多部委加强整治，腾讯安全帮助企业抵御“挖矿”木马

11月16日，国家发改委举行新闻发布会，重点提及了虚拟货币“挖矿”治理。会上，新闻发言人孟玮明确阐述了虚拟货币“挖矿”的危害，并表示将持续做好虚拟货币“挖矿”全链条治理工作，建立长效机制，严防“死灰复燃”。

一直以来，腾讯安全基于自身多年的安全运营经验和能力沉淀，打造了一系列解决方案，帮助企业提升挖矿木马入侵威胁的防御能力，构建牢固的企业安全防线。

发改委重拳整治“挖矿”行为

在新闻发布会上，发改委新闻发言人孟玮表示，虚拟货币相关业务活动属于非法金融活动。发改委将以产业式集中式“挖矿”、国有单位涉及“挖矿”和比特币“挖矿”为重点开展全面整治。对执行居民电价的单位，若发现参与虚拟货币“挖矿”活动，将研究对其加征惩罚性电价。

早在今年9月，国家发改委和中宣部、网信办、工信部共11部门联合印发了《关于整治虚拟货币“挖矿”活动的通知》，明确加强虚拟货币“挖矿”活动上下游全产业链监管，严禁新增虚拟货币“挖矿”项目，加快存量项目有序退出，促进产业结构优化和助力碳达峰、碳中和目标如期实现。

国家发改委有关负责人指出，一方面，“挖矿”活动能耗和碳排放强度高，对我国实现能耗双控和碳达峰、碳中和目标带来较大影响，加大部分地区电力安全保供压力，并加剧相关电子信息产品供需紧张；另一方面，比特币炒作交易扰乱我国正常金融秩序，催生违法犯罪活动，并成为洗钱、逃税、恐怖融资和跨境资金转移的通道，一定程度威胁了社会稳定和国家安全。

可以看出，“挖矿”木马的危害，远比人们印象中更严重。

“挖矿”木马的危害被严重低估 

“挖矿”木马仅仅是让系统变卡变慢变费电吗？不！你的企业可能会因此数据泄露乃至倾家荡产。

早期的“挖矿”行为，确实是不法黑产通过大规模入侵服务器并植入挖矿木马，再利用被控主机系统的计算资源挖矿数字加密货币获利。因此，很多人认为挖矿木马只不过让系统变慢，消耗系统资源，不会有破坏性后果。这种看法严重低估了挖矿木马的危害，挖矿木马的影响远不止这些。

根据腾讯安全团队最新报告显示，在公有云的攻击事件当中，以挖矿为目的的入侵占比54.9%，腾讯云在过去30天累计检测到挖矿木马攻击事件超过6000起。有科技媒体报道，挖矿木马攻击在所有安全事件中超过25%。

除了大量消耗受害者主机计算机资源，干扰正常业务运行。挖矿木马通常还会操作“关闭Linux/Windows防火墙”“安装Rootkit后门”等高危行为，木马控制者随时可能窃取服务器机密信息，控制服务器进行DDoS攻击，以此服务器为跳板攻击其他计算机，甚至可以在任何时候释放勒索病毒彻底瘫痪服务器。“挖矿”木马的危害性可见一斑。

腾讯安全提供全方位解决方案

如何有效应对此类安全威胁，并在此过程中促进企业网络安全能力提升，成为了企业安全管理人员与网络安全厂商的共同目标。

腾讯安全基于完善的产品矩阵，提供包括主机侧、终端侧、流量侧以及安全管理平台等安全产品及服务，帮助企业应对“挖矿”木马病毒。 

• 主机侧，企业可以通过部署腾讯安全主机安全，检测修复漏洞、检测弱密码、和高危命令，降低黑客入侵可能性。同时主机安全可以对挖矿木马下载落地文件进行自动检测隔离，腾讯主机安全已接入基于人工智能算法的BinaryAI引擎，对已知未知挖矿木马的检测能力更强；
• 容器侧，企业可以通过容器安全梳理自身容器资产，发现镜像和集群安全问题，提供漏洞和基线检测能力，文件访问控制，异常进程防护，木马检测，容器逃逸检测等能力保护容器运行时安全；
• 终端侧，企业可以通过部署腾讯零信任iOA，对系统进行漏洞扫描修复，查杀拦截病毒木马攻击。通过配置零信任iOA的安全策略，隔离可能的入侵者，最坏的情况下即使发生黑客入侵，安全策略也能通过微隔离将威胁限制在个别失陷终端，使其无法在内网广泛扩散。零信任iOA的身份验证能力，还可彻底消除弱密码爆破入侵的可能性；
• 流量侧，企业可以旁路部署腾讯安全高级威胁检测系统（御界NDR），对企业内网之间及网络出入流量进行分析检测，及时发现黑客攻击活动。增强的域渗透横向移动检测能力，不放过黑客在内网活动的任何痕迹。目前已支持挖矿木马从上传植入到内网扩散的全过程检测。依托于哈勃动态行为沙箱与TAV自研杀毒引擎，可精准高效地对现网中传输的挖矿木马文件进行检测。基于腾讯天幕PaaS的安全算力支撑，提供告警--响应一键式闭环处置，快速处理告警，提高整体运营效率；
• 同时，云主机也可以部署云防火墙、Web应用防火墙防御漏洞攻击，云防火墙内置的虚拟补丁机制可以有效防御高危漏洞及0day漏洞攻击，由专业漏洞响应团队对最新的高危漏洞进行响应，及时升级拦截规则防御黑客利用。通过网络流量控制策略，限制威胁扩散。云防火墙支持配置微信扫码登录，可以彻底消除黑客利用弱密码爆破攻击的可能性。

企业可以根据自身网络、业务特点部署相应的安全产品，打造企业专属的多级安全防御网络。对于规模足够大的企业，还可配置安全运营中心，将所有已部署的安全产品能力有机统一管理起来，企业安全管理团队可以通过安全运营中心全面掌控网络安全全局。腾讯安全运营中心支持接入腾讯自身的安全产品告警数据，也同样支持接入第三方的安全产品数据。通过强大的数据分析能力，将企业运维人员难以处置的大量数据汇总分析，化繁为简，将分散无序的告警片断，输出为按时间线呈现的完整威胁事件调查结果，让安全运维人员检测、响应、处置威胁的操作更加简单。

企业安全防范四部曲

挖矿木马成倍增长，高危漏洞频繁爆出，当前安全形势不容轻视。针对政企机构防御挖矿木马危害，腾讯安全专家李铁军给出了四点建议：

1、挖矿木马入侵通道一般都通过高危漏洞攻击和弱密码爆破，企业安全运维人员可以重点针对这两类弱点入手，使用相应的安全产品对企业资产进行风险检测，及时对发现的风险进行加固处理。

2、建议企业配置覆盖各个节点，多层级分布的完整防御系统，攻击者往往通过对单一存在弱点的系统，取得成功后，迅速使用大量黑客工具在网络中扩散传播。

3、建议通过零信任iOA或其他管理方法，配置严格的安全策略，管理员工行为，避免随意下载未经企业安全审计的软件或服务器组件安装源。

4、建议定期组织员工进行网络安全培训，增强防范意识，小心处理邮件和来历不明的文档。放弃使用弱密码，或对重要业务配置多重认证，弱口令是各类黑客攻击最常用的手段。

挖矿木马作为目前主机面临的最普遍威胁之一，也是检验企业安全防御机制、环境和技术能力水平的关键。针对于缺乏人力和预算的中小企业，腾讯安全在上个月联合中国中小商业企业协会共同启动了“同舟计划”，为1000家企业机构提供免费应急响应及风险检测服务，帮助众多中小企业补齐安全建设短板，提升安全防线。

同时，腾讯安全将持续输出自身能力积淀和技术积累，协同产业生态的合作伙伴，共同抵御“挖矿”木马，有效防范其带来的严重危害，为产业安全提供助力，一起，捍卫美好。