近年来，全球网络安全形势日益严峻。APT攻击、勒索病毒、采矿木马、供应链攻击等新的攻击手段多种多样，严重影响了数字化转型的过程。

根据腾讯安全团队发布的报告，在公共云攻击中，以“挖掘”为目的的侵略占54.9%。采矿木马的危害不容低估。它不仅会消耗公司的电力和服务器计算资源，还会对关键数据造成严重危害，导致更严重的安全问题，如数据泄漏和病毒感染。

9月6日，腾讯安全举办了“原发动机云原生安全实战加速舱”专题示范班，第一期以“如何有效破译挖掘进攻难点？“为主线，邀请腾讯云安全服务应急专家高志鹏、腾讯云本地安全产品专家赵志光分享腾讯云本地安全采矿保护的良好实践和实践演练，希望帮助公司建立更有效、更安全、更担心的云本地安全保护体系。

在公开课上，腾讯云安全服务应急专家高志鹏分享了“挖掘攻击常见技能与演示”的主题演讲，阐述了挖掘攻击的内涵和一般技能，并实际演示了挖掘攻击的路线。

01挖掘进攻和常见技能

据高志鹏介绍，“挖掘”是指通过实施工作量证明或实施其他类似的挖掘算法来获取数字货币。

据高志鹏介绍，“采矿”是指通过实施工作量证明或实施其他类似的采矿算法来获得数字货币。如果有人能在第一时间解释并提交标准答案，就可以将“采矿”与算术问题进行比较，并获得一定的奖励。而这种奖励延伸到现实中，就是所谓的数字货币，所有获得的过程都叫挖矿。

挖掘进攻的常用技巧包括

02挖矿进攻演试

比如前段时间流行的挖矿家族TeamTNT，主要分为三部分:第一部分是去公网扫描未经授权访问漏洞的主机，获得权限后，发布恶意脚本并嵌入挖掘程序。第二部分是保持权限，如伪造系统命令、创建用户载入SSH公钥等；第三部分是扩大结果，以侵略设备为跳板，组装masscan、pnscan这种端口扫描工具对外扫描公网其他主机的高危端口，进一步侵略。

云原生安全采矿场景良好

03挖矿场景介绍

04云业务防护问题及对策

云安全防范的难点在于开源项目广泛应用产生的Log4j2不断增加、shiro、fastjson等开源项目漏洞问题；云原生环境带来的容器逃逸、API设备不当、文件停留、命令执行等应用安全隐患；应用安全逐渐左移带来的安全运行整改难点；多端连接导致不同端上的保护粒度和处理对策不一致，容易被攻击者隐藏；CC攻击流量，多源低频CC、BOT爬虫等服务流量攻击增加造成的安全运行成本增加。

从“侦察/扫描-武器化交付-漏洞检测-工具组装”攻击队侵略--C&C--横向移动-持久化”各阶段的情况，防火墙的核心价值在于整理云财产曝光、边界保护、可追溯性反击、自动阻止非法外部链；WAF的核心理念是多级BOT流量管理，合理识别故意BOT流量，提高业务价值；主机安全的核心价值在于投资管理、密码破解、异常登录提醒、木马文档杀毒、合规基线、高风险漏洞检测和防御；安全运营中心的核心价值在于配备合规检查CSPM，全局财产整理、威协运营、敏感运营、自动编辑响应。

云原生安全防挖最好的安全实践

作为云上的流量安全中心和战略控制中心，腾讯云防火墙可实现SaaS一键交付，通过对网络财产暴露面的分析和攻击者视角的漏洞扫描，依靠防火墙ACL的积极监督、IPS高风险漏洞的虚拟补丁、全流量网络日志、故意外部链追溯和证据收集等服务，实现实时拦截和追溯证据收集。

主机/器皿安全-资产安全体系建设

根据人工智能技术的新一代主机安全防护系统，腾讯安全可以从“预防”开始→ 防御→检测→建立详细的主机安全防护体系。基本版本提供安全概述、主机目录、异常登录、密码破解等服务；标准版的关键是提供关键测试服务，包括投资管理、入侵测试、漏洞管理、高级防御等；旗舰版的关键是防御障碍 修复能力，包括侵略追溯可视化、云原生安全预警等。

安全服务-云原生托管服务

高智鹏：

首先，可以通过系统的过程文档来判断，如CPU超载，这是一个非常明显的情况；其次，可以从流量维度推断，因为在采矿后，采矿主机和矿石之间会进行通信。

对于如何处理，可以在采矿主机上检查一些关键的采矿过程，看看这些过程在哪些文件中，然后用腾讯安全服务主机安全隔离这些文件。

问题2：采矿的原理是什么？如何在没有安全工具的情况下保护它？