国家发改委全面整治虚拟货币“挖矿”活动，绿盟科技助力客户查“挖矿”

近日，国家发改委召开例行新闻发布会。新闻发言人孟伟表示，下一步将对产业集中“挖矿”、参与“挖矿”的国有单位、比特币“挖矿”进行综合专项治理。此前，国家发改委等11部门发布了《关于整顿虚拟货币“挖矿”活动的通知》，强调要全面清理和排查虚拟货币“挖矿”项目，严禁投资建设新项目，加快现有项目有序退出，本月初组织召开专题会议，要求各地整顿清理本地形式的虚拟货币挖矿。会议突出了严查国有单位机房涉及的“挖矿活动”。监管部门持续采取整治虚拟货币“挖矿”的举措，彰显了国家层面消除虚拟货币“挖矿”的坚定意志和决心。

绿盟“矿业”综合调查计划

为帮助企事业单位整治和防范“挖矿”行为，绿盟科技针对各种“挖矿”场景提出虚拟货币“挖矿”综合检查方案，确保“挖矿”治理工作常态化。死路。

目前，企业常用的“挖矿”方式有四种：

1. 内部人士利用企业服务器等资源进行挖矿牟利。

2. 黑客入侵企业服务器植入恶意挖矿代码。

3. 非法网站使用代码注入在办公终端浏览器上运行挖矿脚本。

4. 黑客入侵企业公有云平台，批量创建高性能虚拟机，运行挖矿程序。

绿盟“挖矿”综合排查方案，基于绿盟多年的安全服务经验和产品技术积累，针对不同类型“挖矿”方式的行为特征，从威胁情报、流量过滤、终端三个维度入手监控以确保企业内部的“挖掘”行为无处可藏。

使用威胁情报解决“挖矿”问题

虚拟货币利用区块链技术实现去中心化交易。对于获取虚拟货币的“挖矿”行为，矿机需要与矿池保持通信并进行数据传输，而矿池的IP地址是互联网威胁。情报监控的重点。根据企业提供的IP信息，匹配威胁情报数据库，找出企业内可能存在的“挖矿”行为。采用威胁情报检测方式，操作简单海外挖矿正规国家，无需部署任何硬件设备。适合企业快速检查内部是否存在潜在的“挖矿”行为。

绿盟科技威胁情报服务（NTI）汇集了绿盟科技多年的安全服务经验和各类情报数据。目前已收集“矿池+矿机”情报数据5万余条，矿池、矿机IP等信息不断更新。

通过流量分析检测“挖矿”

随着国家对“矿工”治理力度的不断加大，“矿工”可能会在网络中隐藏矿工的特征，比如使用代理网关来隐藏矿工的真实IP。在这种情况下，仅使用威胁情报调查方法可能不足以解决企业问题。需要结合流量分析方法，根据互联网挖矿协议（Stratum、GetBlockTemplate、GetWork等）的流量特点，检测“挖矿”流量。这种方式一般需要在企业的互联网出口部署网络探针，采用流量镜像的方式，实现对“挖矿”流量的分析、检测、拦截和告警。

NSFOCUS综合威胁探测UTS集成了IDS、WAF、威胁情报、恶意文件和WEBShell检测能力。它可以快速准确地发现“挖矿”威胁，进行研究分析，最终使用自己的策略来阻断“挖矿”流量。

绿盟科技网络流量分析系统（NTA），基于Flow或镜像光流量技术，对网络中的流量数据进行采集和分析海外挖矿正规国家，并连接威胁情报系统，实时监控“挖掘”的网络流量。

绿盟科技智能安全运营平台ISOP利用大数据技术对各类数据进行汇总、分析、判断，配合“挖矿”行为检测、分析、处置、威胁溯源的闭环处置能力，可有效防范“挖矿”行为。“造成的伤害和不利影响。

通过终端状态监控“挖矿”

对于在企业内部部署了终端安全系统的客户，还可以通过监控终端层面的硬件资源占用率、系统状态、系统进程、应用程序等来监控“挖矿”。与流量检测的方法相比，终端状态监控对“挖矿”的监控效果更好，可以从根源上保证企业对“挖矿”行为免疫，但部署场景也相对复杂，每个终端需要监控。在其上部署相应的终端安全产品。

绿盟科技终端安全管理系统UES是集终端管控、终端防护、可信终端监控、终端EDR、可视化于一体的新一代终端安全产品。也是一个以持续监控、及时响应为核心的终端安全联动平台。绿盟科技UES可有效检测APT攻击、勒索软件、挖矿、僵尸蠕虫、0day漏洞等威胁，并提供多维度及时响应措施，全面保障企业终端安全。

“采矿”事件应急响应

大型组织内部网络环境复杂，流量大。单纯部署安防设备未必能及时准确识别和处理“挖矿”行为。绿盟科技针对“挖矿”行为提供应急响应服务，可以在安全设备产生告警后，人工排查和分析疑似挖矿主机。全面安全检测，锁定主机安全问题，彻底清除挖矿程序，修复安全漏洞，防止主机再次被植入恶意程序。

绿盟科技秉承智慧安全3.0的理念，长期致力于为用户提供全方位的安全解决方案。拥有专业的安全研究分析团队，以及安全知识库和安全信誉库。通过对典型客户的研究和分析，以及多年的产品开发经验和技术积累，开发出全面的安全解决方案，满足用户的个性化需求。