企业动态

挖矿治理的背景与现状

挖矿引发的网络威胁越来越多

近年来，随着虚拟货币地下交易的热度越来越高，挖矿木马病毒也成泛滥之势。大量企事业单位的电脑终端、业务服务器频繁中招，造成电力浪费、消耗服务器计算资源导致业务不能正常运行，尤其是很多挖矿木马还存在后门，后续方便攻击者进行网络渗透攻击，执行诸如勒索病毒传播、数据窃取等比挖矿更加严重的安全事件。

国家政策对“挖矿”监管越来越严

国家层面连续出台关于挖矿治理的政策文件，比如2021年9月国家发改委等部门联合发布了《关于整治虚拟货币“挖矿”活动的通知》，要求各省市建制度、抓监测，对本区域挖矿活动的监测和通报力度。被监管单位面临非常大的被通报压力。

防火墙的“挖矿”治理之道

奇安信智慧防火墙利用天然网络边界串接的部署模式，加上内置威胁情报及云端海量情报库，再配合应用识别等手段的补充，就可以阻断挖矿主机访问矿池服务器IP地址或DNS请求，并定位内网的挖矿主机。

该方案可以达到如下效果：

通过威胁情报与DNS请求和矿池IP访问流量的碰撞，阻断挖矿主机与互联网矿池的联系。可以避免被监管单位通报。

通过威胁情报与DNS请求和矿池IP访问流量的碰撞，快速定位挖矿主机。可以指导用户对内网中招服务器进行精准查杀和处置。

通过对挖矿类应用的识别管控，进一步提升挖矿行为的发现与防范能力。

具体的落地方案，分为两种防护场景：

本地无DNS服务器，防火墙部署在出口

1、防火墙开启威胁情报检测

2、高级配置选择DNS阻断

3、挖矿主机需要先进行矿池域名解析，防火墙检测到DNS请求匹配了威胁情报，直接阻断DNS请求，达到阻断目的，避免被监管单位通报。

4、阻断的同时，根据请求源地址，标记挖矿主机。

本地有DNS服务器，防火墙部署在出口

1、防火墙开启威胁情报检测

2、高级配置选择DNS Sinkhole（文末小知识有DNS Sinkhole解释），配置IPV4/IPV6 sinkhole地址。

3、挖矿主机先进行矿池域名解析，防火墙检测本地DNS服务器到外网的DNS请求匹配了威胁情报后，防火墙主动构造DNS response，从sinkhole地址池中选择的一个地址进行DNS回应

4、同时防火墙将恶意域名和其对应的IP记录到IOC缓存

5、当挖矿主机收到DNS回应，向sinkhole地址发起恶意访问连接，防火墙根据流量中的目的地址查询IOC缓存，如果命中，标记失陷主机并阻断其访问连接。

防火墙“挖矿”治理方案优势

全方位阻断挖矿主机与互联网矿池链接，避免被通报

对于多数域名类矿池，在挖矿主机进行DNS请求阶段，即可直接阻断DNS请求；

对于部分使用IP+端口类的矿池，在挖矿主机直接使用IP访问矿池时，防火墙也可直接阻断访问请求；

对于部分挖矿主机使用DoH（DNS over Https）协议进行DNS请求，防火墙可以直接阻断DoH流量；（文末小知识有DoH解释）

快速定位内网挖矿主机，指导用户准确处置

对于内网无DNS服务器，防火墙在边界处即可在阻断DNS请求或IP直接访问，同时定位挖矿主机；

对于内网有DNS服务器（不管有几级DNS代理），防火墙在边界处可以通过DNS Sinkhole技术，构造DNS response包，来定位挖矿主机；

同时也可以解决挖矿主机跳过内网DNS服务器，直接指定外部DNS解析时，防火墙在边界处阻断DNS请求，同时定位挖矿主机；

利用应用识别等补充手段，提升了防挖矿的准确度和覆盖面

利用防火墙内置强大的应用识别库，可直接针对挖矿的相关协议做阻断，提高了识别挖矿的手段和准确度，进一步降低了被通报的可能性。

所以，我们可以大胆的对客户说：“挖矿”治理过程中，想要避免被通报、想要定位内网挖矿主机，选防火墙就对了！

小知识

DNS Sinkhole名词解释

DNS Sinkhole（DNS沉洞），又名网络沉洞或者黑洞DNS，是指DNS服务器给出错误信息，从而防止访问特定域名。一般是由安全厂商或运营商在发现的ip地址变更到无害的ip地址的技术，因此受害主机不会再被c&c服务器控制，同时还可以通过对呗Sinkhole域名的访问流量监控，达到定位当前失陷主机的效果。

DoH名词解释

DoH（DNS-over HTTPS），使用HTTPS协议发送DNS查询，使用HTTPS的443端口，中间人无法通过查看端口的方式来分别此请求是否为DNS查询请求，网络上常见一些恶意软件使用该协议进行DNS解析，来规避安全检查。

DNS行为控制配置介绍

内网无DNS服务器的场景，高级配合选择DNS阻断即可。

注意：DNS Sinkhole功能需保证内网终端访问DNS sinkhole地址的流量必须经过防火墙。