增加：電力消耗對(duì)加密挖礦至關(guān)重要。如果有人使用你的系統(tǒng)進(jìn)行挖礦，他們有可能增加你系統(tǒng)的資源使用量，以提高計(jì)算速度，從而消耗更多的電力。

性能和可用性問(wèn)題：在增加處理（CPU或GPU）的同時(shí)，你的系統(tǒng)有更少的資源分配給其他可能是關(guān)鍵業(yè)務(wù)的進(jìn)程。挖礦應(yīng)用程序往往寫(xiě)得不好，有可能導(dǎo)致系統(tǒng)崩潰，使你的業(yè)務(wù)服務(wù)也隨之中斷。

使用易受攻擊的工具和應(yīng)用程序：常見(jiàn)的情況是，許多為進(jìn)行加密挖礦而編寫(xiě)的軟件開(kāi)發(fā)得很差，幾乎沒(méi)有對(duì)安全問(wèn)題給予關(guān)注。這可能導(dǎo)致惡意方利用軟件的漏洞，并通過(guò)這些漏洞進(jìn)入你的內(nèi)部網(wǎng)絡(luò)。

02

如何檢測(cè)和防止挖礦行為？

01

系統(tǒng)性能檢測(cè)

對(duì)你的系統(tǒng)進(jìn)行性能監(jiān)測(cè)有大量的理由，其中之一是檢測(cè)資源使用量的異常增加，這可能表明在系統(tǒng)上運(yùn)行的加密挖礦軟件的跡象。你需要調(diào)查這種變化，并核實(shí)你的系統(tǒng)上沒(méi)有安裝或運(yùn)行非法軟件。

請(qǐng)記住，加密挖礦軟件并不總是需要安裝在系統(tǒng)上，它可以作為一個(gè)獨(dú)立的可執(zhí)行文件運(yùn)行。

02

DNS監(jiān)控和保護(hù)

DNS請(qǐng)求僅在挖礦會(huì)話開(kāi)始時(shí)執(zhí)行。挖礦客戶(hù)端和服務(wù)器之間的通信通常發(fā)生在30-100秒之間。根據(jù)SANS研究所的說(shuō)法，首先發(fā)生的是一個(gè)DNS請(qǐng)求，然后是TCP通信。

嘗試在DNS層面阻止域名，而不僅僅是通過(guò)網(wǎng)絡(luò)過(guò)濾解決方案。

用Allegro網(wǎng)絡(luò)萬(wàn)用表分析DNS

由于互聯(lián)網(wǎng)幾乎是所有組織和流程不可或缺的一部分，因此必須確保無(wú)故障的工作流程。檢查和控制DNS有助于全面了解“Internet”，以便在緊急情況下快速查找和修復(fù)錯(cuò)誤。Allegro網(wǎng)絡(luò)萬(wàn)用表使檢查DNS協(xié)議變得極其簡(jiǎn)單。

例如，可以查看有關(guān)響應(yīng)時(shí)間、狀態(tài)、請(qǐng)求頻率以及它們被應(yīng)答(或未被應(yīng)答)頻率的更多統(tǒng)計(jì)信息。不再需要花費(fèi)很長(zhǎng)時(shí)間檢查pcap來(lái)查找錯(cuò)誤。使用Allegro DNS模塊，可以減少搜索次數(shù)，并可以直接調(diào)用不同的DNS統(tǒng)計(jì)數(shù)據(jù)。DNS分析可以實(shí)時(shí)執(zhí)行，也可以在選定的時(shí)間間隔內(nèi)執(zhí)行。

03

終端保護(hù)

使用終端保護(hù)/反病毒軟件來(lái)檢測(cè)加密挖礦軟件。防病毒公司在檢測(cè)加密挖礦軟件方面正變得越來(lái)越好，但加密挖礦者也在不斷改變他們的技術(shù)，以避免在端點(diǎn)被檢測(cè)到。

04

應(yīng)用限制

另一個(gè)對(duì)付加密挖礦的好辦法是限制可以在你的系統(tǒng)上運(yùn)行的應(yīng)用程序。你可以使用軟件限制策略，指定哪些應(yīng)用程序允許在系統(tǒng)上運(yùn)行。這在一開(kāi)始可能很難設(shè)置，因?yàn)槟阈枰浪性谀愕沫h(huán)境中運(yùn)行的必要軟件。

05

廣告攔截

由于加密劫持腳本經(jīng)常通過(guò)網(wǎng)絡(luò)廣告?zhèn)鬟f，安裝廣告攔截器可以成為阻止它們的有效手段。一些廣告攔截器，有一定的能力來(lái)檢測(cè)加密劫持腳本。

使用ntopng進(jìn)行挖礦檢測(cè)

ntopng3.6穩(wěn)定版引入了一些網(wǎng)絡(luò)挖礦黑名單，ntopng將標(biāo)記在線挖礦網(wǎng)站并產(chǎn)生警報(bào)。