随着社会信息技术的发展和区块链控制技术的应用，以比特币为代表的多种交互式汇率价格持续走高。大笔的自身利益使得从事“矿机”销售业务的人越来越多。2013年，我国最早的比特币ViaBTC——“竹山”诞生；2014年，中国ViaBTC异军突起，“竹山”登顶INS13ZD榜第一，蚂蚁ViaBTC和BTCCViaBTC也都挤进了前十，世界“矿机”销售业务的中心逐渐转移到了中国。然而，在这种如火如荼的发展势头下，因“矿机”犯罪行为泛滥而带来的巨大能耗、鞘花产业等严重问题逐渐曝露。

国家对此高度重视，2021年9月，国家发改委等部门联合发布《关于综合环境治理交互式汇率“矿机”公益活动的通知》，严禁新增交互式汇率“矿机”项目，加快存量项目有序退出。后来，交互式汇率“矿机”公益活动又被列为淘汰类产业。教育行业内，院校由于其高INS13ZD集中环境的特性正式成为重点综合环境治理区域。2019年，思科的一份报告指出，大学校园已正式成为交互式汇率的第二大矿工群体，大量的教学采用者终端产品、师生个人终端产品、数据中心伺服器都可能正式成为“矿机”病原体的病原体感染对象。

1

“矿机”反击销售业务流程分析

“矿机”的本质是求解一道数学题，最先破获答案就可以得到对应的数字汇率奖赏。蓄意“矿机”是指在未经采用者同意或采用者不知情的情况下采用该采用者电子设备挖掘加密汇率，并以隐密或不易察觉的形式采用其电子设备计算能力的犯罪行为为消极犯罪行为。通常情况下，蓄意“矿机”与电子设备病原体感染“矿机”地牢有关。“矿机”反击的完整过程如图1所示。

图 1 “矿机”反击销售业务流程

据图1可知，“矿机”反击销售业务流程可分为以下五个期：

1 侵略期

该期主要就借助类似其他病原体地牢流程的散播形式，例如钓诈欺、色情文本介导、扮作热门文本的图片或文档、捆绑正常应用流程等。当采用者被介导文本迷惑并holds打开蓄意文档或流程后，蓄意“矿机”流程就会成功入驻最终目标PS3后台并执行下一步动作。此外，院校曝露在公网上的PS3、伺服器、网站和Web服务，由于未及时预览控制系统或组件补丁，导致一些可借助的远程安全可靠漏洞；或是由于错误的配置和设置了较弱的紧急警报导致登录凭据被抹除或绕过认证和校验过程。

2 内部网蔓延期

蓄意“矿机”团体侵略因特网内部后，为病原体感染更多最终目标PS3，以获取最大自身利益，会采用不同的内外网反击思路，展开更高效率的散播，其主要就手段是借助电脑病原体化的丧尸互联网反击。电脑病原体化的“矿机”Botnet具备反击模块，在内部网能够自动扫描并借助多安全可靠漏洞组合反击的形式展开横向蔓延，同时能使被害PS3正式成为捷伊反击源。在这种高效率思路下，内部网通常会在极短时间内大面积病原体感染。反击者可以在控制端透过丧尸互联网下发指令到被害PS3，执行分发“矿机”地牢等蓄意操作。

3 持久化驻留期

“矿机”地牢侵略成功后必定希望能够长年稳定地借助PS3计算能力，其控制技术上采用加壳、代码混淆、CPU采用率伪装等实现长年、隐密运行。同时，本期“矿机”地牢会修改PS3启动项、计划任务脚本、将SSH公钥写入最终目标控制系统Root采用者“.ssh”目录中，实现以Root采用者对该控制系统的长年访问，即使地牢被杀毒，也有可能定时从C2伺服器下载捷伊蓄意流程。

4 相连ViaBTC期

“矿机”地牢的最终目的是非法牟利，本期的犯罪行为主要就是相连匿名公共ViaBTC、私有ViaBTC或是代理ViaBTC，提交任务，以获取奖赏。

2

“矿机”综合环境治理方案

目前，校内“矿机”公益活动主要就分为积极主动“矿机”和消极“矿机”。积极主动“矿机”是内部人员出于好奇或是追求自身利益，违规私自借助学校公共资源“矿机”；消极“矿机”则是黑客透过互联网安全可靠漏洞、抹除紧急警报等形式侵略PS3，获得PS3控制权使PS3失陷，植入“矿机”流程展开“矿机”，或是借助部分因特网采用者安全可靠意识薄弱的特点散播地牢病原体，比如钓诈欺、蓄意链接、扮作普通文档等手段，让采用者在毫不知情的情况下展开“矿机”。

针对这两种犯罪行为，学校应该从“检验辨识、阻断隔离、定位环境治理、思路加固”五个方面出发，透过专业的安全可靠管理人员、领先的安全可靠控制技术、有效的管理措施，构建适合院校的全局化“矿机”环境治理方案。环境治理路子如图2所示。

图2 “矿机”环境治理路子

1 检验辨识

检验辨识的重点是对整个互联网环境的交互，主要就最终目标是及时发现各类隐藏的蓄意“矿机”犯罪行为。采取云、地联合形式，透过邻近地区部署的势头交互，全互联网流量监测、互联网流量探针等电子设备联动第三方安全可靠厂商云威胁情报数据库，以获取活跃“ViaBTC”信息，反向检验网内矿机电子设备，并透过机器学习的形式实时预览邻近地区特征库，基于主要就的“矿机”协议（Stratum，GetBlockTemplate，GetWork等）、互联网流量大小、常用端口等特征，对抓取到的因特网核心交换机镜像互联网流量展开分析比对。

对“矿机”互联网流量展开检验，辨识“矿机”回连域名、“矿机”回连IP等信息，确认“矿机”犯罪行为；在终端产品部署EDR防病原体软件，终端产品监控软件，能够持续监测终端产品电子设备运行状态，透过监控终端产品层面硬件资源占用率、控制系统补丁状态、控制系统进程、应用流程等形式来辨识终端产品“矿机”犯罪行为；最终需要将检验信息反馈到阻断隔离、定位环境治理、思路加固期，从而构成整个威胁处理销售业务流程的闭环。

2 阻断隔离

“矿机”地牢的最终目的是连结“ViaBTC”以获取任务和收益，针对这点结合检验辨识期以获取的情报，借助防火墙、互联网流量控制、Web应用防御、上网犯罪行为管理、DNS等电子设备对检验辨识到的“矿机”回连域名、IP、端口多维度展开封堵，断开矿机与ViaBTC的通讯，阻断“矿机”的“矿机”公益活动，杜绝积极主动“矿机”犯罪行为；对已经确认的“矿机”，要及时断开其互联网相连，将其与因特网隔离，防止内部网横向蔓延。

3 定位环境治理

为快速定位已发现的“矿机”，院校应该对园区内信息技术资产展开全面梳理，保证资产台账的准确性。同时，因特网应该部署统一身份标识、身份管理、认证和终端产品绑定控制系统，将入网采用者个人信息与终端产品IP、MAC地址相关联，构建全校范围内的互联网信任体系，确保因特互联网空间实体可证、入网可控、犯罪行为可查。这样就能精准定位到个人和终端产品以便于及时展开杀毒处理。对于顽固性地牢，学校可以采取重新安装操作控制系统的形式彻底清除。

4 思路加固

思路加固的主要就目的是为了预防“矿机”反击，而“矿机”反击的主要就控制技术手段有钓邮件、安全可靠漏洞反击、抹除等。

针对这些反击手段，学校可以结合检验辨识的情报、统一日志平台的相关日志，透过溯源“矿机”地牢的反击形式、路径，分析提取互联网安全可靠脆弱性报告，对安全可靠电子设备和采用者终端产品两层思路展开加固：

在防火墙中添加已知的各类“ViaBTC”域名、IP黑名单，拦截非法外连；在Web应用防护中开启SQL注入安全可靠漏洞、0day安全可靠漏洞、WebShell上传、跨部脚本等反击拦截规则，对检验出的Web应用安全可靠漏洞展开修补，并及时升级Web应用；对公开在互联网中的网页部署防篡改控制系统，防止网页挂码；在邮件安全可靠网关中设置违规邮件关键字、钓邮件的域名黑名单，过滤、拦截垃圾邮件和钓邮件；全网段定期展开安全可靠漏洞扫描，对发现的安全可靠漏洞及时修补；在终端产品安全可靠思路的加固主要就依靠部署的终端产品管控控制系统，对入网采用者犯罪行为展开精准把控。透过管控控制系统，强制终端产品安装杀毒软件，开启本机防火墙，配置出入站规则，关闭不需要的服务，增强密码复杂度并定期更换，在管理端对135、445等高危端口展开封堵。

5 持续管理

院校“矿机”的综合环境治理方案中，控制技术手段固然重要，但是核心还是在于日常管理的持续性。日常管理包含互联网电子设备管理和安全可靠意识管理两个层面，院校信息安全可靠管理人员，应该对整个因特网的互联网势头和安全可靠体系架构有清晰的把握。

同时，管理人员需关注最捷伊互联网安全可靠时事和安全可靠厂商公布的安全可靠漏洞、地牢、ViaBTC域名等信息，将其反馈到安全可靠思路中展开相应调整，对安全可靠电子设备展开日常维护、管理，及时预览、升级特征库；对各种相关电子设备和安全可靠事件日志做好最大限度的留存，以便于分析、取证和事后追溯；对重要的数据和控制系统展开定期备份，保障数据的安全可靠性和重要销售业务的连续性。

此外，安全可靠意识是高度信息技术的当今社会第一道也是最重要的安全可靠防线，院校应该对“矿机”综合环境治理行动有足够的重视，有针对性地宣传国家打击“矿机”的背景、政策法规，点明“矿机”地牢的危害性，从源头上杜绝积极主动“矿机”犯罪行为；强化因特网采用者的个人安全可靠意识，减少消极“矿机”的发生概率，普及简单的针对性防护措施，例如对来源不明的邮件要保持警惕态度，不违规访问不健康网站，避免打开带有蓄意“矿机”流程的文档和未知的移动存储介质，安装必要的终端产品杀毒和安全可靠防护软件，增强密码强度和复杂度，开启终端产品防火墙等。

3

实际部署方案

按照“检验辨识、阻断隔离、定位环境治理、思路加固”配合持续性安全可靠管理的路子，实际应用部署拓扑如图3所示。

图3 防范“矿机”部署拓扑

部署势头交互，监控全网互联网流量，发现“矿机”犯罪行为；联动防火墙（NF），下发ViaBTCIP，域名封堵拦截“矿机”犯罪行为；部署Web应用防护（WAF）、侵略检验或防御控制系统、拦截互联网安全可靠漏洞反击；透过上网犯罪行为管理，统一认证的因特网安全可靠可信体系定位环境治理；统一日志伺服器收集各种安全可靠电子设备及DNS查询日志，为事后溯源、思路加固提供依据；安全可靠漏洞扫描电子设备配置定期自动扫描服务，及时发现和修补安全可靠漏洞。整体部署形成针对“矿机”犯罪行为的闭环环境治理体系。

当前国内的“矿机”行业已被列为淘汰产业，但在国外市场中，交互式汇率的交易并未受到严重冲击。可以预见，“矿机”地牢的综合环境治理是一项长年的任务，且互联网反击控制技术的发展与互联网安全可靠控制技术的进步可以说是相互依赖的。根据内生安全可靠的理论，无论是安全可靠电子设备硬件或是软件，其自身都带着“基因”上的安全可靠缺陷。

因此，并不存在一劳永逸的防御体系，只有透过合适的控制技术手段配合持续性的常态化管理才能让综合环境治理方案达到预期的成效。

作者：金飞、沙琨、吕玉峰、徐捷（空军湖北省人民医院）

责编：陈永杰

投稿或合作，请联系：eduinfo@cernet.com