用疫情防控思路解決挖礦木馬風險

挖礦木馬普遍設置系統后門和采用蠕蟲化傳播擴散，對企業網絡安全有嚴重風險。攻擊者在植入挖礦木馬的同時，還會攜帶漏洞攻擊模塊、橫向擴散模塊、后門模塊等等多方面能力。挖礦木馬的入侵擴散，和這兩年大眾所熟知的新冠病毒疫情傳播有十分驚人的相似之處。

通過新聞報道，我們知道新冠病毒疫情傳播有三個不可缺少的環節：傳染源（確診病例或疑似病例、部分進口冷藏食品）、傳播途徑（與傳染源存在接觸史）、易感人群（所有人接觸傳染源就有可能感染），病毒的終極目標是經過n代感染所有人。

將以上三個環節中的任一個切斷，疫情就會減緩，三個環節全部采取必要措施加以控制，疫情就會被消滅。我們都看到政府管控疫情采取很多辦法：

1.控制傳染源

2.切斷傳播途徑

3.保護易感人群

這些我們都做了，所以疫情能被控制的很好。如果像某些國家，就不做檢測，就不戴口罩，就是要到處耍，就是不打疫苗。結果就是：算你狠。

回到正題，來看挖礦木馬。挖礦木馬的傳播擴散同樣具有類似的三個不可缺少的環節，挖礦木馬的終極目標也是經過n代控制盡可能多的易感系統，僵尸網絡規模越大，木馬挖的礦越多，掙的錢也就越多。

1.攻擊源——故意傳播植入挖礦木馬的黑客、已被黑客入侵控制植入惡意程序的系統。

2.傳播途徑——漏洞攻擊（操作系統和應用組件的高危漏洞，IoT設備的高危漏洞）；弱口令暴破攻擊（各類重要網絡服務的弱口令）、軟件供應鏈攻擊（被污染的軟件安裝源）、釣魚郵件投放（挖礦木馬用的相對少，因為這方法有點兒笨，效率太低）。

3.易感系統——存在安全漏洞未被修復的系統；內部網絡間缺少必要的安全檢測防御體系，員工安全意識不強，管理制度不完善，網絡安全短板較多，局部弱點被攻破，會導致威脅擴散到整個企業網絡。

網絡安全運維也可以參考新冠疫情的管控措施來打造應對挖礦木馬的解決方案，照葫蘆畫瓢一個環節一個環節做好，結果就會很好。

1.控制攻擊源：

2.切斷傳播途徑：

3.保護易感系統：

針對挖礦木馬的攻擊流程步步設防，就像下面這張圖：

針對挖礦木馬的攻擊傳播方式，采取針對性的防御措施

騰訊安全應對挖礦木馬威脅的完整解決方案，針對各個可能的攻擊環節層層設防，可以用如下防護矩陣來描述：

顯然，將疫情管控的方法論與網絡安全方案結合起來，可以防護任何具備自主傳播特性的網絡攻擊，本篇之所以用挖礦木馬為例，原因是在日常安全運維中挖礦木馬最為常見，其入侵后果不像勒索軟件那樣突出，容易被忽略輕視。

應對安全威脅，還要強調一個非常重要的關鍵點，一個字來形容，就是“快”。速度不夠快，就不能在威脅擴散之前切斷傳播風險。正確的解決之道，加上足夠快的檢測、響應、處置速度，缺一不可。