加密貨幣價格的爆炸性增長給它們帶來了更多的關(guān)注，更多的人希望通過 "挖礦 "來獲得加密貨幣，而不是購買它們。2022年1月，發(fā)改委等11部門發(fā)文整治虛擬貨幣挖礦：列為淘汰類產(chǎn)業(yè)。

01

企業(yè)環(huán)境中加密挖礦的風(fēng)險

在你的企業(yè)環(huán)境中運行的加密挖礦軟件有三個主要風(fēng)險：

成本的增加：電力消耗對加密挖礦至關(guān)重要。如果有人使用你的系統(tǒng)進行挖礦，他們有可能增加你系統(tǒng)的資源使用量，以提高計算速度，從而消耗更多的電力。

性能和可用性問題：在增加處理（CPU或GPU）的同時，你的系統(tǒng)有更少的資源分配給其他可能是關(guān)鍵業(yè)務(wù)的進程。挖礦應(yīng)用程序往往寫得不好，有可能導(dǎo)致系統(tǒng)崩潰，使你的業(yè)務(wù)服務(wù)也隨之中斷。

使用易受攻擊的工具和應(yīng)用程序：常見的情況是，許多為進行加密挖礦而編寫的軟件開發(fā)得很差，幾乎沒有對安全問題給予關(guān)注。這可能導(dǎo)致惡意方利用軟件的漏洞，并通過這些漏洞進入你的內(nèi)部網(wǎng)絡(luò)。

02

如何檢測和防止挖礦行為？

01

系統(tǒng)性能檢測

對你的系統(tǒng)進行性能監(jiān)測有大量的理由，其中之一是檢測資源使用量的異常增加，這可能表明在系統(tǒng)上運行的加密挖礦軟件的跡象。你需要調(diào)查這種變化，并核實你的系統(tǒng)上沒有安裝或運行非法軟件。

請記住，加密挖礦軟件并不總是需要安裝在系統(tǒng)上，它可以作為一個獨立的可執(zhí)行文件運行。

02

DNS監(jiān)控和保護

DNS請求僅在挖礦會話開始時執(zhí)行。挖礦客戶端和服務(wù)器之間的通信通常發(fā)生在30-100秒之間。根據(jù)SANS研究所的說法，首先發(fā)生的是一個DNS請求，然后是TCP通信。

嘗試在DNS層面阻止域名，而不僅僅是通過網(wǎng)絡(luò)過濾解決方案。

用Allegro網(wǎng)絡(luò)萬用表分析DNS

由于互聯(lián)網(wǎng)幾乎是所有組織和流程不可或缺的一部分，因此必須確保無故障的工作流程。檢查和控制DNS有助于全面了解“Internet”，以便在緊急情況下快速查找和修復(fù)錯誤。Allegro網(wǎng)絡(luò)萬用表使檢查DNS協(xié)議變得極其簡單。

例如，可以查看有關(guān)響應(yīng)時間、狀態(tài)、請求頻率以及它們被應(yīng)答(或未被應(yīng)答)頻率的更多統(tǒng)計信息。不再需要花費很長時間檢查pcap來查找錯誤。使用Allegro DNS模塊，可以減少搜索次數(shù)，并可以直接調(diào)用不同的DNS統(tǒng)計數(shù)據(jù)。DNS分析可以實時執(zhí)行，也可以在選定的時間間隔內(nèi)執(zhí)行。

03

終端保護

使用終端保護/反病毒軟件來檢測加密挖礦軟件。防病毒公司在檢測加密挖礦軟件方面正變得越來越好，但加密挖礦者也在不斷改變他們的技術(shù)，以避免在端點被檢測到。

04

應(yīng)用限制

另一個對付加密挖礦的好辦法是限制可以在你的系統(tǒng)上運行的應(yīng)用程序。你可以使用軟件限制策略，指定哪些應(yīng)用程序允許在系統(tǒng)上運行。這在一開始可能很難設(shè)置，因為你需要知道所有在你的環(huán)境中運行的必要軟件。

05

廣告攔截

由于加密劫持腳本經(jīng)常通過網(wǎng)絡(luò)廣告?zhèn)鬟f，安裝廣告攔截器可以成為阻止它們的有效手段。一些廣告攔截器，有一定的能力來檢測加密劫持腳本。

使用ntopng進行挖礦檢測

ntopng3.6穩(wěn)定版引入了一些網(wǎng)絡(luò)挖礦黑名單，ntopng將標記在線挖礦網(wǎng)站并產(chǎn)生警報。