引言

自2021年以来，针对虚拟货币“挖矿”的监管持续加码的情况下，谁还在挖矿？

“挖矿”事件再次发生

4月6日消息，据某微博博主爆料，某新能源汽车企业员工张某使用公司服务器资源挖虚拟货币。此人原担任某集群服务器管理员，利用职务之便进行“挖矿”行为。在调查中，张某对自己的违规行为供认不讳，该行为涉嫌违反中华人民共和国刑法第285条第二款非法控制计算机信息系统罪，对企业计算机系统安全和商业信息安全造成负面影响。

相关政策，多管齐下

自2021年以来，针对虚拟货币“挖矿”的监管持续加码：

早在2021年5月份，国务院金融稳定发展委员会（简称“金融委”）就已经定调要坚决打击比特币挖矿和交易行为，防范个体风险向社会领域传递。

2021年9月开始，工信部、国家发改委、公安部、人行、银保监、国家能源局、网信办等部门以及各地区接连出台相关措施，加大核查与整治“挖矿”力度。

从2021年第4季度开始，国内各运营商、教育机构等企业单位根据发改委和网信办的要求，不断封禁国内外的矿池地址，已知的网页和APP均无法访问，国内各大矿群也是一片鬼哭狼嚎。

与此同时，也在严厉打击个人“挖矿”行为：

企业单位中，若存在个人“挖矿”现象，则会被直接叫停，并勒令整改。

家庭带宽中，若在家使用电脑挖矿，也会被运营商监测到存在挖矿行为为由，直接关停家中的网络带宽。

各行各业，依然存在

安恒信息猎影实验室针对2021Q4~2022Q1期间的挖矿数据进行统计分析，其中行业挖矿行为主要分布在IT、教育、科研、汽车、通信等行业，其他行业也存在一定的挖矿行为。

活跃矿池，均在境外

安恒信息猎影实验室针对2021Q4~2022Q1期间的挖矿数据监测发现，活跃的矿池地址主要分布在境外。

高收益，致使恶意挖矿活动屡禁不止

近几年，虚拟货币的价格激增，这种高收益吸引了各路参与者加入到挖矿行业，也是恶意挖矿活动盛行主要原因。

恶意挖矿程序通常伴随着加密货币市场的繁荣而出现，加密货币价格与恶意挖矿活动有一定的关联性，价格越高时，恶意挖矿活动就越活跃，而今年是历年来加密货币发展和升值最为疯狂的一年，而现在各国都在大力发展区块链技术，未来很长一段时间，加密货币行业都不会再暗淡下去，而因加密货币而引起的各类恶意活动将会更加流行，网络安全形势将会更加复杂多变。

恶意挖矿的危害

具备隐藏自身的功能，但这并不意味着它不会对你的设备造成损害。实际上，这种对计算资源的窃取会大幅降低运行速度，加大电力消耗，并缩短设备的使用寿命，从而影响业务或生产环境的正常运营。

受感染的设备通常会产生以下较为明显的负面影响：

• 系统运行速度变慢

• 增加处理器使用率

• 设备过热

• 增加电力消耗

恶意挖矿活动对单台设备的影响相对较小，但如果网络环境遭遇大范围传播感染的情况，网络将会出现明显卡顿、运行过慢等异常现象，导致性能降低甚至死机的情况发生，如果感染的是来自公用事业、制造业、能源行业、金融业的实体组织，恶意挖矿还可能影响其重要业务和数据的安全性，从而引起一系列的连锁反应，造成难以评估的运营、生产损失。

恶意挖矿的趋势

根据安恒信息猎影实验室针对多个恶意挖矿团体、恶意挖矿木马家族等数据研究分析，发现攻击者正在尝试以下几种手段进行挖矿：

使用隐藏CPU使用率的新技术

研究人员发现Golang蠕虫挖矿木马就是通过特定型号的寄存器（MSR）驱动程序来禁用硬件预取器。硬件预取器是一种新的技术，处理器会根据内核过去的访问行为来预取数据，处理器（CPU）通过使用硬件预取器，将指令从主内存存储到二级缓存中。然而，在多核处理器上，使用硬件预取会造成功能受损，并导致系统性能整体下降。XMRig需要依赖机器的处理能力来挖掘Monero币，禁用MSR能够有效阻止系统性能下降，从而提升挖矿效率。

黑产组织之间争夺挖矿资源

在恶意挖矿活动中，可能会出现两个恶意挖矿家族相互争夺受害计算机资源的情况，这种较量通常在Linux和云环境中进行，挖矿木马会利用多种手法清理或阻止、干扰受害主机上其他家族的挖矿行为，从系统中删除竞争对手来独享资源。

比较广为人知的是Pacha和Rocke黑产组织的云上资源争夺事件，这两个组织所使用的技术、战术、方法都极其相似，这种同行之间相互竞争的现象有助于提高操作员的技能水平。

工控系统成为新的矿机目标

随着时间流逝，挖矿活动所产出虚拟货币越来越少，对算力的需求越来越大，一些攻击者已经不满足选择诸如PC或移动设备作为其挖矿工具，而是将目光瞄向了具有高性能、高处理能力的基础设施。工业控制系统的内部网络还可能存在过时或未打补丁的软件，因为部署新的操作系统和更新可能会无意中破坏关键的传统平台，所以系统可能仍停留在旧版本当中。

对于从事恶意挖矿活动的攻击者而言，工厂是一个诱人的目标，由于许多基线操作不会使用大量处理能力，但会消耗大量电力，这使得挖掘恶意软件能够相对容易地掩盖其 CPU 和功耗，即使查到系统异常，但排查控制系统上的网络威胁也需要相当多的时间成本。

如何预防恶意挖矿

对个人而言

要预防个人计算机被恶意挖矿所利用，我们每个人应从以下方面做好安全措施：

1. 提高个人安全意识，从正常的应用市场和渠道下载安装应用程序，不轻易安装来历不明的第三方软件，或随意点击和访问一些具有诱导性质的不良网页。

2.安装杀毒软件或安全卫士，并定时进行全盘查杀。

3.及时修复系统漏洞，更新系统版本、软件版本和应用版本。

对企业而言

要防范计算资源被恶意挖矿所利用，企业单位应从以下4个方面做好安全防护措施：

1.云端情报：利用云端情报能力、在线专家服务能力与线下安全设备结合，精准定位、处置本地恶意挖矿威胁；

2.网络流量：利用流量检测与大数据分析技术，多维度、深层次分析，识别网络中存在的恶意挖矿攻击特征，并联动安全设备实现自动处置；

3.边界防御：利用边界网关产品对网络中存在的恶意行为、恶意连接实现预警与拦截，实现对南北向数据流量精细化控制；

4.端点安全：利用终端安全防护平台为终端提供病毒防御能力，识别终端存在的异常程序与异常连接，隔离终端及查杀挖矿病毒。

解决方案如下：