小心你的服务器成为免费的挖矿机

信息安全公益宣传，信息安全知识启蒙。

教程列表见微信公众号底部菜单

目前密币很火，火得一塌糊涂。尽管挖掘难度越来越高，但也阻挡不了全世界人民的挖币热情。挖币的成本只有电费。因此，当然有一些聪明的人就想到了如何利用他人的电为自己撬动数百万美元。你可以在工作的地方插上一个1900瓦特的 ASIC 挖矿机悄悄挖矿。30个老旧样式的灯泡就能产生1900瓦特的电。难道会有人在办公大楼里注意到吗？

也有些人不惜冒着被逮捕的风险利用恶意软件僵尸大规模挖币。目前出现的一种论调就是，勒索软件已是明日黄花，挖币才是利润更高更难被检测到的新宠。但实际上挖币行为可被检测到。

为何检测挖币行为有这么重要？

说来有趣，人们似乎感觉网络挖币恶意软件并非恶意，因此肯定很难找到。但仔细查看之后，就会发现网络挖矿威胁所攻击的资产是：

系统完整性

计算能力

电力

的确，挖矿恶意软件造成的损害要低于勒索软件或 APT 组织，但说到底它还是属于恶意软件。你可以通过查找其它类型的恶意软件的方式找到挖币恶意软件。这里主要说明适用于这种情况的三种方法。

如何检测挖矿恶意软件？

方法1：监控网络

挖矿机一般使用挖矿池平台。例如，Stratum 端口3333、1333、8333等。良好的“公认” SNAT 防火墙应该能拦截挖矿请求流量。对于带外 Stratum 连接来说，你应该警惕的网络异常情况包括使用和你用于带外检测其它类型恶意软件的同样工具的连接等。很多连接将会被加密并可能要求尽可能进行 SSL 检测。P2P 挖矿池可能使用 DNS 定位其它主机。如果你足够幸运，发现的威胁恰好包括常见的池服务器如 IOCs （妥协指标）就太好了。否则，使用如下所列的其中一种工具或者以其它方式找到恶意软件。找到后，检查下 “pool_address” 的配置并查看网络中与其连接的其它机器。这样你会发现更多的感染情况。

禁止员工在工位运行自己的硬件加密挖矿机。你能制定的最强大政策是，使用当前安全性最高的网络；禁止未知 MAC 地址出现在自己的网络中。的确，说起来容易做起来难，但既然2018年已来，那就别自欺欺人了吧。如果公司现在很难实现这一点（确实并非每个人都拥有精良的安全团队），那么为公司政策添加附录内容即为合适措施，比如可以从发邮件开始。

方法2：监控服务器

以上提到电是受攻击的第三种资产。你已经在开始监控服务器，确保监控到服务器的 CPU 使用情况及其温度。很多数据中心会检测风扇速度，这也是另外一种 IOC。如果某台服务器的 CPU 在午夜达到100% 且保持不变，那么就非常可疑了。即使是恶意挖矿机也不会占用100% 的 CPU，负载本身也可能保持不变，所以也需要密切监控这一点。

方法3：通过拦截列表保护用户

路过式加密挖矿指的是影响浏览器的 JavaScript。假设某个用户访问某个托管恶意 JavaScript 的网站，那么这个脚本会在用户访问站点时挖币。用户系统的完整性虽然未受影响，但用户的 CPU 以及电力消耗受到影响。MalwareBytes 公司指出，即使用户已经关闭浏览器，但挖币行为仍在持续。对于管理员而言，这个问题更难以解决。很多管理员不监控网络、CPU 使用情况或用户的风扇速度，尤其对待远程用户更是如此。在这种情况下，尝试拦截对托管挖币 JavaScript 网站的访问。如果你的威胁推送中并未包含这些 IOCs，那么可以试下 Good Samartitans 维护的开源资源。

uBlock [github link]

CoinBlockerLists [github link]

还有一款能发挥同样作用的小巧工具是 Dr. Mine，用户可将其安装到浏览器中。不过我本人并未使用过该工具，只是知道它的存在。

结论：回到基础。

退一步，你会意识到密币挖掘实际上只是另外一种形式的恶意软件，所以说你应该已经已经擅长查找它们了。就像你一直做的那样，查看图表找出是否存在恶意软件或其它内容。找到异常并追踪它们。它和密码管理是相通的。回到最基础即可。