最近，比特币挖矿设备中一个名为Antbleed的后门漏洞被披露出来，它可使比特币矿工远程关闭。那么，它是如何工作的？企业网络会发生同样的情况吗？企业如何扫描这种类型的漏洞？

Matthew Pascucci：最近，比特币挖矿提供商Bitmain Technologies因其颇受欢迎的加密生成矿工硬件的固件中存在后门漏洞而陷入水深火热之中。该漏洞被命名为Antbleed，其结合了Antminer模型和其他漏洞（例如Heartbleed），从而导致数据泄漏。

据估计，Bitmain在比特币挖矿中占有70％左右的市场份额，而且在大多数系统的固件中都存在这种漏洞，因而比特币行业普遍担心Bitmain正试图创建设备关系管理，甚或远程监控其客户。

Bitmain系统的固件是一个硬编码的域，可以访问auth.minerlink.com并在几分钟内进行检查，标注之间最长的时间间隔为11分钟。当发生此标注时，它会将MAC、IP地址甚至设备序列号发送到站点，如果无法连接到域，则设备停止挖矿。这是一个隐私问题，因为它可将个人信息（甚至是基于IP地址的设备的位置）发给不需要此数据的供应商。

连接本身是出站连接，如果没有特定源地址的防火墙是很难进行阻止的。许多隐私权倡导者对此提出担忧：Bitmain可能监控其客户。

该标注的另一个安全问题是其未经验证的性质，会导致该服务为域名系统劫持或中间人攻击敞开大门。如果这种攻击发生，或是在硬编码的站点上发生了分布式拒绝服务攻击，它可能会导致近70％的比特币矿工挖矿操作的功能失效。

为阻止这种情况的发生，但要保留继续挖矿的功能，矿工们已经努力在其localhost文件中创建自定义条目，将127.0.0.1指向auth.minerlink.com。这给了系统本地域解析，但限制其发送信息或关闭应用程序。

在看到Antbleed带来的闹剧后，Bitmain发表了一篇博文，解释了该系统标注的理由。根据其解释，这项功能将被引入，作为客户监控设备的一种方式，并关闭可能被盗或被劫持的矿工。它给出了‘反叛者’被拒绝或被劫持的多个例子。

根据Bitmain的博客文章，该功能旨在为拥有者提供关闭已经失去控制权的系统的能力。然而该功能并不成熟，并且被留在代码中，它是开源的，并由研究人员发现。它采取措施来修复受影响的产品的所有固件，并更新所有受影响的固件，以删除该功能。

固件攻击并不是什么新鲜事，思科和瞻博网络都曾在他们的设备上发现过恶意的固件攻击。Anthemed问题是否是恶意的还有待评论。防止这些攻击是非常困难的，通过引入基于行为的对企业网络的理解和标注并配以适当的分段和防火墙是防止数据被盗的唯一选择。

即使是这样，也很难实施精确的检测。在阻止这些类型的威胁方面尚有很长的路要走。