虹科分享|如何在你的環境中檢測和防止加密挖礦？

加密貨幣價格的爆炸性增長給它們帶來了更多的關注，更多的人希望通過 “挖礦 “來獲得加密貨幣，而不是購買它們。2022年1月，發改委等11部門發文整治虛擬貨幣挖礦：列為淘汰類產業。

企業環境中加密挖礦的風險

在你的企業環境中運行的加密挖礦軟件有三個主要風險：

成本的增加：電力消耗對加密挖礦至關重要。如果有人使用你的系統進行挖礦，他們有可能增加你系統的資源使用量，以提高計算速度，從而消耗更多的電力。

性能和可用性問題：在增加處理（CPU或GPU）的同時，你的系統有更少的資源分配給其他可能是關鍵業務的進程。挖礦應用程序往往寫得不好，有可能導致系統崩潰，使你的業務服務也隨之中斷。

使用易受攻擊的工具和應用程序：常見的情況是，許多為進行加密挖礦而編寫的軟件開發得很差，幾乎沒有對安全問題給予關注。這可能導致惡意方利用軟件的漏洞，并通過這些漏洞進入你的內部網絡。

如何檢測和防止挖礦行為？

系統性能檢測

對你的系統進行性能監測有大量的理由，其中之一是檢測資源使用量的異常增加，這可能表明在系統上運行的加密挖礦軟件的跡象。你需要調查這種變化，并核實你的系統上沒有安裝或運行非法軟件。

請記住，加密挖礦軟件并不總是需要安裝在系統上，它可以作為一個獨立的可執行文件運行。

DNS監控和保護

DNS請求僅在挖礦會話開始時執行。挖礦客戶端和服務器之間的通信通常發生在30-100秒之間。根據SANS研究所的說法，首先發生的是一個DNS請求，然后是TCP通信。

嘗試在DNS層面阻止域名，而不僅僅是通過網絡過濾解決方案。

用Allegro網絡萬用表分析DNS

由于互聯網幾乎是所有組織和流程不可或缺的一部分，因此必須確保無故障的工作流程。檢查和控制DNS有助于全面了解“Internet”，以便在緊急情況下快速查找和修復錯誤。Allegro網絡萬用表使檢查DNS協議變得極其簡單。

例如，可以查看有關響應時間、狀態、請求頻率以及它們被應答(或未被應答)頻率的更多統計信息。不再需要花費很長時間檢查pcap來查找錯誤。使用Allegro DNS模塊，可以減少搜索次數，并可以直接調用不同的DNS統計數據。DNS分析可以實時執行，也可以在選定的時間間隔內執行。

終端保護

使用終端保護/反病毒軟件來檢測加密挖礦軟件。防病毒公司在檢測加密挖礦軟件方面正變得越來越好，但加密挖礦者也在不斷改變他們的技術，以避免在端點被檢測到。

應用限制

另一個對付加密挖礦的好辦法是限制可以在你的系統上運行的應用程序。你可以使用軟件限制策略，指定哪些應用程序允許在系統上運行。這在一開始可能很難設置，因為你需要知道所有在你的環境中運行的必要軟件。

廣告攔截

由于加密劫持腳本經常通過網絡廣告傳遞，安裝廣告攔截器可以成為阻止它們的有效手段。一些廣告攔截器，有一定的能力來檢測加密劫持腳本。

使用ntopng進行挖礦檢測

ntopng3.6穩定版引入了一些網絡挖礦黑名單，ntopng將標記在線挖礦網站并產生警報。

點擊圖片，了解更多ntopng挖礦檢測