ODCC：2022虛擬貨幣挖礦監測分析報告（22頁）.pdf

《ODCC：2022虛擬貨幣挖礦監測分析報告（22頁）.pdf》由會員分享，可在線閱讀，更多相關《ODCC：2022虛擬貨幣挖礦監測分析報告（22頁）.pdf（22頁珍藏版）》請在三個皮匠報告上搜索。

1、 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 企業級企業級 SSD 技術與應用報告技術與應用報告1 版權說明版權說明 ODCC（開放數據中心委員會）發布的各項成果，受著作權法保護，編制單位共同享有著作權。 轉載、摘編或利用其它方式使用 ODCC 成果中的文字或者觀點的，應注明來源：“開放數據中心委員會 ODCC”。 對于未經著作權人書面同意而實施的剽竊、復制、修改、銷售、改編、匯編和翻譯出版等侵權行為， ODCC 及有關單位將追究其法律責任， 感謝各單位的配合與支持。 編號 ODCC-2022-08001 虛擬貨幣挖礦監測分析報告 Analysis Report On

2、Virtual Currency Mining Monitoring 開放數據中心標準推進委員會 2022-05 發布 掃描下載 ii ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 版權說明版權說明 ODCC（開放數據中心委員會）發布的各項成果，受著作權法保護，編制單位共同享有著作權。 轉載、摘編或利用其它方式使用 ODCC 成果中的文字或者觀點的，應注明來源：“開放數據中心委員會 ODCC”。 對于未經著作權人書面同意而實施的剽竊、復制、修改、銷售、改編、匯編和翻譯出版等侵權行為， ODCC 及有關單位將追究其法律責任， 感謝各單位的配合與支持。 iii ODCC 虛擬

3、貨幣挖礦監測分析報告 ODCC-2022-08001 編制說明編制說明 本報告由開放數據中心委員會 ODCC 安全特設組牽頭撰寫，在撰寫過程中得到了多家單位的大力支持，在此特別感謝以下參編單位和參編人員： 中國移動研究院 : 楊?？?、鄒珂龍 中國信息通信研究院 : 郭亮、王少鵬、謝麗娜、孫聰 中國電信研究院 : 王素彬、王雪榮 項目經理： 鄒珂龍 中國移動研究院 iv ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 前前 言言 2021 年 5 月 21 日，國務院金融穩定發展委員會召開第五十一次會議，研究部署下一階段金融領域重點工作。官方宣布，將打擊比特幣挖礦和交易行為，

4、堅決防范個體風險向社會領域傳遞。2021 年 11 月 24 日，國家發改委、工信部、公安部等部門發布通知，加強虛擬貨幣“挖礦”活動上下游全產業鏈監管，嚴禁以數據中心名義開展虛擬貨幣“挖礦”活動。 進一步， ODCC 安全技術組將繼續整合行業挖礦治理的資源， 并著力在技術研究、標準制定、測試評估和最佳實踐方面形成針對挖礦的體系化治理方案，歡迎業界專家參與相關工作，共同推動我國算力產業的高質量發展與高水平應用。 v ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 目錄目錄 版權說明 .ii 編制說明 . iii 前 言 . iv 1. 研究背景 . 1 2. 虛擬貨幣挖礦介紹

5、 . 4 2.1. 挖礦影響數字化轉型 . 4 2.2. 挖礦組織和挖礦木馬 . 4 2.2.1. 常見的挖礦組織團伙 . 5 2.2.2. 流行的挖礦木馬家族 . 5 3. 全國挖礦態勢分析 . 6 3.1. 礦場活動態勢. 6 3.1.1. 礦場概況 . 6 3.1.2. 礦場挖礦幣種分布 . 7 3.1.3. 礦場連接礦池分布 . 7 3.1.4. 礦場規模分布 . 8 3.1.5. 礦場規模變化情況 . 9 3.2. 礦機活動態勢. 11 3.2.1. 礦機概況 . 11 3.2.2. 礦機挖礦幣種分布 . 11 3.2.3. 礦機連接礦池分布 . 11 vi ODCC 虛擬貨幣挖礦監

6、測分析報告 ODCC-2022-08001 3.2.4. 礦機數量變化情況 . 12 3.3. 木馬挖礦態勢. 13 4. 技術對抗與博弈 . 13 4.1. 隱蔽對抗 . 13 4.2. 持續演進對抗. 14 4.3. 技術博弈 . 14 5. 挖礦威脅協同共治 . 14 5.1. 挖礦治理面臨的挑戰 . 14 5.2. 挖礦治理標準指引 . 15 6. 展望 . 15 1 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 1. 研究背景研究背景 2021 年 9 月，國家發改委等十一部門聯合發布國家發展改革委等部門關于整治虛擬貨幣“挖礦”活動的通知 （發改運行202112

7、83 號） ，提出在全國全面梳理排查虛擬貨幣“挖礦”項目，嚴禁新增“挖礦”項目投資建設和加快存量項目有序退出，并明確指出，應精準區分數據中心與虛擬貨幣“礦場” ，嚴禁利用數據中心開展虛擬貨幣“挖礦”活動。 各地政府部門積極響應，目前浙江、內蒙古、江西、陜西、海南等近二十省或自治區均出臺文件禁止相關情況，主要采取在線用電監測、突擊現場檢查、建立舉報平臺等方式摸排，并對發現的項目采取限制或者關停，采取的限制手段包括實施差別電價、不允許進行電力市場交易、納入信用記錄、取消各類優惠扶持等。 數據中心作為承載算力的實體，是我國重要的新型基礎設施。 “挖礦”活動能源消耗和碳排放量大、對國民經濟貢獻度低，與

8、數據中心支撐數字經濟發展的定位大相徑庭，利用數據中心開展虛擬貨幣“挖礦”活動必將是政府部門重點打擊行為。 表格 1 全國挖礦相關文件不完全統計 發文時間 發文機構 文件（或行動）名稱 采取的限制手段 2021-09-03 國家發改委 關于整治虛擬貨幣“挖礦”活動的通知 全面梳理排查虛擬貨幣“挖礦”項目：梳理排查存量項目；梳理排查在建新增項目；加強異常用電監測分析。 嚴禁新增項目投資建設：強化新增虛擬貨幣“挖礦”項目能耗雙控約束；將虛擬貨幣“挖礦”活動列為淘汰類產業；嚴禁以數據中心名義開展虛擬貨幣“挖礦”活動；加強數據中心類企業信用監管；嚴格限制虛擬貨幣“挖礦”企業用電報裝和用能；嚴禁對新建虛擬

9、貨幣“挖礦”項目提供財稅金融支持。 2 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 加快存量項目有序退出：依法查處違法違規供電行為；實行差別電價；不允許虛擬貨幣“挖礦”項目參與電力市場；停止對虛擬貨幣“挖礦”項目的一切財稅支持；停止對虛擬貨幣“挖礦”項目提供金融服務；按照產業結構調整指導目錄規定限期淘汰。 2022-02-11 浙江省發展改革委 關于虛擬貨幣“挖礦”用電實行差別電價政策有關事項的通知 虛擬貨幣“挖礦”用電實行差別電價。 針對同一電力用戶，若存在虛擬貨幣“挖礦”用電與其他用電混用的，其全部用電量執行差別電價政策。 確保對虛擬貨幣“挖礦”用電實行差別電價政策

10、嚴格執行到位，及時足額收取加價電費。 2022-02-08 內蒙古自治區人民政府辦公廳 內蒙古自治區人民政府辦公廳關于印發自治區“十四五”節能規劃的通知 嚴禁新建虛擬貨幣“挖礦”項目，全面清理關停虛擬貨幣挖礦項目,進一步強化打擊懲戒措施，建立長效監管機制，加強常態化監測，持續鞏固清理取締成效。 2022-02-07 江西省發展和改革委員會 關于江西省2021 年國民經濟和社會發展計劃執行情況與2022 年國民經濟和社會發展計劃草案的報告 對虛擬貨幣“挖礦”及權錢交易問題開展調查，就一些地方違規上馬“兩高”項目問題專門發出通報，推動全省開展全面排查。 2022-01-20 內蒙古自治區發展和改革

11、委員會 工業和信息化廳 關于虛擬貨幣“挖礦”用電實行差別電價政策的通知 對虛擬貨幣“挖礦”項目用電實行差別電價。自治區發展改革委及時更新虛擬貨幣“挖礦”項目名單，電網公司按照項目名單及時足額收取加價電費，確保差別電價政策嚴格執行到位。 禁止虛擬貨幣“挖礦”項目參與電力市場交易。 禁止擅自接入電價低的供電線路進行虛擬貨幣“挖礦”。 2022-01-17 陜西省發展和改革委員會 關于設立我省整治虛擬貨幣“挖礦”活動舉報平臺的公告 偽裝成數據中心享受稅收、土地、電價等方面優惠政策的虛擬貨幣“挖礦”企業；從事虛擬貨幣“挖礦”企業提供場地租賃等服務的企業或個人；通過非法手段獲取電力供應、從事虛擬貨幣“挖

12、礦”活動的企業；其他多種隱藏形式進行“挖礦”的企業、網吧等將會受到懲處。 2021-12-03 海南省發展和改革委員會 海南省發展和改革委員會關于虛擬貨幣“挖礦”用電實行差別電價政策有關問題的通知 將虛擬貨幣“挖礦”活動列為淘汰類產業，實行差別電價。 不允許虛擬貨幣“挖礦”用戶直接參與電力市場交易。 2021-福建省發召開虛擬貨幣堅決有力實現虛擬貨幣“挖礦”“清零”目 3 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 11-19 展改革委 “挖礦”整治專題暨省整治工作協調小組視頻會議 標。 2021-11-08 國家能源局云南監管辦公室 關于做好虛擬貨幣“挖礦”活動整治有

13、關工作的通知 加強異常用電監測分析。 嚴格限制虛擬貨幣“挖礦”企業用電報裝。 依法查處違法違規供電行為。 嚴禁虛擬貨幣“挖礦”企業以任何形式發展自備電廠供電。 不允許虛擬貨幣“挖礦”項目參與電力市場。 2021-11-01 北京市發展和改革委員會等部門 關于印發北京市進一步強化節能實施方案的通知 加強用能管理，做好虛擬貨幣“挖礦”活動排查工作，加強異常用電監測分析，一經發現，堅決依法依規清退。 2021-10-08 江蘇省通信管理局 江蘇省通信管理局率先全面排查虛擬貨幣“挖礦”行為 全面排查虛擬貨幣“挖礦”行為，持續開展虛擬貨幣“挖礦”態勢分析，并進一步聯合各相關部門，形成“多維度、多層次”的

14、處置體系，依法處置相關網站和移動應用程序，配合做好違法虛擬貨幣交易的溯源與打擊。 2021-09-13 河北省網信辦、河北省發改委等 行動：開展虛擬貨幣挖礦和交易行為整治 認真核查、檢視在用信息系統，進一步完善系統安全措施和內部管理制度，嚴防利用系統算力從事虛擬貨幣非法挖礦。 聯合開展常態化監測，并將監測、處置結果在一定范圍內公布。對發現利用信息系統算力進行非法挖礦的行為，嚴肅追究主管領導和責任人責任；涉事信息系統整改完成前，停止互聯網接入；進行違法交易的，嚴格依法論處。 2021-09-09 甘肅省能檢辦、工信廳、發改委 行動：比特幣等虛擬貨幣“挖礦”活動專項檢查 禁止比特幣等虛擬貨幣“挖礦

15、”、交易等活動，徹查轄區內網吧、網絡公司和電量突增等可能“挖礦”客戶，常態化開展清查虛擬貨幣礦機“挖礦”、違約用電和竊電等工作。 2021-07-14 安徽省 新聞： 我省全面清理關停虛擬貨幣挖礦項目 全面清理關停虛擬貨幣挖礦項目 2021-06-18 四川省發改委和能源局 關于清理關停虛擬貨幣“挖礦”項目的通知 完成重點對象甄別關停；開展發電企業自查自糾，立即停止向虛擬貨幣挖礦項目供電；做好全面清理排查，各市（州）政府立即開展拉網式排查，發現疑似項目立即關停；切實履行主體責任，務必保質保量完成清理關停任務。 2021-06-09 青海省工業和信息化廳 關于全面關停虛擬貨幣“挖礦”項目的通知

16、要求各地區對有關虛擬貨幣挖礦行為開展清理整頓。嚴禁各地區立項批復各類虛擬貨幣挖礦項目，對現有的各類虛擬貨幣挖礦項目全面關停。堅決查處糾正以大數據，超算中心等名義立項但從事虛擬貨幣挖礦的項目主體。制止向 4 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 虛擬貨幣挖礦行為提供場所、電力支持。后期將對清理整頓情況開展檢查和抽查。 2021-06-09 新疆昌吉州發展和改革委員會 關于立即對虛擬貨幣挖礦行為企業進行停產整頓的通知 從事虛擬“挖礦”的企業須全部停產整頓，并將企業停產整頓情況報至昌吉州發改委。 2. 虛擬貨幣虛擬貨幣挖礦介紹挖礦介紹 2.1. 挖礦影響數字化轉型挖礦影

17、響數字化轉型 2021 年，以虛擬貨幣中最為活躍的比特幣為例，我國比特幣挖礦年耗電量約為 79.1 太瓦時，占全國總耗電量 0.95%，總碳排放約 0.348 億噸。今年 4 月 14日，比特幣礦工在區塊高度 731,808，挖礦難度下調 1.26%，這是今年第三次下降。目前，隨著挖礦難度下降，哈希率再次增加，比特幣網絡的算力再次超過200exahash (EH/s)。 2022 年，奧密克戎變種疫情在全球多地爆發；俄烏戰爭極大增加了世界的不穩定性，全球經濟由實向虛轉變迅速。在巨大利益驅使和降低的操作難度的誘因下，全球范圍挖礦活動需求日趨上漲。隨著數字化技術的不斷發展，挖礦行為消耗了大量的計算

18、和電力資源，嚴重影響了算力基礎設施的正常使用。 2.2. 挖礦挖礦組織組織和挖礦木馬和挖礦木馬 通常的惡意挖礦行為是挖礦組織或者個人通過挖礦木馬的植入， 遠程控制終端， 在終端及終端主人無感知的情況下， 利用公共資源進行挖礦獲取收益的過程。 挖礦組織是為了通過挖礦獲取收益而自發或者有組織的二人及以上團體。 挖礦組織通常會進行有組織有規模的惡意挖礦行為， 通過規?；倏鼐W絡終端進行挖礦獲益。 挖礦木馬是指在用戶不知情的情況下，將挖礦木馬植入計算機、網頁之中，利用挖礦程序依據特定算法通過大量運算獲得虛擬貨幣，這就是所謂的“挖礦木馬” 。 5 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-

19、08001 2.2.1. 常見的挖礦組織團伙常見的挖礦組織團伙 1. H2Miner 組織組織 H2Miner 組織自 2019 年開始活躍，該組織擅長合并使用了多個漏洞攻擊武器，在 2021 年春節期間，該組織挖礦團伙利用多個漏洞武器攻擊云上主機，向被攻擊的云上主機投遞名為 kdevtmpfsi 的 XMR 門羅幣礦機組件挖礦牟利。 2. 8220 挖礦組織挖礦組織 “8220” 挖礦團伙是一個長期活躍并且擅長使用漏洞進行攻擊并部署挖礦程序的組織，該組織早期使用 Docker 鏡像傳播挖礦木馬，后來逐步利用多個漏洞進行攻擊。 在2020年發現該組織開始使用SSH爆破進行橫向攻擊傳播。 自Ap

20、ache Log4j 2 遠程代碼執行漏洞曝光后，該組織利用該漏洞制作漏洞利用腳本進行傳播，影響范圍廣。 3. 1377 挖礦組織挖礦組織 “1337”組織通過互聯網掃描 22 端口，搜索有哪些資產暴露在互聯網上，之后使用 SSH 爆破工具對這些資產進行暴力破解。該組織攻陷受害主機后，會通過托管服務器下載相應工具和腳本，對內網進行 22 端口掃描，并對掃描到的資產使用爆破工具進行爆破，使用下載的腳本收集目標主機活躍賬戶信息等。最后在 137.*.*.105 的網站上下載名為“.zankyo.tar”的壓縮文件，該文件解壓后包含兩個文件，一個是名為“script”的腳本文件，另一個是名為“mei

21、nkampfeth”的挖礦程序。經判定，script 腳本的作用是執行 meinkampfeth 挖礦程序，meinkampfeth 挖礦程序實質為開源以太幣挖礦程序 Phoenix Miner。 2.2.2. 流行的挖礦木馬家族流行的挖礦木馬家族 1. Sysrv-hello Sysrv-hello 僵尸網絡對云上 NexusRepository Manager 3 存在默認帳號密碼的服務器進行攻擊。得手后再下載門羅幣礦機程序挖礦，同時下載 mysql、Tomcat弱口令爆破工具， Weblogic 遠程代碼執行漏洞（CVE-2020-14882）攻擊工具進行橫向擴散。其攻擊目標同時覆蓋 L

22、inux 和 Windows 操作系統。CVE-2020-14882 6 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 漏洞由 Oracle 2020 年 10 月 21 日發布公告修復，屬于較新的漏洞攻擊工具，因部分企業漏洞修復進度較慢，使得該團伙的攻擊成功率較高。 2. CoinMiner CoinMiner 是一款無文件的惡意軟件，它會利用 WMI(Windows Management Instrumentation)在感染的系統上運行命令，專家稱，這款軟件很難檢測，并且會使用永恒之藍進行傳播。 “這款軟件會利用 WMI 做到在無文件的條件下駐足系統。詳細來說，它會

23、用 WMI 標準事件腳本程序(scrcons.exe)來執行腳本。為了進入目標系統，它會使用永恒之藍漏洞(MS17-010)。這二者的結合使得這款病毒不僅隱蔽，而且會持久駐足。 ” 3. Lemon Duck 小黃鴨（LemonDuck）背后的攻擊者為具有一定專業能力的境外黑產組織，曾發起或參與過大規模的網絡攻擊活動（如構建僵尸網絡等） 。LemonDuck 最初是由針對“驅動人生”發起的供應鏈攻擊演變而來的，攻擊者利用“驅動人生”作為跳板，使蠕蟲盡可能廣泛地傳播。Lemon Duck 在短時間內快速迭代更新，一直在積極更新新的漏洞利用和混淆技巧，它還通過其無文件礦工來逃避檢測，現在已成為技術

24、最高明的挖礦軟件之一。 3. 全國挖礦態勢分析全國挖礦態勢分析 3.1. 礦場活動態勢礦場活動態勢 3.1.1. 礦場概況礦場概況 通過對 2022 年當前的挖礦監測數據進行分析，發現全國存在挖礦行為的中小型礦場 IP246 個，包含礦機 6421 臺，預計消耗電力 38.5 萬度/天。其中挖礦幣種主要為BTC和LTC， 占比92%； 連接的礦池主要為螞蟻礦池()、Slushpool()。 BTC 是虛擬貨幣比特幣的英文（bitcoin）簡稱，比特幣是一種 P2P 形式的虛擬貨幣，可用來在允許接受這種貨幣的地方交換商品和服務。 7 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-080

25、01 LTC(Litecoin)， 萊特幣，是受比特幣(BitCoin,BTC)的啟發而推出的改進版虛擬貨幣。 以太幣（ETH）是以太坊（Ethereum）的一種數字代幣，被視為“比特幣 2.0版” ，采用與比特幣不同的區塊鏈技術“以太坊” （Ethereum） ，一個開源的有智能合約成果的民眾區塊鏈平臺，由全球成千上萬的計算機構成的共鳴網絡。 3.1.2. 礦場挖礦幣種分布礦場挖礦幣種分布 通過對 2022 年當前的挖礦監測數據進行分析， 發現礦場 IP 主要挖礦幣種為BTC 和 LTC，占比分別為：77%、15%。 圖 1 礦場 IP 主要挖礦幣種占比 3.1.3. 礦場連接礦池分布礦場連

26、接礦池分布 通過對 2022 年當前的挖礦監測數據進行分析，發現礦場 IP 挖礦礦池主要為：螞蟻礦池()、Slush pool()。 8 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 圖 2 礦場 IP 挖礦礦池占比 3.1.4. 礦場規模分布礦場規模分布 通過對 2022 年當前的挖礦監測數據進行分析，發現規模在 10-50 臺礦機的礦場數量最多，占比為 81.8%；規模超過 200 臺礦機的礦場數量占比為 1.7%。初步判斷是在國家大力治理挖礦行業的高壓態勢下， 大型礦場逐漸轉移到境外或者拆分成了多個小規模礦場來避免被集中打擊。 圖 3 礦場規模占比 9 ODCC 虛

27、擬貨幣挖礦監測分析報告 ODCC-2022-08001 3.1.5. 礦場規模變化情況礦場規模變化情況 2022 年當前監測到礦機數大于 100 的礦場 5 個。 通過對 2021 年 9 月至 2022年 04 月的挖礦監測數據進行分析，發現自從 9 月份短期少量增長后，10 月份至今下降趨勢明顯。9 月份至今，礦機數量呈現持續下降趨勢。 圖 4 礦場 IP 數量 圖 5 礦場礦機數量 對比相鄰月份之間減少的礦場數量和礦機數量以及增加的礦場數量和礦機數量。從礦場 IP 數量趨勢中可以發現，9 月份至今每月都有老礦場下線，不再 10 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08

28、001 進行網絡挖礦活動，同時也有更多了新礦場加入到挖礦活動中。 圖 6 礦場 IP 數量趨勢 從礦機賬戶數量趨勢中可以發現，9 月份至今每月都有礦機賬戶下線，不再進行網絡挖礦活動，同時也有更多了新礦機賬戶加入到挖礦活動中。通過分析發現，新增的礦機和減少的礦機之間賬戶名關聯不大，判斷不是礦場遷移，而是老礦工離場，新礦工入場。 圖 7 礦場中礦機賬戶數量趨勢 11 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 3.2. 礦機活動態勢礦機活動態勢 3.2.1. 礦機概況礦機概況 通過對 2022 年當前的挖礦監測數據分析發現，除了上述礦場 IP 以外，還有3728 個 IP

29、地址存在個人挖礦行為1，包含礦機 5980 臺，預計消耗電力 35.88 萬度/天，主要挖礦幣種為 ETH 和 BTC。 3.2.2. 礦機挖礦幣種分布礦機挖礦幣種分布 通過對 2022 年當前的挖礦監測數據進行分析，發現礦場 IP 主要挖礦幣種為ETH 和 BTC，占比分別為：68%、16%。 圖 8 礦機挖礦幣種占比 3.2.3. 礦機連接礦池分布礦機連接礦池分布 通過對 2022 年當前的挖礦監測數據進行分析，發現礦機 IP 挖礦礦池主要為：蜜蜂礦池(eth-pool.beepool.org)、星火礦池()。對比礦場連接礦池的分布來看， 我們可以發現更專業的挖礦機構即礦場更偏向于使用螞

30、1 由于 99%以上的木馬挖礦采用門羅幣作為挖礦幣種，本文將挖礦對象不是門羅幣且礦機數量小于 10 臺的挖礦 IP 地址定義為個人挖礦 IP。 12 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 蟻礦池()和 Slushpool()進行接入。初步判斷這 2 個礦池在收益率政策方面對大規模挖礦更為友好。 圖 9 礦機連接礦池占比 3.2.4. 礦機數量變化情況礦機數量變化情況 從數量變化趨勢來看，2021 年 9 月份，個人挖礦礦機數量達到頂峰，2021年 9 月份至今，除了在 2022 年 1 月份有少量增長，個人挖礦礦機數量整體呈逐月減少的趨勢。 圖 10 個人挖礦礦機

31、數量 13 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 3.3. 木馬挖礦態勢木馬挖礦態勢 通過對 2022 年當前的挖礦監測數據進行分析，發現全國被植入木馬進行挖礦行為的 IP 地址 56436 個，預計消耗電力 338.52 萬度/天。木馬挖礦幣種主要為門羅幣。 從數量變化趨勢來看，2021 年 9 月份至 11 月份，木馬挖礦 IP 活動數量存在逐月減少的趨勢，2021 年 11 月份至今，木馬挖礦 IP 活動數量在少量增長后呈減少趨勢。 圖 11 木馬挖礦 IP 活動數量 4. 技術對抗與博弈技術對抗與博弈 根據挖礦病毒之前的特征和之前的發展軌跡，整體上看，挖礦

32、威脅朝著隱蔽性更強、傳播速度更快和影響范圍更廣的方向持續發展。 4.1. 隱蔽對抗隱蔽對抗 由直連礦池向代理礦池方式演進： 挖礦木馬常見的挖礦方式為受害主機直連公共礦池貢獻算力，然而近幾年，越來越多的挖礦家族開始使用礦池代理的方式來進行挖礦，礦池代理本質是在礦工與礦池之間增添了一個中轉環節。礦池代理從公共礦池獲取任務，分配給礦工進行計算，礦工再將計算完成的結果交由礦池代理轉發到公共礦池。礦池代理具有以下特征：1.隱匿錢包地址；2.繞過黑名單 14 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 檢測；3.規避聯合執法風險。 挖礦行為通信傳輸由明文傳輸向密文傳輸發展： 不管是

33、直連礦池還是礦池代理，傳統的明文通信傳輸使得惡意挖礦行為特征相對容易被安全檢測設備識別。挖礦實施者為了避免挖礦行為被安全設備檢測出， 越來越多的采用密文傳輸進行挖礦通信，從而加大了惡意挖礦行為的“安全性” 、增大了檢測難度。 挖礦方式的隱匿，對挖礦檢測能力帶來了持續和更大的挑戰。如何研究并采用網絡空間測繪、加密流量識別、挖礦僵尸網絡跟蹤等新技術對抗代理礦池、隱蔽流量會成為后續挖礦治理對抗的新方向。 4.2. 持續演進對抗持續演進對抗 持續集成漏洞能力，挖礦木馬團伙在利益的驅使下，往往會不斷集成更有效的 1/N Day 漏洞來感染更多主機資源,從而獲取更多的收益?？焖偌尚侣┒?，每當爆發影響范圍

34、廣泛的漏洞后， 全網受影響的設備很難在短時間內得到有效的修復。其他挖礦團伙會立刻集成漏洞發起攻擊。 同時，傳播目標向云主機和多平臺發展，不再單純的攻擊物理機房，而是著眼資源更為彈性的云主機，攻擊也同時兼容 Linux、Windows 等多類操作系統平臺。整體上從傳播能力、集成能力和攻擊目標上增大了挖礦治理的難度。 4.3. 技術博弈技術博弈 在挖礦治理工作開展的同時， 挖礦產業背后的攻擊者一直在積極提高技能水平，利用挖礦進程隱藏技術、內核態 RootKit 對抗、系統命令劫持和守護進程守護來提升挖礦木馬的駐留時間；利用對惡意軟件進行加殼和代碼混淆處理，來對抗安全產品檢測和防止安全人員分析；利用

35、主流 go 語言實現跨平臺編譯，實現效益最大化。 5. 挖礦威脅協同共治挖礦威脅協同共治 5.1. 挖礦治理面臨的挑戰挖礦治理面臨的挑戰 隨著全球局勢以及經濟形勢的波動， 數字虛擬貨幣的價值也會呈現一定程度 15 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 的起伏， 加之目前國內積極開展的相關的挖礦治理工作和公民個人網絡安全意識的提高，短期內似乎看到了國內挖礦趨勢的下降。但挖礦威脅的背后的攻擊者，一直積極地提高技術手段，所謂的挖礦趨勢下降，是基于已知監測規則的下降，但是存在逃逸行為，檢測盲區或者情報限制等。虛擬幣“挖礦”整治行動已轉入常態化監管，挖礦治理也進入持續對抗的

36、階段。急需面對以下挑戰： 1.挖礦攻擊者利益驅使下利用較小的成本持續進行挖礦威脅的演進和變種，使得挖礦威脅呈現出行蹤更隱蔽、橫向滲透能力更強、集成模塊更多的特點。如何體系化、持續化的研究、跟蹤挖礦團伙的最新挖礦技術，升級挖礦監測技術和方案是能長期打好挖礦治理戰的關鍵。 2.孤立的挖礦行為檢測能力的局限， 當前的挖礦檢測能力沒有形成統一的行業標準規范，缺乏挖礦威脅檢測能力和挖礦威脅情報共享的體系。局限于不同屬地監管部門和各大安全廠商各自挖礦檢測賦能， 造成挖礦的檢測一直滯后于挖礦威脅的技術升級，挖礦治理的技術對抗和難度將會與日俱增。構建以挖礦治理為目標的，完整的挖礦治理威脅情報體系，實現各挖礦治

37、理單位的能力互補、信息共享、聯防聯控是下一階段的重要工作。 3.目前針對挖礦治理暫未形成資源統籌，沒有統一檢測標準和認定標準。希望在國家有關部門指揮下，統籌和調動行業重點單位和安全廠商，用“一盤棋”思路統籌建設挖礦治理的協作機制和平臺。 5.2. 挖礦治理標準指引挖礦治理標準指引 標準是挖礦治理工作的重要組成之一， 針對當前挖礦治理存在的治理方式不規范、治理技術不清晰等問題，為了進一步推動挖礦治理的規范化，幫助企業更好的實現挖礦治理，需要重點在檢測設備、運營商網絡、數據中心等方面進行技術要求和測試規范的制定，以標準化挖礦檢測的方法和手段，鑄造挖礦威脅檢出的標尺。 6. 展望展望 開展挖礦治理，遏制挖礦活動，需要產業界的共同努力，在定期開展專題報 16 ODCC 虛擬貨幣挖礦監測分析報告 ODCC-2022-08001 告研究與發布的同時， ODCC 安全技術組將進一步整合行業挖礦治理的資源， 并著力在技術研究、標準制定、測試評估和最佳實踐方面形成針對挖礦的體系化治理方案，歡迎業界專家參與相關工作，共同推動我國算力產業的高質量發展與高水平應用。