挖矿木马猖獗，我们怎能不做“矿工”？看这里

据工信部网站消息，网信办近日发布了《2018年第二季度网络安全威胁态势分析及工作总结》（以下简称《工作总结》），其中称，非法“挖矿”已经成为一个严重的网络安全问题。 通过对非法挖矿事件的持续跟踪分析，Safedog海清安全研究实验室先后发布了多份非法挖矿木马事件及病毒分析报告。

2017年是勒索病毒爆发的高峰期，勒索病毒感染率增长了40%。 主要驱动力是对 ms17-010 漏洞的恶意利用。 与此同时，挖矿木马也处于快速增长状态。 据悉，杀毒软件检测到的挖矿木马数量增长了8500%，2018年暴露的挖矿木马事件也在快速增长。 现在，除了勒索病毒，挖矿木马也成为用户不可忽视的安全威胁。

基于这一现状，安全狗海清安全研究实验室结合当前安全形势对挖矿木马进行了总结分析和研究，并梳理出相关解决方案，以帮助用户面对此类安全威胁。

一、蓬勃发展的“矿业”

与勒索软件为网络犯罪分子提供高额但一次性的利润相比，感染挖矿木马的矿工将提供较低但可持续的长期收益。 如今，围绕数字货币暗中形成了一条黑色产业链，即“黑矿业”（区别于合法矿工，以下简称矿业）。

“挖矿业”作为网络犯罪分子新的非法牟利手段，开始“挤占”勒索软件的市场份额。 勒索软件已经开始被商业网络犯罪分子所遗弃，取而代之的是复杂的挖矿木马。 勒索病毒是一种非常引人注目的直接从受害者身上非法获利的方式，会引起社会和媒体的广泛关注，给不法分子带来无法控制的后患，而“挖矿业”相对隐蔽性更强，道德负担更轻，更难检测。

这是一个简单的“挖矿业”模型

不法分子利用受控机器植入挖矿木马，进行数字货币挖矿。 数次转账后，通过交易将数字货币兑换成货币存入银行，犯罪分子再从银行提取现金。 （注：我国监管部门习惯使用“虚拟货币”一词，而专家学者常用“数字货币”来指代，而国外一般称其为“加密货币”。）

受害者的数量是一个非常重要的因素。 受害者越多，为挖矿提供的算力就越多，挖出的数字货币收益就越大。 在对挖矿木马的感染情况进行调查后，我们发现受害者的数量一直在上升。

图例显示从2016年4月到2018年3月，Safedog可以检测到的挖矿木马受害者数量增加

可见，遭遇挖矿木马的用户数量正在快速增加。 近年来，挖矿木马愈演愈烈。 原因是近年来数字货币的价格飙升。 比特币和山寨币的价格在2017年持续突破历史记录，虽然在相关监管机构的干预和强力打压后，数字货币大幅下挫，但依然有利可图，引诱黑客使用大量受害机器进行数字挖矿货币。

2、挖矿木马的多维度特征

海清安全研究实验室对分析过的挖矿木马和公开信息进行了归纳整理，得出以下几个维度的特征。

从木马的角度来看，有这些特点

1、黑客入侵后，直接将简单的开源程序及其配置文件（包括钱包地址等配置）传输到受害机器上，然后进行挖矿。

2、黑客修改开源程序，将配置文件、钱包地址等内置到可执行文件中，有时还会添加一些简单的shell； 钱包地址等配置可能会被加密，但仍然可以通过沙箱执行直接获取，但可能不完整，需要稍微深入分析才能获取到所有矿池和钱包地址相关的威胁信息。

3、性能与传统木马基本一致。 从整体上看，本案例中的挖矿木马可以分为持久化模块和挖矿模块。 如果出现多个杀毒软件无法清除的情况，则可能包含持久化模块。

下面是持久化机制的几个例子

4.挖矿蠕虫。 海清安全实验室监测到，两年前的光矿挖矿仍在广泛传播。 该蠕虫依靠弱口令、挂马、社会工程学等手段进行传播。 Wanna系列挖矿蠕虫也层出不穷。 由于ms17-010漏洞的广泛传播和利用，Wanna系列挖矿蠕虫的传染性远超以往的photominer等挖矿蠕虫。

至此，更多的挖矿蠕虫转向了整合各种漏洞进行传播的性质。 与之前的photominer等挖矿蠕虫相比，它们的危害更大，范围更广。

5.抓鸡和我的。 电脑被植入远程控制等后门后，攻击者可以通过远程控制执行命令或直接文件传输挖矿木马进行挖矿。 甚至还有一个自动种植挖矿程序，在抓鸡成功后进行挖矿。

之前发生过多次redis等挖矿事件，挖矿程序是通过客户端机器未授权访问redis认证的问题被植入的； 经过多台机器的测试，发现并没有黑客入侵活动的痕迹，可能只是刚好被黑客抓到鸡而已。 此外，隐藏后门的破解软件、劫持WiFi等都可以用来抓肉鸡挖矿。

6.结合尖端黑客技术

当powershell和WMI被大牛玩转的时候，挖矿木马开始结合黑客技术，紧跟其后。 已经有不少挖矿木马使用WMI和powershell作为辅助模块。 例如explorer挖矿木马，其核心模块是一个纯powershell脚本，运行该脚本即可远程下载挖矿模块进行挖矿，并进行一系列其他操作。

7.网络挖矿木马

该网站被攻击者恶意植入挖矿木马。 只要访问者通过浏览器浏览被恶意植入网页挖矿木马的站点页面，浏览器就会立即执行挖矿命令，从而成为僵尸矿机。 为网络挖矿木马植入者提供算力，间接为其生产虚拟货币，属于资源窃取攻击。 由于网络挖矿木马的广泛存在和非常好的经济效益。

8.移动设备挖矿木马

与勒索软件不同，移动挖矿木马针对的是发展中国家。 移动挖矿木马是一种新型威胁。 虽然移动端的威力不如传统服务器和个人PC，但由于用户数量庞大，用户安全意识薄弱，仍然不容忽视。

如下图所示，黑客利用软件市场和灰色软件分发植入挖矿木马的应用程序。

除了木马，黑客还可能利用矿池。 矿池是一个挖矿软件，结合大家的算力，然后根据大家提供的算力，平均分配挖到的币。 矿池挖矿的过程就是把我们自己电脑的算力提供给矿主。 矿主使用我们的算力进行挖矿。 算力的比例，我们把相应的扣税税率交到我们的钱包里。

黑客常用矿池分类

1、公有大型矿池

比如pool.minexmr.com等大型矿池。 直接连接矿池进行挖矿。 存在矿池与执法部门合作追捕黑客的风险。

2.自建代理（黑客常用）

通过自建代理转入大矿池，结合算力和大矿池挖矿。 这样既可以避免调查人员发现其背后的大型矿池，也可以避免大型矿池配合执法人员调查的风险。

3、自建矿池

一般情况下，黑客是不会这么做的，因为计算能力往往不够，同步区块链也比较困难。 在收入方面，可能会损失算力，但也不能完全排除这种可能性。

除了与挖矿直接相关的手段外，货币也是一个重要因素。 BTC、ETH、LTC、XRP、XMR……数字货币种类繁多。 但是黑客最喜欢哪一个呢？

据目前分析，最受黑客青睐的数字货币是门罗币（Xmr）、zcash、Dash等，这些货币保证了交易的匿名性，这对于网络犯罪分子来说非常方便，不用太担心被追踪到。

1.Xmr（门罗币）

Xmr 正在朝着匿名的方向运行。 它的匿名性在黑客中很受欢迎。 所有门罗币矿工在挖矿时都可以保持完全匿名，双方的身份和交易金额都是隐藏的。 因为它采用了一种叫做“环签名”的特殊签名方式，查询同一笔交易时会出现很多结果，仅通过查询结果无法看到具体的交易金额，也无法确定交易双方是谁.

2.零币

Zcash即Zcash，它采用零知识证明机制提供完全的支付保密性，是目前最匿名的数字资产。 目前Zcash匿名转账的时间比较长，大约需要20分钟。 网络可选择普通转账或匿名转账，影响隐私保护程度。

3. 破折号

Dash 中除了普通节点外，还有一个节点叫做“主节点”。 主节点可以提供一系列服务，例如匿名交易和即时支付。 想要进行匿名交易的交易者发起匿名申请，主节点进行混币，通常是三笔交易混在一起。

比如一张桌子的人，把自己的钱放在桌子上，混在一起，然后取回对应面值的钱，这样你就不知道你手里的钱是谁的了。 这是混币。 同样，混币之后，网络也不知道是谁把钱转给了谁。

根据海清安全实验室抓取和分析的样本，得出的结论是，大部分被挖出的币种是门罗币，其他币种很少。

门罗币等匿名货币受到黑客的欢迎主要有两个原因：

一是门罗币比比特币更匿名。 （不怕跟踪）

二是无需特定设备即可开采。 （低成本）

这两个原因使得黑客更倾向于挖掘门罗币等匿名货币，而不是比特币等其他货币。

三、未来安全趋势

1、挖矿木马与exploit结合更紧密

利用WebLogic漏洞挖矿事件、利用redis越权访问漏洞挖矿事件……这些迹象一再证明，一般产品的漏洞公布后，会迅速被不法分子大规模利用，迅速传播挖矿木马。

2、手机挖矿木马新威胁将愈演愈烈

挖矿木马在工作时，会导致手机产生大量热量，可能会损坏电池或其他元器件，导致挖矿鸡短命。 换句话说，牺牲了受害者设备的使用寿命。

挖矿业的进一步壮大可能导致移动端也成为非法挖矿的重灾区——目前移动端挖矿机器人正在持续增长，虽然速度依然稳定，但一旦不法分子找到技术解决方案，使得移动设备的挖矿收益与PC端挖矿收益相等，移动端挖矿将与PC端、服务器端一样成为非法挖矿的温床之一。

特别值得关注的是针对移动挖矿的犯罪分子的主要目标区域：中国和印度，这两个国家的智能手机数量约占全球的三分之一。 因此，如果智能手机挖矿真的起飞，这两个国家将特别脆弱。

3、变现成本降低，非法生产愈演愈烈

以往靠恶意软件或广告获利后，洗钱很费事，但数字货币普及后，简单几步就能直接变现收益。 由于门罗币等币种的匿名性，本身具有洗钱性质，不需要特定的挖矿设备，成本低。 这些因素对黑色生产非常有吸引力。

4、挖矿木马会越来越“沉默”

正如文章开头所言，“低调”是挖矿木马与勒索病毒的最大区别，挖矿木马已经从最早的疯狂挖矿模式瞬间耗尽矿工资源（极易被发现） and thus End the life cycle of miners), 现在小流小流的挖矿模式（智能控制矿机资源占用，实现长期隐匿）。

4.解决方案

从技术角度看，挖矿木马与其他大多数木马，如DDoS木马、远程控制木马等，没有本质区别，只是目的不同，所以防护方面有很多参考。

就对受害者的危害而言，挖矿木马并不比勒索病毒差多少，但勒索病毒太容易引起公众注意，但挖矿木马也需要提高警惕。 近日，海清安全实验室发现受害机同时被植入了勒索病毒和挖矿木马。 虽然大多数情况下挖矿木马只是窃取受害者的计算资源（即占用CPU资源），不会对受害者造成其他破坏性攻击，但严重时会严重影响受害者网站的用户体验，并且在从长远来看，相当于透支了受害者机器的使用寿命。

通过对挖矿木马特征及相关入侵事件的持续跟踪分析，安全狗提供的云眼产品可以提供一系列防御措施。

先发制人

1.检测并修复弱口令

提前检测并修改弱口令，使用弱口令进行传播的自动化工具，以弱口令作为传播途径重要组成部分的恶意代码将失去大部分战斗力。例如photominer使用FTP弱口令进行传播,常用的22端口和3389端口抓鸡等方法，对用户来说不会有效

2.制定严格的口岸管理策略

提前建立严格的端口管理策略，可以减少主机的攻击面，减少攻击向量，防止攻击者入侵内网后利用ms17-010漏洞等默认端口漏洞进行攻击。

退一步讲，即使用户感染了挖矿病毒，由于其严格的端口策略，挖矿木马仍然无法正常运行，降低了对业务的影响。

3.设置防爆策略

攻击者使用的自动化工具或类蠕虫挖矿木马大多内置爆破模块。 提前设置防爆破策略可以增加攻击者的攻击成本，记录爆破攻击事件，防止攻击者使用暴力破解业务系统，有效降低攻击者的成功率。

4、一键更新漏洞补丁

提前更新漏洞补丁比特币云采矿和广告收入，防范操作系统自身漏洞给业务系统带来的安全风险，抵御攻击者利用系统漏洞进行攻击的手段。

事件期间的实时防御和监控

1.防止篡改密钥注册表

阻断关键注册表篡改，阻断挖矿木马持久化模块，利用持久化机制有效防御挖矿木马，让挖矿木马轻松快速清除，不受影响被持久化机制干扰。

2.防止进程创建异常进程

防止进程产生异常行为，可利用业务系统漏洞进入机器植入挖矿木马。 自动防止挖矿木马的植入。

3、安全监控

通过监控网络中主机的进程、会话、资源等指标，发现异常可疑行为，如隐藏的挖矿木马行为，同时有助于及时发现正在进行的事件，减少挖矿木马对业务的影响。 影响。

4.威胁情报

结合威胁情报提供的远程控制或高危黑IP，及时感知正在进行的攻击行为和事件，掌握防御主动权。 防御者通过阻止攻击者的先进手段改变游戏规则，在入侵前的相关阶段切入，在已经发生或正在发生的事件中不断完善防御策略，甚至建立威胁情报驱动的响应机制。

病毒木马实时防御、检测和处置

1.实时防御恶意代码

实时阻断恶意代码运行，防止恶意代码入侵，有效及时提醒当前计算机安全状态。

2.检测恶意代码

检测业务系统中存在的恶意代码比特币云采矿和广告收入，及时查处隐藏在系统中的恶意代码，防范安全风险。

3.处理恶意代码

清理或隔离恶意代码，及时止损。

往期精彩文章：