隨著加密貨幣市值的一路飆升，惡意挖礦軟件正在全球肆虐，比員工上班摸魚(yú)更可怕的是，來(lái)自外部或內(nèi)部的挖礦軟件正在悄悄消耗著企業(yè)的IT資源，侵蝕企業(yè)利潤(rùn)。當(dāng)不法分子通過(guò) Web 服務(wù)器和瀏覽器劫持系統(tǒng)時(shí)，就會(huì)發(fā)生加密劫持（挖礦）。惡意 JavaScript 通常被注入或植入 Web 服務(wù)器，當(dāng)用戶訪問(wèn)網(wǎng)頁(yè)時(shí)，瀏覽器就會(huì)被感染，將他們的計(jì)算機(jī)變成礦工。

監(jiān)控網(wǎng)絡(luò)性能

首先，企業(yè)安全團(tuán)隊(duì)需要檢查系統(tǒng)性能。終端用戶可能會(huì)注意到 CPU 使用率過(guò)高、溫度變化或風(fēng)扇速度加快，這可能是業(yè)務(wù)應(yīng)用程序編碼不當(dāng)?shù)恼髡祝部赡鼙砻飨到y(tǒng)上存在隱藏的惡意軟件，企業(yè)可以設(shè)置安全基線以更好地發(fā)現(xiàn)系統(tǒng)中的異常。不過(guò)，僅僅依靠性能異常來(lái)識(shí)別系統(tǒng)是否受影響也并不是萬(wàn)全之策。

[[435750]]

最近的事件表明，攻擊者正在限制對(duì)系統(tǒng) CPU 的需求以隱藏其影響。例如，近期微軟數(shù)字防御報(bào)告就指出越南威脅組織 BISMUTH 針對(duì)法國(guó)和越南的私營(yíng)部門(mén)和政府機(jī)構(gòu)，正在通過(guò)“融入”正常網(wǎng)絡(luò)活動(dòng)來(lái)避免檢測(cè)。因?yàn)榧用茇泿诺V工往往被安全系統(tǒng)視為優(yōu)先級(jí)較低的威脅，所以 BISMUTH 能夠在不被注意的情況下潛入系統(tǒng)。

查看未經(jīng)授權(quán)連接的日志

除了檢查表現(xiàn)異常的計(jì)算機(jī)之外，企業(yè)還應(yīng)查看防火墻和代理日志，了解它們正在建立的連接，以檢測(cè)隱蔽的惡意挖礦活動(dòng)。企業(yè)最好能準(zhǔn)確地獲知有權(quán)連接的位置和IP地址，如果此過(guò)程過(guò)于繁瑣，請(qǐng)至少查看防火墻日志并阻止已知的加密礦工服務(wù)器地址。近日 Nextron 的一篇博客文章分析了常見(jiàn)加密礦池，推薦查看防火墻或 DNS 服務(wù)器是否受到影響。

例如，查看是否有包含 *xmr.* *pool.com *pool.org 和 pool.* 的日志，看看是否有人正在濫用企業(yè)網(wǎng)絡(luò)。如果企業(yè)有一個(gè)高度敏感的網(wǎng)絡(luò)，可以設(shè)置白名單允許必要的IP地址訪問(wèn)，不過(guò)，在云計(jì)算時(shí)代，這種方法很難實(shí)現(xiàn)。舉例說(shuō)明，當(dāng)微軟為其 Azure 數(shù)據(jù)中心添加新范圍時(shí)，微軟客戶就可能需要調(diào)整授權(quán) IP 地址列表，這無(wú)疑給客戶增加了負(fù)擔(dān)。

使用瀏覽器擴(kuò)展組件，阻止惡意挖礦軟件

一些瀏覽器擴(kuò)展組件能夠監(jiān)控并阻止惡意挖礦軟件，例如NoCoin和MinerBlocker就能監(jiān)控可疑活動(dòng)，并阻止攻擊，兩者都是適用于 Chrome、Opera 和 Firefox 的擴(kuò)展程序。企業(yè)還可以通過(guò)禁用瀏覽器 JavaScript 阻止惡意活動(dòng)，因?yàn)閻阂?JavaScript 應(yīng)用程序通過(guò)橫幅廣告和其他網(wǎng)站操作技術(shù)傳播。不過(guò)，在企業(yè)中禁用瀏覽器JavaScript需要提前確認(rèn)核實(shí)，因?yàn)檫@么做可能會(huì)對(duì)網(wǎng)站業(yè)務(wù)功能產(chǎn)生不利影響。

啟用Edge瀏覽器的 Super-Duper安全模式

微軟正在測(cè)試Edge瀏覽器的Super-Duper安全模式，通過(guò)在 V8 JavaScript 引擎中禁用即時(shí) JIT 編譯來(lái)提高 Edge 的安全性。微軟表示，現(xiàn)代瀏覽器中的 JavaScript 漏洞是攻擊者最常用的載體。2019年 CVE 漏洞數(shù)據(jù)顯示，大約有45%的 V8 攻擊與 JIT 相關(guān)。不過(guò)，禁用 JIT 編譯確實(shí)會(huì)影響性能，Microsoft Browser Vulnerability Research 進(jìn)行的測(cè)試證實(shí)了這一點(diǎn)。在Speedometer 2.0 這樣的JavaScript 基準(zhǔn)測(cè)試中，其性能下降幅度高達(dá)58%。盡管如此，微軟表示用戶不會(huì)在意這種性能下降，因?yàn)橛脩粼谌粘Ｊ褂弥泻苌贂?huì)注意到這種性能下降。