如何减轻加密货币挖掘对企业安全的威胁

为了更好地为读者提供建议，我们联系了Cato Networks的安全研究人员。Cato提供了一个基于云的SD-WAN，其中包括防火墙即服务（FWaaS）。其研究团队Cato research Labs维护着该公司的云IP，今天发布了一份加密挖掘池地址列表，可以在防火墙中用作黑名单。（要下载列表，请访问此页面。）

卡托研究实验室确定，加密挖掘对该组织构成中度威胁。加密挖掘不太可能直接导致组织基础设施立即中断或敏感数据丢失。

然而，必须解决设施成本增加的重大风险。

理解区块链和加密挖掘

加密挖掘是验证加密货币交易并向区块链添加加密块的过程。矿工们解决了一个散列来建立一个有效的区块，他们的努力得到了回报。开采的区块越多，解决挖掘新区块的哈希问题就越困难，资源也越密集。

如今，使用现成的计算机进行采矿过程可能需要数年时间。为了解决这个问题，矿工们使用定制硬件来加速挖掘过程，并形成“挖掘池”，让计算机集合一起计算散列。

向池贡献的计算资源越多，挖掘新区块并获得奖励的机会就越大。正是这种对更多计算资源的搜索导致一些矿工利用企业和云网络。

参与挖掘池需要计算机运行本机或基于JavaScript的挖掘软件（见图1）。两者都将使用Stratum协议，使用TCP或HTTP/S（技术上是HTTP/S上的WebSockets）在挖掘池中的计算机之间分配计算任务。

图1：运行基于JavaScript的挖掘软件的网站示例。通常情况下，网站不会请求许可。

本机挖掘软件通常使用持久的TCP连接，通过TCP运行；基于JavaScript的软件通常依赖于寿命较短的连接，并通过HTTP/S运行。

加密挖掘给企业带来的风险

挖掘软件在两个方面给组织带来了风险。在所有情况下，挖掘软件都是高度计算密集型的，这会降低员工的机器速度。长时间以“高负载”运行CPU将增加电力成本，还可能缩短笔记本电脑中处理器或电池的寿命。

一些僵尸网络也在分发挖掘软件。原生挖掘软件访问底层操作系统的方式与僵尸网络恶意软件攻击受害者机器的方式类似。因此，本机挖掘软件的存在可能表明设备受损。

如何防止加密挖掘

Cato研究实验室建议阻止网络上的加密挖掘。这可以通过中断与采矿池的连接和通信过程来实现。

许多防火墙中的深度数据包检测（DPI）引擎可用于检测和阻止TCP上的层。或者，您可以阻止加入公共挖掘池的地址和域。

方法1：使用DPI阻止未加密的阶层会话

DPI引擎可以通过阻止TCP层来中断区块链通信。Stratum使用发布/订阅架构，其中服务器向订阅的客户端发送消息（发布）。阻止订阅或发布过程将阻止Stratum在网络上运行。

应该为JSON配置DPI规则。分层有效负载是简单易读的JSON-RPC消息（见图2）。

Stratum通过JSON-RPC使用请求/响应：

图2:JSON-RPC批处理调用的细节（参考：https://www.jsonrpc.org/specification)

加入池的订阅请求将包含以下实体：id、方法和参数（见图3）。配置DPI规则以查找这些参数来阻止未加密TCP上的层。

{“id”：1，“method”：“mining.subscribe”，“params”：[]

加入池时，订阅请求消息中使用三个参数。

方法2：阻止公共挖掘池地址

然而，一些采矿池创造了安全的地层通道。对于经常通过HTTPS运行的基于JavaScript的应用程序尤其如此。

在这种情况下，对于不大规模解密TLS流量的DPI引擎来说，检测地层是困难的。（作为记录，Cato IP可以大规模解密TLS会话。）在这些情况下，组织应该阻止形成公共区块链池的IP地址和域。

要确定要阻止的IP地址，请查看加入挖掘池所需的配置信息。采矿软件要求矿工填写以下详细信息：

• 适当的池地址（域或IP）
• 用于接收股权的钱包地址
• 加入池的密码

图3：提供必要的矿工池配置的JSON文件

组织可以将防火墙规则配置为使用黑名单并阻止相关地址。从理论上讲，由于必要的信息是公开的，这样的列表应该很容易创建。大多数采矿池通过互联网发布其详细信息，以吸引矿工加入其网络（见图4）。

图4:mineXMR展示了采矿池的公共地址。com的“入门”页面

尽管进行了广泛的研究，但卡托研究实验室无法找到可靠的采矿池地址。如果没有这样的列表，收集用于阻塞的目标挖掘池地址将非常耗时。

IT专业人员将被迫手动进入公共地址，这可能会发生变化或增加，需要不断维护和更新。

卡托研究实验室公布采矿池地址列表

为了解决这个问题，卡托研究实验室生成了自己的采矿池地址列表，供广大社区使用。通过使用谷歌识别网站，然后使用抓取技术，卡托研究人员能够提取许多采矿池的池地址。

图5:Cato研究实验室编制的采矿池地址部分列表

Cato研究人员编写了代码，利用这些结果开发了一个挖掘池地址提要。如今，该列表识别了数百个池地址（见图5），应该适合大多数DPI规则引擎。请看这里的完整列表。

最后的想法

由于设备受损、成本增加和僵尸网络感染的综合风险，Cato研究实验室强烈建议它防止并删除企业网络中的加密挖掘。

如果在网络上发现软件挖掘应用程序，Cato Research Labs强烈建议调查活跃的恶意软件感染并清理这些机器，以减少对组织数据的任何风险。

卡托研究实验室提供了一个可用于实现该目标的地址列表，阻止了对公共区块链池的访问。但总有可能出现新的池或地址，这就是为什么Cato研究实验室强烈建议使用具有足够加密会话容量的DPI引擎构建规则。