近年来，虚拟货币借助区块链技术“东风”不断发展，币种层出不穷，价值日益攀升，导致参与虚拟货币“挖矿”活动的组织和个人趋之若鹜，“挖矿”活动呈现集中化、规模化。为消除虚拟货币“挖矿”活动盲目无序发展隐患，促进节能减排，实现“碳达峰、碳中和”目标，国家发展改革委等11部门发布《关于整治虚拟货币“挖矿”活动的通知》，严禁新增虚拟货币“挖矿”项目，加快存量项目有序退出。国家打击“挖矿”行为的决心可见一斑。随着“挖矿”活动列入淘汰产能目录，整治“挖矿”行为迫在眉睫，但由于“挖矿”行为具有隐蔽性、IP轮换快等技术特点，治理难点凸显。本文主要从虚拟货币“挖矿”行为识别方法和处置流程两个角度开展研究，尝试为打击虚拟货币“挖矿”活动提供治理新思路。

一、虚拟货币“挖矿”相关概念及主要活动类型

虚拟货币就是一种以网络为载体、脱离银行实体、具有P2P形式的加密数字货币。虚拟货币“挖矿”活动则是指通过矿机计算生产虚拟货币的过程。而所谓“矿工”是指用于虚拟货币“挖矿”活动的分布式记账技术（Distributed Ledger Technology）节点。对应的“矿池”则是多个“矿工”通过网络，共享计算能力的资源池。

常见的虚拟货币有比特币、莱特币、门罗币等。为更有效地获取各类虚拟货币，“挖矿”活动形式也不断发展，主要包括CPU“挖矿”、GPU“挖矿”、ASIC“挖矿”、硬盘存储“挖矿”、CDN“挖矿”、FPGA“挖矿”、云“挖矿”七种类型。“挖矿”活动中常见的设备按上述类型分类汇总，如下表所示。

表1  虚拟货币“挖矿”常见设备统计表

二、虚拟货币“挖矿”行为危害

虚拟货币“挖矿”活动已被列入国家淘汰产能目录，“挖矿”行为也必将对社会造成负面影响。首先，运行“挖矿”程序或脚本的主机存在CPU和GPU负载剧增、整机功耗增加等现象，消耗大量能源，产生大量碳排放，与我国“碳达峰、碳中和”的新发展理念背道而驰。其次，虚拟货币天生具有匿名性，虚拟货币渗入金融领域，将会扰乱金融秩序，逐渐滋生演化为非法转移资产、非法交易等灰黑色产业的“主阵地”。再者，虚拟货币“挖矿”活动猖獗，可次生激发“挖矿”病毒发展和传播，诱发组织机构重要数据泄露或其他更严重的网络安全事件。因此，研究一套行之有效的虚拟货币“挖矿”行为识别方法和处置流程迫在眉睫。

三、虚拟货币“挖矿”行为识别和处置流程

（一）线索分析和初步研判

虚拟货币“挖矿”的初步线索主要来源包括自主监测发现、第三方服务提供、信访举报、电力能耗监测数据异常的主体等方面。

1.分析研判自主监测发现的虚拟货币“挖矿”线索：综合分析“矿工”IP地址和端口、“矿池”IP地址和端口、通信时间、IP地址疑似物理位置、IP地址归属单位、币种、软件型号、提交次数等信息。

2.分析研判第三方服务提供的虚拟货币“挖矿”线索：综合分析参与“挖矿”的用户身份、“挖矿”收益、矿机IP及其所属物理位置、“挖矿”时间等信息。

3.分析研判信访举报的虚拟货币“挖矿”线索：综合分析举报的“挖矿”主体、“挖矿”物理位置、“挖矿”方式、“挖矿”时间、币种、软件型号等信息。

4.分析研判电力能耗监测数据异常的主体线索：综合分析比较主体用电量数据与同期、近期用电量数据，若严重与正常用电量不符，则视为疑似存在“挖矿”行为。

上述四类线索经研判核实后，若确定存在或疑似存在“挖矿”行为，则开展核查前准备工作，确定现场核查地点、范围、方式及团队等；若不存在“挖矿”行为，则出具研判报告，向提供线索的主体反馈研判结果。

（二）现场核查

开展现场核查工作，该部分包括对疑似虚拟货币“挖矿”设备外观进行分析研判、对疑似虚拟货币“挖矿”主体的计算机及相关设备进行核查研判、对疑似虚拟货币“挖矿”设备网络流量进行检测研判、现场数据备份留存和详细分析等关键环节。应全程录像并对涉事人员、关键设备、配件、文件等进行拍照，记录“挖矿”设备规格、工作状态和连接方式。

1.分析研判疑似虚拟货币“挖矿”设备外观

依据本文提出的虚拟货币“挖矿”种类，从外观查看（主要看设备型号）是否为专业虚拟货币“挖矿”设备。其中，常见的GPU“挖矿”设备大多数为无品牌的白壳机，内部装有多张显卡，也有部分商家在白壳机基础上贴牌。GPU“挖矿”主要使用显卡，一般从事大型GPU“挖矿”活动的主体将其伪装成服务器。常见的云“挖矿”可基于ASIC矿机、GPU矿机、CDN矿机等设备，只是所有权与使用方式不同，云“挖矿”模式主要分为托管“挖矿”、虚拟托管“挖矿”和租用算力三种，因此对于此类“挖矿”行为可通过核查涉事计算机及相关设备是否包含常用“挖矿”软件等方式进行研判。同时，对设备信息进行登记并拍照。虚拟货币“挖矿”常见设备详见上文表1。

2.核查研判疑似虚拟货币“挖矿”主体的计算机、相关设备、专用操作系统

首先，在相关设备开机状态下，对疑似虚拟货币“挖矿”主体的计算机及相关设备、专用操作系统进行检查。通过询问涉事人员、查看涉事电子邮箱等方式，收集“挖矿”活动相关的账号密码、配置数据。其次，登录疑似“挖矿”的通用设备，利用Process Monitor等进程监视工具等，并利用操作系统事件查看器中的日志，查找与“挖矿”软件相关的错误或警告，进而判断设备是否已安装或正在运行常用“挖矿”软件。若存在虚拟货币“挖矿”软件，则进一步定位“挖矿”软件安装目录，分析其配置文件，提取其中的“矿池”域名、IP、端口号,“挖矿”账户地址、矿机标识等信息并留存信息，同时可利用Chainalysis Storyline等区块链分析工具进一步追踪相关交易数据和交易模式。

常见虚拟货币“挖矿”软件有CGMiner、BFGMiner、EasyMiner、PhoenixMiner、Claymore's Dual Ethereum Miner、XMRig、Bitmain、Innosilicon Miner、Canaan Creative、Cudo Miner、NiceHash Miner等。

3.检测研判疑似虚拟货币“挖矿”设备网络流量

利用Wireshark、Fiddler、NetFlow分析工具等软件对流经核心交换的网络流量进行检测。检测内容包含：获取“挖矿”任务、尝试“挖矿”、“挖矿”成功、虚拟货币交易等行为，并留存上述信息。矿机一般利用GetBlockTemplate、Stratum、GetWork 等通信协议连接“矿池”，报文Payload字段中一般包含“mining”、“method”、“params”、“blob”、“difficulty”等特征字符，并伴有“矿池”登记、下发任务、提交成果等行为特征。随着技术发展，部分“挖矿”组织或个人独立部署“矿池”节点，隐藏“矿池”域名或仅允许矿机通过IP进行访问，更有甚者，利用混淆技术和加密技术，生成冗余通信流量，规避探测检查。但在该种交互方式下，为保证实时通信、避免重放，“矿工”与“矿池”会定时产生心跳行为，通过抓取分析心跳流量包的方式，可以有效监测甄别部分“挖矿”活动。此外，还可通过流量还原技术，依托虚拟沙箱，检测“挖矿”程序和“挖矿”木马，反向推演“矿工”、“矿池”等信息。

对疑似虚拟货币“挖矿”设备系统进行检测，主要使用系统的搜索功能，搜索“eth”、“btc”等关键字，当发现文件中出现涉及虚拟货币“挖矿”的关键字时，查看文件中是否存在虚拟货币“挖矿”脚本，通过脚本中记录的内容，提取其中记录的“矿池”地址、钱包地址、“矿工”名称等信息并形成记录。

在网络流量检测结果中，若设备存在“矿池”地址、钱包地址、“矿工”名称等信息，则确定该疑似虚拟货币“挖矿”设备存在虚拟货币“挖矿”行为；若设备不存在上述信息，则未检出虚拟货币“挖矿”行为。

由于国内网络限制，“挖矿”设备大多会配置代理地址或者转发地址，这些地址最终会连接对应币种的“矿池”地址。利用“矿池”扫描探测软件，识别访问的远程IP和端口是否属于“矿池”或者“矿池”代理服务，同时使用DNS监控工具捕获和分析与“挖矿”相关的域名解析请求。通过对涉事设备网络流量追溯分析，如发现涉事设备与“矿池”地址存在交互行为，则可判定相关设备存在“挖矿”行为，同时记录“矿池”或者“矿池”代理服务信息。

4.现场数据备份留存和详细分析

基于上述现场分析情况，备份留存现场数据，进一步开展深入分析。一是收集和备份重要数据和系统环境信息。导出相关系统日志、系统环境配置文件、浏览器历史记录，记录和导出涉事人员手机中已安装的“挖矿”工具、聊天记录等数据，并在相关设备开机状态下，整盘备份设备内存和硬盘数据。在实验室环境中，使用专门的工具对已备份的内存和硬盘镜像数据进行详细分析，恢复可能被删除的“挖矿”软件相关文件和临时文件。二是记录相关云服务商信息、云平台账号信息等，研判是否存在云“挖矿”。三是综合上述系统日志、配置文件、浏览器历史记录、涉事人员手机数据、云平台信息、内存和硬盘镜像数据，梳理“挖矿”活动证据链条。

（三）关联“挖矿”证据链并得出结论

首先，通过对疑似虚拟货币“挖矿”线索、设备信息和外观、网络流量、软件等综合分析研判掌握的信息进行关联，进而形成较为完整的虚拟货币“挖矿”活动证据链条。

其次，分析虚拟货币“挖矿”行为出现的原因，研判属于主动“挖矿”还是被动“挖矿”。常见的原因主要包括以下几类。一是政府或企业内部人员主动发起“挖矿”行为。内部人员依托政企办公场所的电力、计算资源、网络设备等便利条件，自主部署矿机，开展违规“挖矿”活动。该种行为属于主动“挖矿”。二是恶意网站页面隐藏“挖矿”脚本，利用浏览器资源“挖矿”。恶意网页通过插入用于“挖矿”的JS代码或其他“挖矿”脚本，诱导用户访问特定网页，控制用户终端“挖矿”，该“挖矿”模式可大大减少“挖矿”硬件成本。恶意网站归属者行为属于主动“挖矿”，网站访问者行为属于被动“挖矿”。三是PC机、服务器等终端设备感染“挖矿”病毒。网络攻击者利用通用漏洞、钓鱼邮件、爆破密码、捆绑软件、网页挂马等技术手段，控制批量终端，在受控终端设备中安装“挖矿”程序。网络攻击者行为属于主动“挖矿”，受控终端用户行为属于被动“挖矿”。

最后，出具研判报告，向提供线索的主体反馈研判结果，依法依规对开展虚拟货币“挖矿”活动的涉事主体进行处置。

（四）制止“挖矿”行为并建立预防机制

1.阻断“挖矿”通信流量和脚本进程活动

首先，利用已部署的防火墙、IPS、IDS等防护设备，结合公开的威胁情报，建立并配置“挖矿”恶意域名和恶意IP数据库或黑名单。防护设备对涉及上述数据库或黑名单中的域名或IP的网络流量实时拦截，阻止域名解析流程。其次，深度识别“挖矿”流量数据，抓取流量中Payload等字段内容，分离“挖矿”钱包等特征字段，生成监测规则，封堵“挖矿”通信数据。再者，边界防护设备和内网交换机协同联动，遏制“挖矿”病毒内网横向传播。由于“挖矿”病毒可能具备蠕虫化特点，内网其他设备具有感染病毒的风险，因此需要联动边界防护设备和内网交换机，收集交换机Sflow数据样本，在识别感染“挖矿”病毒的主机后，立即向交换机下发策略，下线中毒主机，阻断“挖矿”病毒内网横向传播。此外，还可利用Python Scikit-Learn等机器学习模块，训练机器学习模型，识别正常网络流量中的“挖矿”行为，积累构建“挖矿”行为模式识别库。

2.建立“挖矿”行为预防机制

首先，网络管理员、系统管理员、安全运维人员应该严格控制内网和外网隔离，有效划分网络逻辑区域，在不影响承载业务运行的情况下，及时安装信息系统、组件、服务的安全补丁或采取有效的替代缓解措施。其次，充分利用已部署的防护设备，正确启用防护设备的安全配置策略，分权限开启认证、授权、多因子凭证等功能。再者，加强单位人员网络安全意识，杜绝内部人员访问未经安全验证的网站或下载打开未经安全验证的文件和程序，避免感染“挖矿”病毒。最后，严格制定单位内部网络安全管理办法，具体职责落实到人，禁止内部人员安装“挖矿”程序或脚本，杜绝其发起主动“挖矿”行为。

四、结束语

随着虚拟货币应用场景日益扩大，其价格不断被炒作上升，其已逐步成为犯罪分子和网络黑客利益交易的主要载体。虽然主管部门对虚拟货币“矿工”、“矿池”、“矿场”打击力度逐年增大，但虚拟货币相关犯罪案件数量仍居高位。同时，目前的“挖矿”行为取证工作也面临诸多问题，如取证分析难度大、“挖矿”行为识别方法不规范、处置流程缺乏有效的实践标准等。本文主要以虚拟货币“挖矿”行为识别方法和处置流程为研究切入点进行技术探究，以期为管控虚拟货币“挖矿”活动提供新思路。

参考文献

[1]汤飞.恶意加密货币挖矿软件的检测与防御[D].西安电子科技大学,2020.DOI:10.27389/d.cnki.gxadu.2020.000881.

[2]赵文军.挖矿病毒处理案例分析及思考[J].现代信息科技,2020,4(12):145-147.DOI:10.19850/j.cnki.2096-4706.2020.12.045.

[3]彭晏飞,郭家隆,黄瑾,等.基于网络流量的挖矿币种识别方法研究[J/OL].计算机工程与应用,1-10[2024-07-17].http://kns.cnki.net/kcms/detail/11.2127.TP.20240709.1650.004.html.

[4]辛毅,高泽霖,黄伟强.挖矿木马的检测与防护技术分析[J].网络空间安全,2022,13(01):41-46.

[5]程叶霞,付俊,彭晋,等.区块链安全分析及针对强制挖矿的安全防护建议[J].信息通信技术与政策,2019,(02):45-51.