关于做好挖矿病毒防护工作的通知

根据杭州市整治虚拟货币“挖矿”活动工作小组《关于进一步落实虚拟货币“挖矿”活动整治开展国有单位自查自纠工作的通知》，为配合各单位做好自查及防护工作，我办提供如下技术解决方案及日常防护注意事项。

一、挖矿手段

比特币网络通过“挖矿”来生成新的比特币。谁都有可能参与制造比特币，而且可以全世界流通，可以在任意一台接入互联网的电脑上买卖，不管身处何方，任何人都可以挖掘、购买、出售或收取比特币。

（一）挖矿木马

恶意挖矿攻击通常利用远程代码执行漏洞或未授权漏洞执行命令并下载释放后续的恶意挖矿脚本或木马程序。恶意挖矿木马程序通常会使用常见的一些攻击技术进行植入，执行，持久化。例如使用 WMIC 执行命令植入，使用 UACBypass相关技术，白利用，使用任务计划持久性执行或在 Linux 环境下利用 crontab 定时任务执行等。

（二）挖矿危害

挖矿攻击的危害十分严重，这是因为挖矿利用了计算机的中央处理器（CPU）和图形处理器（GPU），让它们在极高的负载下运行。这就如同在开车爬坡时猛踩油门或者开启空调，会降低计算机所有其他进程的运行速度，缩短系统的使用寿命，最终使计算机崩溃。当然，“挖矿者”有多种方法来“奴役”控制你的设备。主要包含以下几个方面：

1.占用资源：大量网络带宽、CPU、内存、电力资源被消耗。

2.硬件损耗：加速硬件资产显卡、CPU 老化。

3.信息泄露：通过挖矿程序窃取机密信息。

4.横向扩散：控制矿机攻击其他主机。

（三）挖矿过程

一般常见的挖矿攻击分为四个步骤，包括入侵攻击、投递植入、横向扩散及回连矿池。在入侵攻击阶段，黑客通过分析目标主机，采取爆破、注入等多种攻击手段渗透到内部服务器中；在投递植入阶段，黑客安装对应的挖矿客户端以及部署脚本，并对挖矿主机进行植入；在横向扩散阶段，黑客通过探测等相关技术，横向扩散内网相关主机，并植入挖矿程序；最终运行黑客挖矿程序后，与远端矿池进行回连，形成完整的一次挖矿行为

二、日常防护注意事项

1、 对连入到政务网的每台终端和服务器用有效的杀毒软件进行病毒查杀。 

2、关闭每台终端和服务器高危端口如135、137、139、445，配置如22、3389、3306、1521、6379、1433、5432、6379、27017等高危端口限制IP访问。                                                                             

四、防护手段

1.WINDOWS系统使用火绒杀毒软件，下载网址：https://www.huorong.cn/

2. 国产系统使用自带的360杀毒软件，同时需要修改默认登录口令为强规则。（大小写字母+数字+特殊符号）

3. LINUX系统可通过购买安全服务厂商的杀毒软件，或者自行排查。自行排查方法：https://blog.csdn.net/allway2/article/details/106872151

   4.关闭高危端口方法（国产机不需要操作）：https://jingyan.baidu.com/article/d621e8da0abd192865913f1f.html

市局信息办

2022年1月24日