随着虚拟货币市场的波动,虚拟货币挖矿行为在一些地区和领域有所抬头,这种行为不仅消耗大量能源,推高社会用电成本,更可能利用单位或组织的公共资源(如计算资源、网络带宽、电力等),带来安全风险、法律风险及运营效率下降等问题,制定并实施一套全面、有效的虚拟货币挖矿排查方案,已成为维护信息系统安全、保障资源合理利用的必要举措。
排查目标
- 全面发现:准确识别组织内部网络、服务器、终端设备是否存在虚拟货币挖矿行为及相关程序。
- 精准定位:确定挖矿行为的源头、涉及的具体设备、IP地址、运行时段及责任人。
- 有效处置:及时清除挖矿程序,阻断挖矿活动,消除安全隐患。
- 长效预防:建立健全监测预警和管控机制,防止挖矿行为死灰复燃。
排查范围
排查范围应覆盖组织内部所有可能与计算资源、网络资源相关的设备和系统,包括但不限于:
- 服务器:物理服务器、虚拟机(含公有云、私有云、混合云实例)、容器。
- 终端设备:员工办公电脑、笔记本、工作站等。
- 网络设备:路由器、交换机、防火墙等(排查其是否存在异常资源占用或被植入挖矿程序)。
- 物联网设备:如有条件,也应关注可能被利用的IoT设备。
- 用户账户:特别是具有较高权限的管理员账户和共享账户。
排查内容与方法
排查工作应采取“技术手段为主,人工核查为辅,多维度交叉验证”的原则。
(一) 技术排查
-
进程监控与分析:
- 方法:通过任务管理器(Windows)、Activity Monitor(macOS)、
top/ps命令(Linux)等实时查看进程列表,关注可疑进程名,如包含“miner”、“xmrig”、“cpuminer”、“eth”、“stratum”等关键词的进程。 - 深入:对可疑进程,进一步分析其CPU、内存、网络占用情况,查看其文件路径、数字签名、命令行参数,可使用专业进程分析工具(如Process Explorer、Htop)。
- 方法:通过任务管理器(Windows)、Activity Monitor(macOS)、
-
网络流量监测:
- 方法:通过防火墙、入侵检测/防御系统(IDS/IPS)、网络流量分析(NTA)工具,监控异常的网络连接行为。
- 关注点:
- 大量 outbound 连接到陌生IP地址(尤其是境外IP),常见端口如3333(Stratum协议)、4444、8888、9999等。
- 流量模式异常,如周期性的大量数据上传/下载,非业务高峰期的带宽占用突增。
- DNS查询请求频繁指向已知的挖矿池域名或恶意域名。
-
文件系统扫描:
- 方法:使用杀毒软件、终端安全防护(EDR)工具或专门的挖矿程序特征库,对全量设备进行文件扫描。
- 关注点:查找挖矿程序主体文件、配置文件、脚本文件、挖矿钱包地址文件等,关注临时目录、下载目录、系统目录下的可疑文件。
-
系统资源利用率异常分析:
- 方法:监控CPU、内存、GPU(如涉及)的利用率,挖矿程序通常会导致相关资源长期处于高负荷状态,即使设备处于空闲或非工作时段。
- 工具:Zabbix、Prometheus、Grafana等监控系统,或操作系统自带性能监控工具。
-
注册表/启动项检查(Windows):
- 方法:检查注册表启动项(Run、RunOnce等)、计划任务、服务、启动文件夹等,看是否有可疑的挖矿程序自启动项。
-
容器与虚拟机检查:
- 方法:对于容器环境,检查镜像、容器运行的进程、挂载卷,对于虚拟机,检查其宿主机资源分配情况及虚拟机内部异常进程。
-
云资源安全审计:
- 方法:对于使用公有云服务的组织,定期检查云资源配置、账单(是否有异常的计算或网络费用增长)、API调用日志,防范云主机被用于挖矿。
(二) 人工核查
- 用户访谈:对涉及设备的用户进行询问,了解其近期工作内容、是否安装不明软件、系统是否有异常表现等。
- 日志分析:结合系统日志、安全设备日志、应用程序日志,分析异常行为发生的时间、地点、操作者等信息。
- 物理检查:对于服务器等关键设备,观察是否有异常指示灯闪烁、异常噪音等。
(三) 排查结果验证
对初步发现的疑似挖矿行为,应进行交叉验证,确保排查结果的准确性,通过进程分析发现可疑进程,再结合网络流量和文件扫描结果进行确认。
发现挖矿后的处置措施
- 立即隔离:一旦确认存在挖矿行为,应立即将相关设备从网络中隔离(断开网络连接或禁用网络接口),防止其进一步扩散或造成更大损失。
- 清除程序:彻底清除挖矿程序文件、相关注册表项、启动项、计划任务等,确保不留残余。
