随着加密货币市值的一路飙升，恶意挖矿软件正在全球肆虐。打击此类挖矿活动已经成为近期整治的重点。亚信安全总结出挖矿行为以及感染挖矿木马对企业的影响，带你全面了解挖矿病毒的攻击链条，并对难以侦测和阻断的此类攻击行动提出了有针对性的建议。

挖矿病毒的“夺命三刀”

去年以来，我国虚拟货币监管政策持续加码，清退“挖矿”活动与禁止相关业务活动双管齐下。国家发改委等11个部门印发《关于整治虚拟货币“挖矿”活动的通知》，要求加强虚拟货币“挖矿”活动上下游全产业链监管，严查严处国有单位机房涉及的“挖矿”活动。接连的重拳出击，体现了国家对整治“挖矿”的决心。那么，一旦参与“挖矿”活动，或者是中招挖矿病毒之后，企业会有多大损失呢？

丢失算力，能耗成本巨大

“挖矿”需要一个庞大的计算系统，会导致组织的终端、服务器、网络设备等卡顿、CPU飚满，直接影响企业的正常业务往来。不仅企业整体算力大减，还会付出额外的电力成本和运维成本。数据显示，截至2020年，全球比特币“挖矿”的年耗电量大约是149.37太瓦时（1太瓦时为10亿度电），这一数字已经超过马来西亚、乌克兰、瑞典的耗电量，接近耗电排名第25名的越南。

点名通报，很有可能被“拉闸”

随着一系列针对虚拟货币“挖矿”活动整治文件和要求的发布，各省市区域相关单位已开始积极响应和开展行动，国内江苏、浙江、广东等省相继开展虚拟货币“挖矿”活动专项整治。而一旦被“通报”之后，如果“屡教不改”，发电企业则有权利对你“拉闸断电”。

数据泄露，遭遇多重攻击

一些“挖矿”的主机还可能会被植入勒索病毒，携带APT攻击代码等，导致组织重要数据泄露，或者黑客利用已经控制的机器，导致更严重的网络安全攻击事件发生。

挖矿木马已全面进化

亚信安全通过近年对重要远控木马的样本分析发现，挖矿木马已经获得全面进化，成为信息安全的最大威胁之一。挖矿木马已经具备了团伙作案、持久性、隐蔽性、对抗性和跨平台等特征，以各种手段规避流量监测和主机的安全检测。

检测恶意挖矿活动的方法

挖矿木马会占用CPU进行超频运算，从而占用主机大量的CPU资源，严重影响服务器上的其他应用的正常运行。黑客为了得到更多的算力资源，一般都会对全网进行无差别扫描，同时利用SSH爆破和漏洞利用等手段攻击主机。因此，可以从网络杀伤链分解，细致了大多数挖矿木马的攻击手段。

挖矿木马显著的行为特征就是极大的占用CPU及GPU资源，包括高CPU和GPU使用率、响应速度慢、崩溃或频繁重新启动、系统过热、异常网络活动（例如，连接挖矿相关的网站或IP地址）。其检测可以部署在网络侧和主机侧，利用基于黑名单的检测技术、基于恶意行为的检测技术，以及基于机器学习的检测技术来实现。

此外，为了避免网络用户在不知情的情况下成为“挖矿”行为的“傀儡”，可以采用一款高效的安全产品来解决。亚信安全提供了XDR整体方案，可以帮助用户更早的发现挖矿木马威胁、定位高危资产，并且通过根因和范围分析，确定是否存在挖矿行为，从而确保终端和云端不留死角。