网络警察(通常简称“网警”)在发现非法挖矿活动的过程中会采用多种技术和方法。以下是一些常见的手段和技术:

1. 系统监控与分析:

- 资源使用情况:持续监控CPU、GPU使用率及内存使用情况。挖矿软件通常会导致这些资源的使用率异常升高。

- 网络流量分析:监测异常的网络流量模式,比如频繁访问特定的矿池服务器或非正常的数据传输。

- 系统日志审查:检查系统日志文件,寻找未经授权的程序启动记录或异常的进程行为。

2. 手动排查:

- 程序列表检查:通过查看正在运行的程序和服务,识别可疑的应用程序或进程。

- 任务管理器:使用Windows任务管理器或其他操作系统的类似工具来查找占用资源较高的未知进程。

3. 网络层面的检测:

- 端口扫描:扫描已知与挖矿相关的端口,如3333、6688、4444等,以确定是否有可疑的网络连接。

- 防火墙和IDS/IPS:配置防火墙规则和入侵检测/防御系统(IDS/IPS),阻止或标记出站到已知矿池地址的连接。

4. 专用工具和软件:

- 反挖矿工具:使用专门设计用于检测和移除挖矿恶意软件的安全工具。

- 安全基线:建立正常系统行为的基准,以便更容易识别异常活动。

5. 物理检查:

- 对于实体设施内的计算机,进行物理检查,寻找额外的硬件设备,例如专为挖矿设计的ASIC芯片或显卡。

6. 用户报告:

- 用户可能会注意到计算机性能下降、过热或噪音增加等问题,并向IT支持或安全团队报告。

7. 内部监控与审计:

- 定期进行安全审计和合规性检查,以确保所有系统都符合安全标准。

当网警发现挖矿活动时,他们还会追踪攻击者使用的IP地址、域名以及其他线索,以确定攻击来源,并采取相应的法律行动。此外,对于大规模的挖矿活动,网警可能会与其他执法机构合作,进行更深入的调查。

近日,盐城警方成功破获一起由张某堂主谋的黑客案件,该团伙利用黑客技术非法控制计算机信息系统。此次行动中,警方查获了专门定制的木马U盘475个及一套黑客程序源代码。据悉,当地一家网吧因电脑运行异常缓慢而报警求助,其电脑在启动时即出现高达70%以上的系统资源占用率,严重影响了顾客的游戏体验和日常使用。警方调查后发现,所有问题均源于被秘密插入电脑主机的不明U盘,这些U盘会自动运行挖矿程序,消耗大量计算资源。

百日行动 | 为啥网吧电脑集体变慢? 竟因木马在“挖矿”!

我是XX在线网吧老板

我家网吧

交通方便,装修豪华

电脑配置优越

给每位顾客飞一般的网速

家一般的呵护

可不知怎的

我家网吧最近总接到顾客投诉

团战必卡、屡送“人头”

害得顾客被骂是“猪”队友

明明是顶配电脑

重启、重装全无疗效

不如报警吧

我们一起把谜底揭晓

按照夏季治安打击整治“百日行动”工作部署,近日,盐城网安成功捣毁一个以张某堂为首的利用黑客技术实施非法控制计算机信息系统的黑客团伙,查扣定制木马U盘475个,黑客程序源代码1套。

疑点:网吧电脑集体中毒

今年7月,江苏盐城一网吧老板报警称:网吧电脑十分异常,疑似被植入了病毒——电脑运行速度变得奇慢无比,别说是运行网络游戏,就连正常的上网搜索都非常卡。

更为离奇的是,电脑只要一开机,哪怕不运行任何程序,电脑系统资源的占有率就已经达到70%以上。后经自检发现,网吧内电脑主机上均被插上了不明来源的U盘。

出手:网警细查发现“病因”

盐城网安部门接到报警后,立即展开调查。

民警发现这些可疑U盘插入主机后,电脑会其默认识别为键盘,具有极高的隐蔽性和伪装性,一般用户很难察觉。

随后,U盘内程序便开始自动隐蔽运行挖矿程序。

网警小课堂:挖矿是什么?

网上的“挖矿”,指的是“矿工”根据设计者提供的开源软件,提供一定的计算机运算力,通过复杂的数学运算,求得方程式特解的过程,求得特解的“矿工”可以得到特定数量的比特币等虚拟货币奖励。

而所需的“铲子”就是配置较高,运算速度足够快的计算机,“矿工”也就是操纵电脑的使用者。

亮剑:警方出击揪出“黑手”

深入调查后警方查明:自2022年6月起,淮安籍犯罪嫌疑人张某堂、刘某波、戴某新便开始商讨如何利用网吧高配电脑挖矿赚钱,后通过境外通联工具勾连河北籍黑客魏某、曹某,以38800元的价值定制了475个木马U盘。

该U盘仅指甲盖大小,可伪装成键盘、鼠标等外设,并自动静默各类定制程序,运行具有很高的隐蔽性。为便于通过后台及时掌握矿池挖矿情况,主犯张某堂还特别要求曹某在编写了程序时为每个U盘进行编号。

收到U盘后,张某堂等三人分别驾车赴扬州、盐城、淮安等地寻找电竞酒店、连锁网吧35家,偷装U盘188个实施非法控制电脑进行挖矿。

短短半个多月的时间,三人便非法牟利4万余元。在张某堂看来,借鸡生蛋的大买卖才刚刚开始,殊不知一幅天罗地网已在其身后徐徐展开。

在充分掌握该黑客团伙犯罪事实后,盐城网安部门立即开展集中收网行动,成功抓获5名犯罪嫌疑人。

目前该5人均因涉嫌非法控制计算机信息系统罪被刑事拘留。

非法控制计算机信息系统:违反国家规定,侵入国家事务、国防建设、尖端科学技术领域以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

来源:公安部网安局

责任编辑:陶小艾