安全公告

1、什么是挖矿

挖矿是指利用计算机硬件，通过特定算法来计算并锁定虚拟货币，并进行收取的过程。用户通过挖矿，来积累虚拟货币，并通过虚拟货币交易所兑换为各国法定货币，从而实现收益的转换。区块链挖取的数字货币，可能是比特币，以太坊等热门货币，也有可能是一些冷门的山寨货币。挖矿木马一般分为网页挖矿和可执行文件挖矿两类。

2、挖矿木马一般渗透过程

（1）攻击者通过弱口令爆破、系统和应用漏洞、僵尸网络、盗版软件/游戏捆绑木马等方式入侵被害主机。
（2）攻击者在入侵成功一台主机后，使用NSA工具包、Hacktool等进行内网横向渗透，控制更多主机。
（3）攻击者在入侵主机上安装诸如XMRRig等挖矿程序，并通过修改操作系统计划任务，启动项等行为控制受害主机进行挖矿。
（4）攻击者还可以通过卸载防护软件，修改常用top、ps等命令方式掩盖挖矿行为。

3、如何对挖矿木马进行自查
（1）收集矿池情报，并在网络出口处进行封禁；也可以通过在内网防火墙或校内DNS服务器接入云端安全DNS的方式，通过云端安全DNS提供的矿池情报准确发现挖矿情况。
（2）对挖矿协议进行分析，诸如Stratum、Getwork等挖矿协议使用非加密方式进行传输，可以通过在网络出口处部署IDS等流量监测设备发现校内挖矿主机和矿池地址。
（3）对主机行为进行分析，通过在服务器、主机上部署监测终端（如zabbix），可以发现CPU、GPU等异常情况，及时进行挖矿木马的检测。一般挖矿木马所在主机CPU占用率长期较高，特征较为明显。但最近也出现了占用硬盘进行挖矿的木马，因此也需要对硬盘占用情况进行监测。

在4月6日晚，各大安全论坛反映一款新型病毒(WannaRen)突然爆发，该病毒机制和2017年流行的Wannacry勒索病毒类似，在激活后会加密Windows系统中几乎所有文件，后缀为.WannaRen，根据目前的测试情况，目前主流杀毒软件都无法检测出该病毒。请根据目前的实验情况，win10操作系统均有可能会感染该病毒。

请大家提高警惕，避免从网上下载可疑文件。我们会进一步分析该病毒，并给出避免感染该病毒的措施。

近期监测发现：有黑客组织APT41对TeamViewer进行了网络攻击，并成功拿下TeamViewer的后台管理系统，使得黑客组织可以访问并控制任何安装了TeamViewer的客户端。

建议防护措施：

1.近期停止使用TeamViewer软件在防火墙中禁止用于TeamViewer 远程通讯端口 5938

2.打开防火墙，设置禁止teamviewer.com 访问

3. 网管在路由器开启权限，禁止teamviewer.com进出

4. 近期停止使用TeamViewer远程管理软件

鉴于上述情况可能引发安全事件，请各学校开展相应检查工作。

Magento是美国Magento公司的一套开源的PHP电子商务系统。该系统提供权限管理、搜索引擎和支付网关等功能。