近日,國家發展改革委會同中央宣傳部、中央網信辦、工業和信息化部等有關部門聯合印發了《關於整治虛擬貨幣「挖礦」活動的通知》,全國範圍內重點整治虛擬貨幣「挖礦」,並多次強調各省區市要堅決貫徹落實好虛擬貨幣「挖礦」整治工作的有關部署,對虛擬貨幣「挖礦」活動進行清理整治,嚴查嚴處國有單位機房涉及的「挖礦」活動。
一直以來,虛擬貨幣的流行發展為利用「挖礦」木馬控制肉雞的網絡黑產狀態,提供了犯罪土壤和發展時機。作為數字化安全的守護者,三六零集團(股票代碼:601360.SH,以下簡稱360)旗下的政企安全集團長期從事反挖礦、反欺詐、反黑灰產等領域研究,基於大數據、知識庫和技術分析能力,並依託360安全大腦的高效賦能,構建了一套基於360大數據關聯分析技術的360威脅態勢監控系統(簡稱:TSM)。目前已經為城市、行業、企事業等提供有效的威脅情報支撐,切實維了護人民群眾財產安全。
為了更好的配合國家對「挖礦」的全面整治行動,360政企安全集團通過對典型客戶的調研和分析,與多年的產品研發經驗和技術積累,360威脅態勢監控系統研製了「挖礦」監測處置功能,可以分別從監管側、企業側、城市側形成常態化「挖礦」監測機制。這項能力具備零部署、全覆蓋、親業務、多場景等優勢,能將大網資產測繪與「挖礦」類威脅情報進行綜合分析,從而獲得全網「挖礦」主機數據。根據360威脅態勢監控系統11月監測數據顯示,日均挖礦主機IP活躍量10.9萬個,主要使用的網絡類型為家庭寬頻、企業專線、數據中心,主要分布在我國廣東省、江蘇省、浙江省、山東省等地。
11月全國挖礦主機IP活躍趨勢圖
面對防不勝防的挖礦木馬,360威脅態勢監控系統形成了「測+治」的防護閉環。一方面通過基於地理區域(省/市/區縣)、網絡類型(數據中心、企業專線)等多個維度進行宏觀態勢統計監測,幫助監管用戶了解轄區「挖掘」態勢。另一方面基於「挖礦」整治需要,直接輸出挖礦主機清單,清單內容包含涉及單位的挖礦主機的IP位址、地理位置、網絡類型、連接頻率、處置建議等信息,輔助監管單位下發處置和指導企業機構進行響應處置。
然而,挖礦木馬的攻擊過程一般不會局限於一台單點主機,而是以點帶面的方式在內網多台機器內擴散,所以360威脅態勢監控系統是如何助力「挖礦」的清理整治?其關鍵就在實現「挖礦」活動的全周期監測和分析,我們將這個過程總結為以下三個階段:
第一階段,事前摸底。提供全國、省、市、區縣範圍內利用數據中心、企業專線、組織機構等網絡類型的挖礦主機IP總量、風險等級、活動趨勢,幫助監管單位及企業機構實時掌握挖礦主機活動態勢;
第二階段,事中協查。基於區域挖礦主機事件優先級,提供事件涉及的威脅簡介、家族團伙、持續時間、連接次數、處置建議等詳情報告,協助監管及企業單位下發處置;
第三階段,事後驗證。360威脅態勢監控系統持續性提供監控能力,追蹤事件處置結果,對監管效果進行驗證評估,形成監管閉環體系。
在整個「挖礦」監測能力的背後,復合應用了基於360大網流量監測能力、主動防禦機制、威脅情報與大數據分析能力,並提供威脅態勢統計、威脅事件詳情、威脅定向監控與告警等功能內容,最終幫助用戶了解轄區內的「挖礦」網絡攻擊事件與網絡安全隱患情況,協助威脅處置。
當前一系列的重拳出擊,體現了國家對整治「挖礦」的決心。作為數字化安全的領導者,360政企安全集團積極響並迅速發布相應「挖礦」監測方案。在此,360政企安全集團建議廣大企業應儘快開展專項整治行動,發現、處置和防止企業終端和伺服器被植入「挖礦」惡意程序,清理網絡安全隱患,有效防範「挖礦」活動帶來危害與不良影響。