国家发改委全面整治虚拟货币“挖矿”活动，绿盟科技助力客户调查

近日，国家发改委召开例行新闻发布会。新闻发言人孟伟表示，下一步将对工业式集中“挖矿”、国有单位参与“挖矿”和比特币“挖矿”等行为进行全面专项治理。此前，国家发改委等11部门发布了《关于整顿虚拟货币“挖矿”活动的通知》，强调要全面清理和排查虚拟货币“挖矿”项目，严禁投资建设新项目，加快现有项目有序退出整治国有单位挖矿行为，并于本月初组织召开专题会议，要求各地整顿清理本地虚拟货币挖矿形式。对国有单位机房进行排查。监管部门对虚拟货币“挖矿”的整治行动不断，彰显了国家层面杜绝虚拟货币“挖矿”的坚定意志和决心。

绿盟“矿业”综合调查方案

为帮助企事业单位整治和防范“挖矿”行为，绿盟科技针对各种“挖矿”场景，提出虚拟货币“挖矿”综合检查方案，确保“挖矿”治理工作常态化，无死角。

目前企业常用的“挖矿”方式有四种：

1.内部人员利用企业服务器等资源挖矿牟利。

2.黑客入侵企业服务器植入恶意挖矿代码。

3.非法网站通过代码注入在办公终端的浏览器上运行挖矿脚本。

4.黑客入侵企业公有云平台，批量创建高性能虚拟机，运行挖矿程序。

绿盟“挖矿”综合排查方案，基于绿盟多年的安全服务经验和产品技术积累，根据不同类型“挖矿”方式的行为特点，从威胁情报、流量过滤、终端监控三个入手维度，确保企业中的“挖矿”行为无处遁形。

使用威胁情报调查“挖矿”

虚拟货币利用区块链技术实现去中心化交易。对于获取虚拟货币的“挖矿”行为，矿机需要与矿池保持通信并进行数据传输，而矿池的IP地址是互联网威胁情报监控的重点。根据企业提供的IP信息，匹配威胁情报数据库，找出企业内可能存在的“挖矿”行为。威胁情报检测方式操作简单，无需部署任何硬件设备，适合企业快速检测内部是否存在潜在的“挖矿”行为。

绿盟科技威胁情报服务（NTI）汇集了绿盟科技多年的安全服务经验和各种情报数据。目前已收集“矿池+矿机”情报数据5万余条，矿池、矿机IP等信息不断更新。

通过流量分析检测“挖矿”

随着国家对“挖矿”的治理力度不断加大，“挖矿”矿工可能会在网络中隐藏矿工的特征，比如使用代理网关隐藏矿工的真实IP。在这种情况下，仅使用威胁情报调查方法可能不足以解决企业问题。需要结合流量分析方法，根据互联网挖矿协议（Stratum、GetBlockTemplate、GetWork等）的流量特征，检测“挖矿”流量。这种方式一般需要在企业互联网出口部署网络探针，采用流量镜像的方式，实现对“挖矿”流量的分析、检测、拦截、告警。

绿盟科技综合威胁探测器UTS集成了IDS、WAF、威胁情报、恶意文件和WEBShell检测能力。它可以快速准确地发现“挖矿”威胁，进行研究分析，最终使用自己的策略来阻断“挖矿”流量。

绿盟科技网络流量分析系统NTA，基于Flow或镜像流量分流技术，对网络中的流量数据进行采集和分析，同时与之对接。能够实时监控“挖掘”网络流量的威胁情报系统。

绿盟智慧安全运营平台ISOP利用大数据技术对各类数据进行汇总、分析、判断，配合“挖矿”的检测、分析、处置、威胁追踪的闭环处置能力行为，可以有效防止“挖矿”带来的危害和不良影响。

通过终端状态监控“挖矿”

对于在企业内部部署了终端安全系统的客户，还可以通过监控终端级别的硬件资源占用、系统状态、系统进程、应用等监控“挖矿”。与流量检测的方法相比，终端状态监控对“挖矿”的监控效果更好，可以从根本上保证企业对“挖矿”行为免疫，但部署场景也相对复杂，每个终端需要监控。在上面部署相应的终端安全产品。

绿盟科技终端安全管理系统（UES）是集终端管控、终端防护、可信终端监控、终端EDR、可视化于一体的新一代终端安全产品。它还侧重于持续监控和及时响应。终端安全联动平台。绿盟科技UES可有效检测APT攻击、勒索软件、挖矿、僵尸蠕虫、0day漏洞等威胁，并提供多维度及时响应措施，全面保障企业终端安全。

对“采矿”事件的应急响应

大型组织的内部网络环境复杂，流量大。单纯部署安全设备可能无法及时准确识别和处理“挖矿”行为。绿盟科技针对“挖矿”行为提供应急响应服务，可以在安全设备产生告警后，人工排查和分析疑似挖矿主机。全面安全检测，锁定主机安全问题，彻底清除挖矿程序，修复安全漏洞整治国有单位挖矿行为，防止主机再次被植入恶意程序。

绿盟科技秉承智慧安全3.0的理念，长期致力于为用户提供全方位的安全解决方案。拥有专业的安全研究分析团队，以及安全知识库和安全信誉库。通过对典型客户的研究分析，以及多年的产品开发经验和技术积累，开发出一套全面的安全解决方案，满足用户的个性化需求。