对抗恶意挖矿有新招，Akamai靠算法找出挖矿木马踪迹

去年9月浏览器挖矿技术Coinhive出现后，隋即在全球掀起一波挖矿绑架的跟风，许多网站网页，甚至是浏览器扩充组件皆暗中藏入挖矿进程，偷用用户计算机CPU资源来挖矿赚钱，例如知名BT网站海盗湾(The Pirate Bay)、Chrome扩充进程SafeBrowse等。无辜沦为免费矿工的不只个人用户，不少企业也纷纷传出灾情，成为企业网络安全的新威胁。 Akamai亚太区网络安全与策略总监Fernando Serto近日来台时也揭露了他们如何利用自家全球DNS安全防护服务，来侦测和防堵新兴挖矿绑架的作法。

要避免自己计算机沦为矿工，一般用户，作法上可以利用CPU监测工具查看，打开特定网页时CPU使用率有无异常飙升，找出隐藏的挖矿网页，对于旗下可能有众多员工的企业来说， Fernando Serto直言，防护关键还是在于，如何通过网络安全设备即时监看企业整体网络活动，找出有没有偷采矿的行为正在发生，及早一步阻拦，避免大量运算资源的流失。

在防护作法上，Fernando Serto表示，目前他们主要是以自家全球DNS服务的安全防护机制，来协助企业用户侦测和防堵有无利用浏览器挖矿的网络可疑行为，他解释，通常创建一个挖矿网页，要以网页浏览者的计算机CPU来进行挖矿，常见作法会是在浏览器上跑JavaScript挖扩进程，再将网页挖矿计算的结果，回传后端负责分派和接收这些挖矿作业的主要服务器，就他们观察，每次的连接，都会需要发出DNS（域名服务器）查找行为，甚至更多时候，只使用IP地址来进行发送，或获取计算数据，可以利用制定DNS安全策略的作法，来进行有效防堵。

以Akamai提供的DNS递归式查找请求（recursive DNS）服务来说，他指出，Akamai在去年12月已经将浏览器采矿列入DNS安全策略项目，他表示，他们的研究团队花了很长时间，创建一套分析计算机制，可以从每个网络活动行为，来分辨出是不是有在偷挖矿，至今已经可以侦测目前已知多数的网页挖扩行为，包括在浏览器上跑Javascript挖扩进程，或是通过安装暗藏挖扩进程的插件组件进行挖扩等，让企业用户可以依此来制定他们的网络安全策略，进而降低企业遭到挖矿绑架的威胁。

Fernando Serto也透露，一家中国香港企业用户前不久就成功利用他们的DNS防护服务，侦测到有人在利用他们自己的机器暗中进行挖矿活动，进而成功加以拦截。

不过，就像网络攻击手法演变至今千变万化，挖矿绑架手法也还在进化当中，单靠DNS防护可能还不够，像是除了利用Coinhive创建挖矿网站之外，其他还有像是CryptoLoot、MineMyTraffic 、Papoto等等挖矿进程相继推出，甚至之前还有攻击者想出新招，就算用户关闭浏览器，还能躲藏起来继续偷用你的CPU挖矿，攻击者的选择越来越多，防不胜防，成为企业网络安全防护另一个隐忧。

因此，现在也有越来越多网络安全厂商开始相继投入研究，来加以阻挡，或拦截这类的攻击发生，例如另一家CDN企业Cloudflare开始将偷用计算机资源采矿的帐号与服务封锁，还有安全企业Check Point将这些挖矿绑架网页，列入自家安全网关产品的封锁清单等等。