自从9月份国家发改委等十部门联合发布《关于整治虚拟货币“挖矿”活动的通知》以来，全国各地都展开了“挖矿”治理活动。11月，国家发改委又组织召开了虚拟货币“挖矿”治理专题会议，通报虚拟货币“挖矿”监测和整治情况，并部署了下一阶段工作，严查严处国有单位机房涉及的“挖矿”活动。

黄粱梦下的“挖矿”危机

 “挖矿”所获得的虚拟货币具有明显的暴利属性，使得人们趋之若鹜。许多机构与个人都投入大量资金购买“矿机”设备，沉迷于“挖矿”暴富的黄粱美梦。一个围绕“挖矿”和“虚拟货币交易”的产业链快速形成。

由于“挖矿”需要强大的计算能力，这就使得“挖矿”逐渐变成了性能的竞争甚至是装备的竞争。许多矿主为了更快的获取到更多的虚拟货币，不惜购置大量“矿机”设备，这些海量设备所消耗的电能却极为惊人。通过本次“挖矿”治理发现，仅某省一地就监测到 “矿机”一天所需要消耗的电能高达26万度，对算力资源的消耗也超过了10PH/s。电力能源、网络空间计算资源的过渡消耗，正在对国家推动经济社会高质量发展和节能减排带来不利影响，而这也正是整治虚拟货币“挖矿”活动的一项重要原因。

除了对能源和资源的无序消耗，各类木马病毒攻击也一直与“挖矿”纠缠不清。H2Miner组织就在通过僵尸网络持续对Linux服务器发起攻击，并控制大量被感染的Linux服务器进行挖矿。挖矿木马z0Miner则充分利用Confluence漏洞删除其他竞争对手的“挖矿”软件。公有云也没能逃脱挖矿木马的毒手，多个知名云厂商都曾被挖矿木马所劫持。不法分子在实施渗透攻击过程中，甚至会夹带更多APT攻击手段。“挖矿”给国计民生经济发展与网络空间建设带来的潜藏危机，正在一步步戳穿“挖矿暴富”的黄粱美梦。

治理“挖矿”华顺信安在行动

2018年，华顺信安率先发现“挖矿”背后存在的隐患，依托FOFA平台安全大数据对重点“矿机”开展持续安全监测，累计了众多非法矿机资产数据。本次治理活动期间，华顺信安积极与相关部门配合，为“挖矿”治理活动提供强有力的安全能力支撑。

图1：重点监测“矿机”

图2：某“矿机”全球分布状况

华顺信安通过丰富的实战经验依托FOFA产品平台，形成了系统化的矿机、矿场识别与排查解决方案。华顺信安可以为监管部门提供快速与全面两种排查机制，可实现矿机、矿产监管数据周期性统计，为监管部门执法提供实证。

目前，华顺信安针对本次“挖矿”治理工作推出了两套解决方案，协助监管机构实施治理，帮助各有需求单位进行自查。

“挖矿”治理监管解决方案

本方案以全球最受白帽子欢迎的网络空间资产搜索引擎FOFA平台为基础，充分利用FOFA平台数年来积累的最大互联网资产数据库和全球最全资产指纹库，结合华顺信安业界领先的大数据智能分析能力和资产安全运营经验，最快速度收集全球范围内最全最新矿机资产特征、形成资产指纹规则，实现对全国范围内矿机资产的快速、精准探测与识别，并可绘制出辖区内矿机分布地图，输出矿机位置、IP等相关信息，为监管部门及时掌握“挖矿”资产整体情况及风险趋势，进而形成整改方案及远期规划提供可靠的数据支撑。

“挖矿”治理自查解决方案

该方案主要利用内网空间测绘系统对企业所有IT资产进行快速探测，根据矿机特征指纹规则识别出“挖矿”资产，比对台账输出矿机IP、分布位置、责任人等信息，进而结合主机工作状态和流量实时分析来研判“挖矿”行为真伪，彻底改善企业内部资产安全现状，全面杜绝违法“挖矿”行为。

方案特点

最全面：基于40余亿全球互联网资产数据库。

最迅速：矿机资产特征多样且善变，固定的矿机资产指纹无法全面覆盖全年矿机资产，最活跃的FOFA白帽子社区平台助力于及时收集最新矿机资产特征，准确发现矿机资产。

更完善：主动探测和流量识别相结合。

更主动：Agent部署于主机内部，全面收集主机信息，全方位发现矿机资产和挖矿行为，解决部分隐蔽挖矿程序，流量分析实时监控“挖矿”行为。