挖矿病毒全面清理整顿，如何防止被通知？深信服挖矿病毒防护解决方案发布

为有效防范和应对虚拟货币挖矿活动盲目无序发展带来的风险隐患，助力实现碳达峰和碳中和目标，近日，国家发改委召开新闻发布会，专注于虚拟货币挖矿。全链治理。连日来，省、市、区、县政府及相关行业纷纷响应，通报了多家单位，要求相关单位和行业清理整顿采矿行为。

01

在整治的高压下，仍有恶意黑客逆风作案

国家对虚拟货币的管控越来越严，打击此类挖矿活动也将成为近期整治的重点。

挖矿不仅会导致组织的电脑死机、CPU爆满、运维成本飙升，而且一些挖矿主机还可能被植入病毒，导致组织的重要数据泄露，或者被黑客利用已经被控制的机器作为跳板，继续渗透内网或攻击其他目标，导致更严重的网络安全攻击等。

先抓小偷，早在今年7月，深信服安全团队就成功抓获了一份主流挖矿病毒样本，并揭示了其工作原理。详情请点击查看：《支持双系统挖矿，谨防新的AutoUpdate挖矿病毒入侵》

AutoUpdate挖矿病毒工作原理

1、通过钓鱼邮件、恶意网站、软件捆绑下载等诱使用户点击其恶意脚本程序。

2、用户点击启动恶意脚本loader.sh后，该脚本会清除安全软件并下载启动器（kworker）。

3、Kworker程序检查更新各个功能组件，启动挖矿程序dbus、攻击程序autoUpdate、隐藏脚本hideproc.sh、攻击脚本sshkey.sh。

4、autoUpdate对所在网段的Struts、Mssql、Postgres、Redis、Dubbo、Smb、SSH等组件、服务或协议漏洞进行扫描和攻击，以及由于国内用户普遍使用泛微OA、致远OA、通达OA、phpcms、discuz等服务，并利用相关漏洞编写定时任务并执行。

5、通过 hideproc.sh 脚本隐藏进程，防止被用户发现。

6、使用sshkey.sh脚本尝试从bash_history、etc/hosts、ssh/kownhost以及进程的现有连接中提取连接的终端，如果能连接成功，下载并启动脚本loader.sh，达到传播的目的。

7、挖矿程序dbus在受害者设备上静默运行挖掘加密货币，同时将中毒设备连接到矿池，为诈骗者提供未经授权的“免费”算力，诈骗者将赚取的加密货币“免费计算能力”直接存入他们的钱包。

即使在整治的高压之下，仍有恶意黑客逆风作案。近日，深信服安全团队在某高校侦查过程中，通过安全态势感知设备上的告警日志，准确检测到30台主机访问内网挖掘恶意域名。最终，在终端检测与响应平台EDR应急响应专家的仔细排查下，成功定位到了黑客，并获得了两件赃物。

02

快速响应、轻量级部署、全面围剿挖矿病毒

当前形势下，对挖矿病毒的全面围剿势不可挡，但如何快速发现和应对成为组织机构的迫切需求。

深信服基于对挖矿病毒的长期深入研究和多个案例实践，推出了“快速响应、轻量级部署”的挖矿病毒专项检测与处置，为用户提供两种有效的挖矿检测方式行为方式，以“工具+服务”的方式实现精准处置。

如何有效检测挖矿行为？

下一代防火墙AF结合AI+规则库快速识别隐患

(1）用于挖掘办公网络或生产网络的安全隐患

在互联网边界侧以旁路或串联方式部署深信服新一代防火墙AF。通过AF本地拥有的130万个僵尸网络特征库，结合深信服云端威胁情报，对比恶意URL和C&C IP地址进行故障监控。房东的违法外展行为。

(2）用于未识别的潜在采矿外展行为

通过深信服新一代防火墙AF云NTA检测引擎，结合AI技术和规则的闭环迭代技术，不仅可以检测不可读随机字符组成的域名，还可以检测使用word的恶意域名拼接模仿正常域名，快速识别异常出站流量，在组织网络中定位挖矿。主持人。

安全意识管理平台SIP内置挖矿专用检测模块

用户也可以选择将交换机流量镜像到深信服流量探针，并传输到SIP平台进行分析。

深信服安全感知管理平台SIP内置“挖矿专项检测”模块，通过“挖矿阶段图”、“受害资产”、“受攻击资产Top 5”三个维度分析挖矿的影响受害资产”。表明用户可以清楚地定位资产的影响（受影响的资产数量、类型、阶段、攻击程度等）。

对于加密挖矿的场景，通过UEBA算法模型，可以发现用户网络中的用户、机器等实体的异常危险行为挖矿全面整治，判断该行为是否存在安全隐患，从而定位挖掘网络中的行为，帮助用户实现简单有效的操作。

此外，AF和SIP还可以接入深信服安全运营中心，安全专家可以进一步对检测到的异常外接行为进行多变量分析，利用云端大数据分析平台和威胁狩猎平台精准定位挖矿主机，为用户提供7*24小时不间断的挖矿行为监控服务。

检测到挖矿行为时如何准确闭环？

终端检测与响应平台EDR+挖矿处置专项安全服务

一旦用户网络发现挖矿病毒，深信服建议用户在网络中部署终端检测与响应平台EDR。以“工具+服务”的方式实现全网挖矿病毒处置工作。

挖矿病毒的处置主要包括Linux系统和Windows系统的处置：

(1）Linux系统挖矿病毒的处理

通过清除定时任务/服务、删除特定文件、文件中特定内容删除用户网络、删除目录、恢复指定文件、处理病毒进程文件、删除病毒文件等处理动作，彻底清除用户网络中的挖矿病毒。

(2）Windows系统挖矿病毒的处理

通过进程内存处理、自启动目录文件删除、自启动附件文件删除/修改、注册表项清除/修改、定时任务删除、账号删除、WMI自启动删除、文件删除恢复等处理行动，彻底清除用户网络中的挖矿病毒。

在挖矿病毒处置过程中，深信服安全专家通过AF、SIP、EDR安全日志与流量的关联分析，帮助用户实现“边界-网络-终端”的整体联动，深度溯源挖矿全面整治，找到源头挖掘入侵源头，帮助用户在清除病毒的同时完成安全。加固。

03

“检测-处置-预防”，构建立体防护解决方案

值得注意的是，检测和处置只是针对挖矿病毒的应急措施。面对日益严峻的挖矿病毒威胁，深信服建议用户从预防的角度构建挖矿病毒立体防护解决方案，从源头防止挖矿病毒进入组织。

对于挖矿病毒的防范，深信服建议从边境侧、网络侧、终端侧三个方面构建立体防护体系。

通过在互联网边界侧部署深信服AF，将核心交换机流量镜像到深信服SIP，在终端侧安装深信服EDR，实现快速响应和处置。结合深信服矿业的专项安全服务，构建“检测-处理-预防”一体化的7*24系统。每小时挖矿病毒防护解决方案。

1.变被动为主动，从源头上避免损失

有效检测识别挖矿行为，避免挖矿病毒和程序长期潜伏；类似挖矿病毒反复出现；

3.7*24小监测预警，贴心防护

加强安全防护措施，提供7*24小时小监控预警机制，有效防止Mining病毒入侵。

（促销）