挖矿监测“动态清零”，近期是否卓有成效？

阅读： 509

一、引言

基于绿盟科技云端攻击组织知识图谱和云端部署的威胁情报平台（NTIP），结合绿盟云服务汇集的全国海量威胁告警数据，利用大数据威胁上下文感知及攻击组织聚类技术，自动化发现海量多源数据中的攻击组织，并进行攻击组织建档和实时追踪。

本文基于2022年3月份（2022.3.1-2022.3.31）绿盟科技云服务海量数据，针对云端自动化发现的挖矿类型攻击组织进行概要分析，描述3月份新增及活跃挖矿攻击团伙的基本活动情况及挖矿受害主机的基本情况。

*注：本文未加说明之处，均只针对3月份新增和活跃的挖矿团伙相关数据进行统计，大部分矿池主机由于目前并未满足挖矿团伙聚类条件，未纳入统计范围。

二、新增及活跃挖矿团伙基本情况

2.1 3月份新增挖矿团伙情况

基于绿盟威胁情报平台（NTIP）能力，结合3月份云端汇集的数据，进行挖矿团伙的自动化聚类和研判，一共新增2个挖矿团伙，基本信息如下表所示：

如上表所示，3月份，一共新增2个挖矿团伙，分布于新加坡和中国的北京；

2.2 3月份活跃挖矿团伙情况

2.2.1 团伙基本信息

基于绿盟威胁情报平台（NTIP）能力，结合3月份云端汇集的数据，利用大数据威胁上下文感知计算进行挖矿团伙的实时追踪，一共发现17个挖矿团伙处于活跃状态，这些团伙的基本信息如下：

2.2.2 团伙国家分布情况

按照团伙主控矿池主机的地域分布情况进行统计，如下图所示：（数据按矿池主机数量/对应区域监控到的所有主机数量的比例进行统计）

如上图所示，从矿池主机占该区域所有主机比例进行统计，发现新加坡和法国对应的比例最高。

2.2.3 受害主机统计

统计3月份各个挖矿团伙受害主机情况，如下所示：

如上图所示，3月份受害主机数量TOP5的挖矿团伙为MINE-005（矿池主机位于中国上海），受害主机177台；MINE-016（矿池主机位于美国），受害主机79台；MINE-013（矿池主机位于新加坡），受害主机76台；MINE-015（矿池主机位于美国），受害主机51台；MINE-007（矿池主机位于德国），受害主机49台。

三、挖矿受害主机情况

3.1 3月挖矿受害主机基本情况

经统计分析，3月份一共有1908台主机参与到挖矿行为，按照每天受到挖矿团伙影响的主机数量以及每天受害主机数量对比当天监控的所有主机数量的比例进行统计，结果如下图所示：

按照受害主机数量占当天所有监控主机的比例进行统计，结果如下：

如上所示，无论从受害主机总数还是受害主机占所有主机比例进行统计，挖矿受害主机数量各天分布较为平均，峰值出现在3月30日，受害主机明显多于其余各天。

3.2 3月挖矿受害主机地域分布

统计受害主机地域分布情况，按照矿池主机数量/该地域所有主机比例进行统计，结果如下：

如上图，从受害主机占比上来看，挖矿受害主机占比最多的地区为台湾，明显高于其他地区。

3.3 3月挖矿受害主机行业分布

统计按照受害主机行业分布情况，按照矿池主机数量/行业所有主机比例进行统计，结果如下：

如上图，从受害主机占比上来看，挖矿受害主机占比最多的行业为金融行业，明显高于其他行业。

四、总结

综上所述，基于3月份绿盟云端汇集的数据进行分析，从挖矿团伙层面来看，3月份一共新增2个挖矿团伙，分布于新加坡和中国的北京；一共发现17个挖矿团伙处于活跃状态，从矿池主机占该区域所有主机比例进行统计，发现新加坡和法国对应的比例最高，中国活跃的挖矿团伙矿池主机占监控所有主机的比例为万分之0.03。

从受害主机层面来看，3月份一共有1908台不同主机参与到挖矿行为，无论从受害主机总数还是受害主机占所有监控主机数量比例进行统计，各天分布均较为平均，峰值都出现在3月30日，数据明显高于其余各天。从矿机地域分布来看，挖矿受害主机占所有监控主机数量比例最高的地区为台湾，明显高于大陆所有省份。从矿机行业分布来看，挖矿受害主机占所有监控主机数量比例最高的行业为金融行业，明显高于其他行业。

本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司（“绿盟科技”）。作为分享技术资讯的平台，绿盟科技期待与广大用户互动交流，并欢迎在标明出处（绿盟科技-技术博客）及网址的情形下，全文转发。
上述情形之外的任何使用形式，均需提前向绿盟科技（010-68438880-5462）申请版权授权。如擅自使用，绿盟科技保留追责权利。同时，如因擅自使用博客内容引发法律纠纷，由使用者自行承担全部法律责任，与绿盟科技无关。