如何发现数据中心的挖矿行为和治理方案Word文档格式.docx
《如何发现数据中心的挖矿行为和治理方案Word文档格式.docx》由会员分享,可在线阅读,更多相关《如何发现数据中心的挖矿行为和治理方案Word文档格式.docx(8页珍藏版)》请在冰豆网上搜索。
矿工:
运行矿机,获得收益的人群就被成为矿工
矿场:
矿场是很多台矿机组合到一起,使得算力增强
钱包:
像一张银行卡一样,拥有一个唯一卡号(地址)来接收或发送你的数字货币矿池挖到币以后,给你发到这个地址上,币就进入了你的钱包
矿池:
随着参与挖矿的人越来越多,比特币全网的算力不断上涨,单个设备或者少量的算力都很难再挖到比
特币,这个时候矿池就产生了,矿池是突破地址位置的限制,将各地的算力汇聚起来增强算力,并把收益
平分给所有算力,保证矿池参与者收入稳定。
那么所有队伍中的人会根据每个人的电脑性能进行分红。
比如:
1000人在同一个矿池中挖矿,挖出一个区块后,这个区块产生的N个比特币的报酬,会根据
这1000个人的电脑性能进行分红。
如果你的电脑性能强劲,也许会分到100分之1,如果性能落后,也可
能会分到10000分之1。
挖矿模式1:
软件挖矿。
通过运行在Linux或者Windows的软件进行挖矿,例如:
**矿工、长*矿工之类的,这种是傻瓜式的挖矿只要把钱包地址填进去,选择币种和矿池开始挖矿就行了,这种简单方便,但是他抽成比较高。
此外,也有一些黑客,通过非法手段上传“挖矿”木马程序到计算机或者服务器上,然后通过设
置计划任务或者修改系统文件权限等方式,实现“挖矿”木马程序的持久化运行。
挖矿模式2:
基于网站脚本方式
基于网站脚本的方式是通过JavaScript等编写的“挖矿”脚本在浏览器中执行,通过在网站中嵌入含有“挖矿”代码的脚本,当浏览器访问带有“挖矿”脚本的网站时,浏览器将解析并执行“挖矿”脚本(如Coinhive、JSEcoin等),在后台进行“挖矿”。
这种方式比传统的基于程序的“挖矿”方式更加隐蔽,难以被发现。
挖矿收益和支出
挖矿收益和支出:
软件帮你算得清清数数,能挣多少,亏多少..
例如:
某电脑显卡GTX1050Ti,由于电费支出非常
大,完全亏本的。
因此,会出现有人利用单位的电资源来进行
挖矿。
8
由于挖矿行为有2大类,挖矿排查也分为两种(DPI排查和威胁情报排查)。
1、在Panalog中【内容分析】-【虚拟货币】中查询,基于虚拟货币的协议锁定(主要针对挖矿软件)。
2、在Panalog中【安全分析】-【威胁情报】中查询,先定位威胁情报中挖矿域名或者IP,然后再查询内网IP用户。
(主要针对网页脚本挖矿)
在【虚拟货币】中直接选中某一个时间段查询,凡是排名靠前、上行流量明显高于下行流量、上行流量
速率超过1M的IP地址为主要排查对象。
可以在页面中导出IP地址列表。
在【会话日志】中选择排名第一的IP地址作为源IP,协议选择“虚拟货币”,进行查询
挖矿排查方法2—威胁情报排查
LOG升级最新版本
威胁情报升级到最新版本
在【安全分析】【威胁情报】中查询,在类别中输入挖矿应用类别“bitcoin”如下所示:
...
|2021-12-08
URL
•
1securityvendorflaggedthisURLasmalicious
hp:
//
1wωm/I|
2
3asia2.ethermine.orgjI
XCommunity.J
Score
DETECTION
DETAILS
INKSCOMMUN@
4cn.eth.kml
/I|
ComodoValkyrieVerdictPhishing
Acronis
ø
Clean
点击对应的域名,便可以看到内网那些用户访问过这些域名,以及访问的次数。
方案1:
通过流控管控规则,把“虚拟货币”的应用进行阻断;
方案2:
创建矿池域名群组,然后阻断
配置方法:
第一步,先创建域名群组。
在“对象管理”—“域名群组”里面自定义挖矿域名
第二步,创建HTTP管控规则,对挖矿域名进行阻断
第三步,创建DNS管控规则,对挖矿域名的DNS递归解析进行阻断。
方案3:
通过派网APP来动态获得挖矿域名。
首先需要安装“威胁情报IOCs同步”APP,然后进行情报同步
情报同步后,在域名群组就可以看到相关的威胁情报域名。
【严重度说明】:
H:
高严重度,建议执行“阻断”策略
M:
中严重度,建议执行“告警”策略
L:
低严重度,建议执行“提示”策略
挖矿行为阻断3—动态威胁情报
最后进行挖矿的域名HTTP管控和DNS管控即可。
25
THANKYOU
升级会员 