企业动态

近年来，随着虚拟货币地下交易的热度越来越高，挖矿木马病毒也成泛滥之势。大量企事业单位的电脑终端、业务服务器频繁中招，造成电力浪费、消耗服务器性能资源导致业务不能正常运行，尤其是很多挖矿木马还存在后门文件，后续方便攻击者进行网络渗透攻击，执行诸如勒索病毒传播、数据窃取等比挖矿更加严重的安全事件。

同时，国家层面也连续出台关于挖矿治理的政策文件，比如2021年9月国家发改委等部门联合发布了《关于整治虚拟货币“挖矿”活动的通知》，要求各省市建制度、抓监测，对本区域挖矿活动进行治理。各类监管机构开始加大对被监管单位出现挖矿活动的监测和通报力度。被监管单位面临非常大的被通报压力。

那么针对以上问题，我们的智慧防火墙是如何解决的呢？

且看智慧防火墙的“挖矿”治理之道：

防火墙利用天然网络边界串接的部署模式，再加上内置威胁情报及云端海量情报库，就可以阻断挖矿主机请求矿池服务器IP地址的DNS请求，并定位内网的挖矿主机。

达到如下效果：

1、利用DNS解析和URL访问流量与威胁情报IOC的碰撞，快速定位挖矿主机。可以指导用户对内网中招服务器进行精准查杀和处置。

2、通过威胁情报预置动作，直接阻断挖矿主机与矿池的访问连接以及DNS请求。可以断开与互联网矿池的通讯，同时避免被监管单位通报。

下面我们来看一下具体的落地方案，分为两种防护场景：

一、本地无DNS服务器，防火墙部署在出口

1、防火墙开启威胁情报检测

2、高级配置选择DNS阻断

3、挖矿主机需要连接矿池，要先进行矿池域名解析，防火墙检测到DNS请求匹配了威胁情报，直接阻断DNS请求，达到阻断目的，避免被监管单位通报。

4、同时根据请求源地址，标记失陷主机。

这时有同学可能会想到，如果客户内网有自己搭建的本地DNS服务器，防火墙在边界出口处能阻断恶意域名的DNS解析，但由于DNS请求均是本地DNS服务器代理发起的，防火墙就无法定位到内网真正失陷的挖矿主机了。

别着急，你想到的问题防火墙也已经有方案来帮你解决了，我们来看第二种防护场景：

二、本地有DNS服务器，防火墙部署在出口

1、防火墙开启威胁情报检测

2、高级配置选择DNS Sinkhole（不知道DNS Sinkhole什么意思？别着急，看文末彩蛋就能涨知识），配置IPV4/IPV6 sinkhole地址。

3、挖矿主机先进行矿池域名解析，防火墙检测本地DNS服务器到外网的DNS请求匹配了威胁情报后，防火墙主动构造DNS response，从sinkhole地址池中选择的一个地址进行DNS回应

4、同时防火墙将恶意域名和其对应的IP记录到IOC缓存

5、当挖矿主机收到DNS回应，向sinkhole地址发起恶意访问连接，防火墙根据流量中的目的地址查询IOC缓存，如果命中，标记失陷主机并阻断其访问连接。

Tips1：DNS Sinkhole（DNS沉洞），又名网络沉洞或者黑洞DNS，是指DNS服务器给出错误信息，从而防止访问特定域名。一般是由安全厂商或运营商在发现某一域名请求被判定为恶意域名后，将其原本解析到ip地址变更到无害的ip地址的技术，因此受害主机不会再被c&c服务器控制，同时还可以通过对被Sinkhole域名的访问流量监控，达到定位当前失陷主机的效果。

Tips2：DNS Sinkhole的配置如下图

Tips3：DNS Sinkhole功能需保证内网终端访问DNS sinkhole地址的流量必须经过防火墙。