挖礦木馬為什么會(huì)成為病毒木馬的中流砥柱？？？

挖礦木馬為什么會(huì)成為病毒木馬的中流砥柱？？？

　　一、概述
　　根據(jù)情報(bào)中心監(jiān)測(cè)數(shù)據(jù)，2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬(wàn)級(jí)別，且上半年呈現(xiàn)快速增長(zhǎng)趨勢(shì)，下半年上漲趨勢(shì)有所減緩。由于挖礦的收益可以通過(guò)數(shù)字加密貨幣系統(tǒng)結(jié)算，使黑色產(chǎn)業(yè)變現(xiàn)鏈條十分方便快捷，少了中間商(洗錢(qián)團(tuán)伙)賺差價(jià)。數(shù)字加密幣交易系統(tǒng)的匿名性，給執(zhí)法部門(mén)的查處工作帶來(lái)極大難度。
　　在過(guò)去的2018年，挖礦病毒的流行程度已遠(yuǎn)超游戲盜號(hào)木馬、遠(yuǎn)程控制木馬、網(wǎng)絡(luò)劫持木馬、感染型病毒等等傳統(tǒng)病毒。以比特幣為代表的虛擬加密幣經(jīng)歷了過(guò)山車(chē)行情，許多礦場(chǎng)倒閉，礦機(jī)跌落到輪斤賣(mài)的地步。但即使幣值已大幅下跌，挖礦木馬也未見(jiàn)減少。因?yàn)榭刂扑说娜怆u電腦挖礦，成本為零。
　　當(dāng)電腦運(yùn)行挖礦病毒時(shí)，計(jì)算機(jī)CPU、GPU資源占用會(huì)上升，電腦因此變得卡慢，如果是筆記本電腦，會(huì)更容易觀察到異常：比如電腦發(fā)燙、風(fēng)扇轉(zhuǎn)速增加，電腦噪聲因此增加，電腦運(yùn)行速度也因此變慢。但是也有挖礦木馬故意控制挖礦時(shí)占用的CPU資源在一定范圍內(nèi)，并且設(shè)置為檢測(cè)到任務(wù)管理器時(shí)，將自身退出的特性，以此來(lái)減少被用戶發(fā)現(xiàn)的幾率。
　　根據(jù)情報(bào)中心監(jiān)測(cè)數(shù)據(jù)，2018年挖礦木馬樣本月產(chǎn)生數(shù)量在百萬(wàn)級(jí)別，且全年呈現(xiàn)增長(zhǎng)趨勢(shì)。
　　我們對(duì)2018年挖礦病毒樣本進(jìn)行歸類(lèi)，對(duì)挖礦木馬使用的端口號(hào)、進(jìn)程名、礦池的特點(diǎn)進(jìn)行統(tǒng)計(jì)，發(fā)現(xiàn)以下特點(diǎn)：
　　挖礦木馬最偏愛(ài)的端口號(hào)依次為3333、8008、8080。
　　挖礦木馬喜歡將自身進(jìn)程名命名為系統(tǒng)進(jìn)程來(lái)迷惑用戶，除了部分挖礦進(jìn)程直接使用xxxminer外，最常使用的進(jìn)程名為windows系統(tǒng)進(jìn)程名：svchost.exe以及csrss.exe。
　　挖礦木馬連接礦池挖礦，從礦池獲取任務(wù)，計(jì)算后將任務(wù)提交到礦池。礦工將自己的礦機(jī)接入礦池，貢獻(xiàn)自己的算力共同挖礦，共享收益。2018年挖礦木馬應(yīng)用最廣泛的礦池為f2pool.com，其次為minexmr.com。
　　二、2018年挖礦木馬傳播特點(diǎn)
　　1.瞄準(zhǔn)游戲高配機(jī)，高效率挖礦
　　輔助外掛是2018年挖礦木馬最喜愛(ài)的藏身軟件之一。由于游戲用戶對(duì)電腦性能要求較高，不法分子瞄準(zhǔn)游戲玩家電腦，相當(dāng)于找到了性能“絕佳”的挖礦機(jī)器。
　　案例1：tlMiner挖礦木馬利用《絕地求生》玩家的高配置機(jī)器，搭建挖礦集群
　　2017年年底殺毒軟件發(fā)現(xiàn)一款名為“tlMiner”的挖礦木馬，隱藏在《絕地求生》輔助程序中進(jìn)行傳播，單日影響機(jī)器量最高可達(dá)20萬(wàn)臺(tái)。經(jīng)溯源分析發(fā)現(xiàn)，該木馬在2017年12月8號(hào)輔助新版發(fā)布后開(kāi)始植入輔助工具，其間有過(guò)停用，但巨大的利益驅(qū)使不法分子在12月25號(hào)重新開(kāi)放輔助及挖礦功能。
　　2018年1月殺毒軟件對(duì)tlMiner挖礦行為及傳播來(lái)源進(jìn)行曝光，隨即在3月份配合守護(hù)者計(jì)劃安全團(tuán)隊(duì)，協(xié)助山東警方快速打擊木馬作者，并在4月初打掉這個(gè)鏈條頂端的黑產(chǎn)公司。據(jù)統(tǒng)計(jì)，該團(tuán)伙合計(jì)挖掘DGB(極特幣)、HSR(紅燒肉幣)、XMR(門(mén)羅幣)、SHR(超級(jí)現(xiàn)金)、BCD(比特幣鉆石)等各種數(shù)字加密貨幣超過(guò)2000萬(wàn)枚，非法獲利逾千萬(wàn)。
　　案例2：藏身《荒野行動(dòng)》輔助的挖礦木馬
　　2018年2月，殺毒軟件發(fā)現(xiàn)一款門(mén)羅幣挖礦木馬藏身在上百款《荒野行動(dòng)》輔助二次打包程序中傳播，并在2月中下旬通過(guò)社交群、網(wǎng)盤(pán)等渠道傳播，出現(xiàn)明顯上漲趨勢(shì)。
　　2018年6月，致力于傳播勒索病毒的病毒作者xiaoba也盯上了《荒野求生》輔助外掛，在網(wǎng)站xiaobaruanjian.xyz上提供荒野行動(dòng)游戲輔助，并將挖礦木馬等植入其中。一旦從該網(wǎng)站下載運(yùn)行所謂的吃雞輔助，電腦CPU會(huì)被大量占用挖礦。
　　如果碰巧遇到中毒電腦有比特幣、以太坊交易，xiaoba挖礦木馬還會(huì)監(jiān)視剪切板，當(dāng)中毒電腦上發(fā)生比特幣、以太坊幣交易時(shí)，病毒會(huì)在交易瞬間將收款人地址替換為自己的，從而實(shí)現(xiàn)加密貨幣交易搶劫。
　　案例3：通殺游戲外掛的520Miner挖礦木馬
　　2018年5月情報(bào)中心感知到一款名為“520Miner”的挖礦木馬。由于520Miner僅能使用CPU挖取VIT幣，對(duì)電腦性能要求不高，所有個(gè)人PC機(jī)都能參與，因此520Miner挖礦團(tuán)伙通過(guò)游戲外掛傳播挖礦木馬，在上線短短兩天，就感染了國(guó)內(nèi)數(shù)千臺(tái)機(jī)器。然而從收益來(lái)看，木馬在幾天內(nèi)總共挖取67枚VIT幣，總價(jià)值不到一毛錢(qián)人民幣，可以說(shuō)是史上最能窮折騰的挖礦木馬。
　　2.應(yīng)用獨(dú)特技術(shù)逃避攔截
　　案例1：“美人蝎”礦工通過(guò)DNS隧道技術(shù)逃避攔截
　　2018年5月情報(bào)中心感知到一款挖礦木馬，其隱藏在美女圖片當(dāng)中，利用圖片加密傳遞礦池相關(guān)信息，因此得名為“美人蝎”挖礦木馬。該木馬控制超過(guò)2萬(wàn)臺(tái)肉雞電腦，分配不同的肉雞集群挖不少于4種數(shù)字加密幣：BCX(比特?zé)o限)，XMR(門(mén)羅幣)，BTV(比特票)，SC(云儲(chǔ)幣)等。
　　木馬特點(diǎn)還在于通過(guò)DNS隧道返回的信息來(lái)獲取隱蔽的C2信息。首先通過(guò)DNS協(xié)議訪問(wèn)一級(jí)C2，第一級(jí)C2服務(wù)器會(huì)回應(yīng)一段text串，解密后得到二級(jí)C2地址，DNS協(xié)議是建立在UDP協(xié)議之上，同時(shí)又是系統(tǒng)級(jí)協(xié)議，很少有殺軟會(huì)偵測(cè)DNS數(shù)據(jù)是否異常。
　　3.挖礦木馬版本快速升級(jí)
　　案例1：Apache Struts2高危漏洞致企業(yè)服務(wù)器被入侵安裝KoiMiner挖礦木馬
　　2018年7月情報(bào)中心發(fā)現(xiàn)有黑客利用攻擊工具檢測(cè)網(wǎng)絡(luò)上存在Apache struts2漏洞(CVE-2017-5638)服務(wù)器，發(fā)現(xiàn)存在漏洞的機(jī)器后通過(guò)遠(yuǎn)程執(zhí)行各類(lèi)指令進(jìn)行提權(quán)、創(chuàng)建賬戶、系統(tǒng)信息搜集，然后將木馬下載器植入，進(jìn)而利用其下載挖礦木馬netxmr4.0.exe。
　　由于挖礦木馬netxmr解密代碼后以模塊名“koi”加載，因此將其命名為KoiMiner。
　　通過(guò)多個(gè)相似樣本進(jìn)行對(duì)比，發(fā)現(xiàn)木馬作者在一個(gè)月內(nèi)更新發(fā)布了4個(gè)挖礦木馬版本。
　　簡(jiǎn)單介紹下變化較大的兩個(gè)版本：
　　版本1：

　　2018年11月情報(bào)中心發(fā)現(xiàn)KoiMiner挖礦木馬變種，該變種的挖礦木馬已升級(jí)到6.0版本，木馬作者對(duì)部分代碼加密的方法來(lái)對(duì)抗研究人員調(diào)試分析，木馬專門(mén)針對(duì)企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊，攻擊成功后植入挖礦木馬，并且繼續(xù)下載SQL爆破工具進(jìn)行蠕蟲(chóng)式傳播。
　　版本2：
　　2018年12月情報(bào)中心再次檢測(cè)到KoiMiner活動(dòng)，此次的樣本仍然專門(mén)針對(duì)企業(yè)SQL Server 服務(wù)器的1433端口爆破攻擊，攻擊成功后會(huì)首先植入Zegost遠(yuǎn)程控制木馬(知名遠(yuǎn)控木馬Gh0st的修改版本，安裝后會(huì)導(dǎo)致服務(wù)器被黑客完全控制)，控制機(jī)器進(jìn)一步植入挖礦木馬。 黑客攻擊時(shí)使用的SQL爆破工具CSQL.exe加密方法與7月發(fā)現(xiàn)的樣本一致，解密后以模塊名“koi”加載執(zhí)行。
　　通過(guò)SQL爆破工具的解壓路徑“1433騰龍3.0”進(jìn)行溯源，發(fā)現(xiàn)與攻擊事件相關(guān)聯(lián)的一個(gè)黑客技術(shù)論壇(騰龍技術(shù)論壇)，并通過(guò)信息對(duì)比確認(rèn)相關(guān)的論壇活躍成員“*aoli**22”，論壇傳播的挖礦木馬生成器“SuperMiner v1.3.6”,以及該成員注冊(cè)C2域名使用的姓名和電話號(hào)碼。
　　4.暴力入侵多家醫(yī)院，威脅醫(yī)療系統(tǒng)信息安全
　　案例：多家三甲醫(yī)院服務(wù)器遭暴力入侵，黑客趕走50余款挖礦木馬獨(dú)享挖礦資源
　　醫(yī)療業(yè)務(wù)系統(tǒng)正在快速實(shí)現(xiàn)信息化，醫(yī)療業(yè)務(wù)系統(tǒng)成為黑客攻擊的重點(diǎn)。2018年7月情報(bào)中心檢測(cè)到多家三甲醫(yī)院服務(wù)器被黑客入侵，攻擊者暴力破解醫(yī)院服務(wù)器的遠(yuǎn)程登錄服務(wù)，之后利用有道筆記的分享文件功能下載多種挖礦木馬。
　　攻擊者將挖礦木馬偽裝成遠(yuǎn)程協(xié)助工具Teamviewer運(yùn)行，并且挖礦木馬會(huì)檢測(cè)多達(dá)50個(gè)常用挖礦程序的進(jìn)程，將這些程序結(jié)束進(jìn)程后獨(dú)占服務(wù)器資源挖礦。木馬還會(huì)通過(guò)修改注冊(cè)表，破壞操作系統(tǒng)安全功能：禁用UAC(用戶帳戶控制)、禁用Windows Defender，關(guān)閉運(yùn)行危險(xiǎn)程序時(shí)的打開(kāi)警告等等。已知樣本分析發(fā)現(xiàn)，攻擊者使用的挖礦木馬擁有多個(gè)礦池，開(kāi)挖的山寨加密幣包括：門(mén)羅幣(XMR)、以太坊(ETH)、零幣(ZEC)等等，從礦池信息看，目前攻擊者已累積獲利達(dá)40余萬(wàn)元人民幣。
　　5.應(yīng)用NSA武器攻擊，木馬、蠕蟲(chóng)狼狽為奸
　　自從NSA武器庫(kù)工具泄露以來(lái)，一直倍受黑客垂青，該工具包經(jīng)過(guò)簡(jiǎn)單的修改利用便可達(dá)到蠕蟲(chóng)式傳播病毒的目的。2018年情報(bào)中心發(fā)現(xiàn)大量的挖礦木馬團(tuán)伙應(yīng)用NSA武器庫(kù)工具傳播挖礦木馬，這使挖礦木馬擁有蠕蟲(chóng)病毒的傳播能力。
　　案例1：精通NSA十八般兵器的NSAFtpMiner感染約3萬(wàn)臺(tái)電腦
　　2018年9月情報(bào)中心發(fā)現(xiàn)黑客通過(guò)1433端口爆破入侵SQL Server服務(wù)器，再植入遠(yuǎn)程控制木馬并安裝為系統(tǒng)服務(wù)，然后利用遠(yuǎn)程控制木馬進(jìn)一步加載挖礦木馬進(jìn)行挖礦。隨后，黑客還會(huì)下載NSA武器攻擊工具在內(nèi)網(wǎng)中攻擊擴(kuò)散，若攻擊成功，會(huì)繼續(xù)在內(nèi)網(wǎng)機(jī)器上安裝該遠(yuǎn)程控制木馬。
　　木馬加載的攻擊模塊幾乎使用了NSA武器庫(kù)中的十八般武器：
　　Eternalblue(永恒之藍(lán))、Doubleplsar(雙脈沖星)、EternalChampion(永恒冠軍)、Eternalromance(永恒浪漫)、Esteemaudit(RDP漏洞攻擊)等漏洞攻擊工具均被用來(lái)進(jìn)行內(nèi)網(wǎng)攻擊，攻擊主進(jìn)程偽裝成“Ftp系統(tǒng)核心服務(wù)”，還會(huì)利用FTP功能進(jìn)行內(nèi)網(wǎng)文件更新。其攻擊內(nèi)網(wǎng)機(jī)器后，植入遠(yuǎn)程控制木馬，并繼續(xù)從C2地址下載挖礦和攻擊模塊，進(jìn)行內(nèi)網(wǎng)擴(kuò)散感染。
　　案例2：NSABuffMiner挖礦木馬霸占某校園服務(wù)器，非法獲利115萬(wàn)元
　　2018年9月情報(bào)中心接到用戶反饋，某學(xué)校內(nèi)網(wǎng)水卡管理服務(wù)器被植入名為rundllhost.exe的挖礦木馬。分析后發(fā)現(xiàn)該木馬是NSASrvanyMiner挖礦木馬的變種，此木馬同樣利用NSA武器工具在內(nèi)網(wǎng)攻擊傳播，而該服務(wù)器存在未修復(fù)的ms17-010漏洞，因此受到攻擊被利用挖礦。查詢NSABuffMiner挖礦木馬使用錢(qián)包信息，發(fā)現(xiàn)該錢(qián)包累計(jì)挖礦收益高達(dá)115萬(wàn)元人民幣。
　　案例3：ZombieboyMiner(僵尸男孩礦工)控制7萬(wàn)臺(tái)電腦挖門(mén)羅幣
　　2018年10月情報(bào)中心檢測(cè)到利用ZombieboyTools傳播的挖礦木馬家族最新活動(dòng)。木馬對(duì)公開(kāi)的黑客工具ZombieboyTools(集成NSA攻擊模塊)進(jìn)行修改，然后將其中的NSA攻擊模塊進(jìn)行打包利用，對(duì)公網(wǎng)以及內(nèi)網(wǎng)IP進(jìn)行攻擊，并在中招機(jī)器執(zhí)行Payload進(jìn)一步植入挖礦、RAT(遠(yuǎn)程訪問(wèn)控制)木馬。
　　通過(guò)對(duì)比確認(rèn)從2017年9月以來(lái)多家廠商發(fā)布的Zombieboy攻擊事件以及友商發(fā)布的NSASrvanyMiner攻擊事件為同一團(tuán)伙，因此我們將該團(tuán)伙命名為ZombieboyMiner。情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，ZombieboyMiner(僵尸男孩礦工)木馬出現(xiàn)近一年來(lái)，已感染超過(guò)7萬(wàn)臺(tái)電腦，監(jiān)測(cè)數(shù)據(jù)表明該病毒非?；钴S。
　　6.同時(shí)針對(duì)多個(gè)平臺(tái)進(jìn)行攻擊、植入不同版本的挖礦木馬
　　2018年11月御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn)一個(gè)雙平臺(tái)挖礦木馬，該木馬具有Windows和Android雙平臺(tái)版本，在中毒電腦和手機(jī)上運(yùn)行門(mén)羅幣挖礦程序。其Windows版本使用有合法數(shù)字簽名的文件借助游戲下載站傳播，木馬的Android版本則偽裝成Youtube視頻播放器，當(dāng)中毒用戶在手機(jī)上看Youtube視頻時(shí)，病毒會(huì)在后臺(tái)運(yùn)行門(mén)羅幣挖礦程序，從而令手機(jī)發(fā)熱增加，續(xù)航縮短。
　　2018年12月御見(jiàn)威脅情報(bào)中心通過(guò)蜜罐系統(tǒng)部發(fā)現(xiàn)了利用Aapche Struts2-045(CVE-2017-5638)漏洞攻擊Linux服務(wù)器,并通過(guò)計(jì)劃任務(wù)植入的挖礦木馬。并通過(guò)進(jìn)一步分析發(fā)現(xiàn)了針對(duì)Windows系統(tǒng)和Linux系統(tǒng)進(jìn)行攻擊的挖礦木馬，且不同平臺(tái)的挖礦木馬最終均使用了相同的礦池及錢(qián)包。
　　7.利用網(wǎng)頁(yè)掛馬，大范圍傳播
　　挖礦木馬的傳播渠道不限于通過(guò)偽裝成電腦軟件下載，還普遍采用了網(wǎng)頁(yè)掛馬這種最高效率的傳播方式，而以往利用網(wǎng)頁(yè)掛馬傳播最多的是盜號(hào)木馬。
　　案例1：廣告聯(lián)盟的分發(fā)系統(tǒng)被掛馬，傳播挖礦木馬等病毒
　　2018年4月12日，情報(bào)中心監(jiān)測(cè)到國(guó)內(nèi)一起大規(guī)模的網(wǎng)頁(yè)掛馬事件。當(dāng)天包括多款知名播放器軟件、視頻網(wǎng)站客戶端、常見(jiàn)的工具軟件在內(nèi)的50余款用戶量千萬(wàn)級(jí)別的電腦軟件遭遇大規(guī)模網(wǎng)頁(yè)掛馬攻擊。
　　攻擊者將攻擊代碼通過(guò)某廣告聯(lián)盟的系統(tǒng)主動(dòng)分發(fā)帶毒頁(yè)面，而這個(gè)帶毒頁(yè)面被內(nèi)嵌在50余款千萬(wàn)級(jí)別用戶群的常用軟件中，這些用戶的電腦一開(kāi)機(jī)會(huì)主動(dòng)連網(wǎng)下載廣告資源，電腦會(huì)因此下載若干個(gè)病毒，其中就包括挖礦病毒。殺毒軟件當(dāng)天攔截超過(guò)20萬(wàn)次病毒下載。
　　案例2：色情網(wǎng)站被掛馬，利用Flash高危安全漏洞植入挖礦木馬
　　此外，情報(bào)中心還監(jiān)測(cè)到一款挖礦病毒感染量異常增高，經(jīng)病毒溯源分析發(fā)現(xiàn)，受害者電腦上的挖礦木馬均來(lái)自某些打著“人體藝術(shù)”旗號(hào)的色情網(wǎng)站。
　　當(dāng)網(wǎng)民瀏覽這些網(wǎng)站時(shí)，由于部分系統(tǒng)存在Flash高危安全漏洞，打開(kāi)網(wǎng)頁(yè)會(huì)立刻中毒。之后，受害者電腦便會(huì)運(yùn)行挖礦代碼，電腦淪為一名礦工。攻擊者會(huì)控制大量礦工電腦集中算力挖礦，并以此牟利。
　　8.入侵控制企業(yè)服務(wù)器，組建僵尸網(wǎng)絡(luò)云上挖礦
　　隨著各種數(shù)字加密貨幣的挖礦難度越來(lái)越大，通過(guò)普通用戶的個(gè)人電腦難以實(shí)現(xiàn)利益最大化。而實(shí)施短時(shí)間內(nèi)的大范圍挖礦，除了網(wǎng)頁(yè)掛馬，最普遍的作法就是控制肉雞電腦組建僵尸網(wǎng)絡(luò)挖礦。服務(wù)器性能強(qiáng)、24小時(shí)在線的特征，吸引更多不法礦工將攻擊目標(biāo)轉(zhuǎn)向企業(yè)、政府機(jī)構(gòu)、事業(yè)單位的服務(wù)器實(shí)現(xiàn)云上挖礦。
　　情報(bào)中心就發(fā)現(xiàn)一個(gè)感染量驚人的黃金礦工“PhotoMiner木馬”，該木馬2016年首次被發(fā)現(xiàn)，該木馬通過(guò)入侵感染FTP服務(wù)器和SMB服務(wù)器，該木馬2016年首次被發(fā)現(xiàn)，通過(guò)入侵感染FTP服務(wù)器和SMB服務(wù)器暴力破解來(lái)擴(kuò)大傳播范圍。查詢木馬控制的門(mén)羅幣錢(qián)包地址，發(fā)現(xiàn)該木馬控制肉雞電腦挖到8萬(wàn)枚門(mén)羅幣，挖礦累計(jì)收益達(dá)到驚人的8900萬(wàn)人民幣，成為名副其實(shí)的“黃金礦工”。
　　9.網(wǎng)頁(yè)挖礦：在正常網(wǎng)頁(yè)插入挖礦代碼，利用瀏覽器挖礦
　　由于殺毒軟件的存在，挖礦木馬文件一落地到用戶電腦就可能被攔截，不利于擴(kuò)大挖礦規(guī)模，一部分攻擊者采用新的挖礦方式實(shí)施網(wǎng)頁(yè)挖礦。通過(guò)大規(guī)模入侵存在安全漏洞的網(wǎng)站，在網(wǎng)頁(yè)中植入挖礦代碼。訪客電腦只要瀏覽器訪問(wèn)到這個(gè)網(wǎng)頁(yè)，就會(huì)淪為礦工。
　　案例1：JS挖礦機(jī)利用廣告分發(fā)平臺(tái)，大規(guī)模攻擊江蘇湖南網(wǎng)民
　　2018年1月情報(bào)中心發(fā)現(xiàn)一廣告分發(fā)平臺(tái)被惡意嵌入挖礦JavaScript腳本，該挖礦攻擊在江蘇、湖南地區(qū)集中爆發(fā)。挖礦頁(yè)面單日訪問(wèn)量近百萬(wàn)次，中招機(jī)器CPU資源被占用90%以上，直接影響系統(tǒng)運(yùn)行。
　　此次惡意JavaScript代碼存放在國(guó)內(nèi)某電商平臺(tái)服務(wù)器上。頁(yè)面中導(dǎo)入惡意JS腳本為Coinhive JavaScript Miner代碼，該代碼基于CryptoNight挖礦算法，挖取數(shù)字加密貨幣—門(mén)羅幣。
　　此外，為了不被輕易發(fā)現(xiàn)，該挖礦腳本僅在非IE瀏覽器內(nèi)運(yùn)行，并通過(guò)Math.random()設(shè)置50%的啟動(dòng)概率。這就意味著，當(dāng)用戶發(fā)現(xiàn)電腦卡頓、CPU占用率過(guò)高，懷疑有惡意程序運(yùn)行進(jìn)而進(jìn)行確認(rèn)時(shí)，挖礦環(huán)境并不一定重現(xiàn)。
　　案例2：C0594組織惡意挖礦攻擊，攻陷數(shù)千個(gè)網(wǎng)站植入JS挖礦腳本
　　2018年4月情報(bào)中心監(jiān)測(cè)發(fā)現(xiàn)，包括傳統(tǒng)企業(yè)、互聯(lián)網(wǎng)公司、學(xué)校和政府機(jī)構(gòu)等在內(nèi)的多個(gè)網(wǎng)站網(wǎng)頁(yè)被植入挖礦JS腳本。經(jīng)分析，該批站點(diǎn)中的核心JS文件被注入惡意代碼，通過(guò)請(qǐng)求同一個(gè)腳本文件(http[:]//a.c0594.com/?e=5)，加載另一個(gè)腳本文件(http[:]//a.c0594.com/?js=1)提供的CoinHive挖礦代碼，從而在用戶機(jī)器上執(zhí)行挖礦。
　　案例3：使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭遇大規(guī)模JS挖礦攻擊

　　2018年5月情報(bào)中心監(jiān)測(cè)到，大批使用Drupal系統(tǒng)構(gòu)建的網(wǎng)站遭到JS挖礦攻擊。經(jīng)分析，受攻擊網(wǎng)站所使用的Drupal系統(tǒng)為存在CVE-2018-7600遠(yuǎn)程代碼執(zhí)行漏洞的較低版本。黑客利用Drupal系統(tǒng)漏洞將混淆后的挖礦JS注入到網(wǎng)站代碼中進(jìn)行挖礦。
　　網(wǎng)頁(yè)JS挖礦分布
　　2018年在感染JS挖礦程序的網(wǎng)站類(lèi)型中，色情網(wǎng)站占比最高，其次是博彩網(wǎng)站、小說(shuō)網(wǎng)站和視頻網(wǎng)站。其中用戶在網(wǎng)站上觀看視頻或閱讀時(shí)停留時(shí)間較長(zhǎng)，黑客利用這些網(wǎng)站進(jìn)行挖礦，可以獲取持續(xù)的收益。
　　三、挖礦僵尸網(wǎng)絡(luò)
　　僵尸網(wǎng)絡(luò)通過(guò)多種攻擊方法傳播僵尸程序感染互聯(lián)網(wǎng)上的大量主機(jī)，從而形成龐大的受控集群，接收同一個(gè)個(gè)木馬控制端的指令完成相應(yīng)的行為。挖礦木馬變得流行起來(lái)后，許多大型僵尸網(wǎng)絡(luò)也開(kāi)始將挖礦作為其系統(tǒng)功能的一部分，從而更快地獲取收益。2018年活躍的挖礦僵尸網(wǎng)絡(luò)包括MyKings，WannaMiner等。
　　1.MyKings

　　Mykings僵尸網(wǎng)絡(luò)是目前發(fā)現(xiàn)的最復(fù)雜的僵尸網(wǎng)絡(luò)之一，其攻擊手段主要為“永恒之藍(lán)”漏洞利用，SQL Server密碼爆破等，并在失陷主機(jī)植入挖礦模塊，遠(yuǎn)程控制模塊，以及掃描攻擊模塊進(jìn)行蠕蟲(chóng)式傳播。
　　2018年5月御見(jiàn)威脅情報(bào)中心監(jiān)測(cè)到MyKings僵尸網(wǎng)絡(luò)開(kāi)始傳播新型挖礦木馬，該木馬利用Windows 系統(tǒng)下安裝程序制作程序NSIS的插件和腳本功能實(shí)現(xiàn)了挖礦木馬的執(zhí)行、更新和寫(xiě)入啟動(dòng)項(xiàng)，同時(shí)該木馬的NSIS腳本還具備通過(guò)SMB爆破進(jìn)行局域網(wǎng)傳播的能力。
　　2018年12月御見(jiàn)威脅情報(bào)中心發(fā)現(xiàn)Mykings僵尸網(wǎng)絡(luò)攻擊方式升級(jí)，在其攻擊模塊中集成永恒之藍(lán)漏洞、閉路電視物聯(lián)網(wǎng)設(shè)備漏洞、MySQL漏洞攻擊以及RDP爆破、Telnet爆破弱口令爆破等多種攻擊方式。并且首次發(fā)現(xiàn)其使用“暗云”木馬感染器感染機(jī)器MBR，感染后payload會(huì)下載配置文件執(zhí)行主頁(yè)鎖定和挖礦功能。
　　2.WannaMiner
　　2018年3月情報(bào)中心監(jiān)控到有攻擊者利用“永恒之藍(lán)”漏洞，傳播一種門(mén)羅幣挖礦木馬WannaMiner。WannaMiner木馬將染毒機(jī)器構(gòu)建成一個(gè)健壯的僵尸網(wǎng)絡(luò)，還支持內(nèi)網(wǎng)病毒自更新，并且以一種相對(duì)低調(diào)的獲利方式“挖礦”來(lái)長(zhǎng)期潛伏。
　　盡管早在2017.5月WannaCry事件爆發(fā)時(shí)，很多機(jī)器已經(jīng)在安全軟件幫助下安裝了相應(yīng)補(bǔ)丁。但本次WannaMiner攻擊事件揭示，仍有部分企事業(yè)單位未安裝補(bǔ)丁或者部署防護(hù)類(lèi)措施。由于其在內(nèi)網(wǎng)傳播過(guò)程中通過(guò)SMB進(jìn)行內(nèi)核攻擊，可能造成企業(yè)內(nèi)網(wǎng)大量機(jī)器出現(xiàn)藍(lán)屏現(xiàn)象。
　　2018年11月情報(bào)中心發(fā)現(xiàn)WannaMiner最新變種攻擊，該變種病毒利用永恒之藍(lán)漏洞在企業(yè)內(nèi)網(wǎng)快速傳播。變種的主要變化為，漏洞攻擊成功后釋放的母體文件由壓縮包變?yōu)樘厥飧袷降募用芪募?，因此木馬在使用該文件時(shí)由簡(jiǎn)單的解壓變?yōu)榻饷?，特殊的加密方式給殺軟查殺造成了一定難度。
　　四、2018年挖礦木馬典型事件

　　五、幣圈疲軟，挖礦木馬還有未來(lái)嗎?
　　數(shù)字加密貨幣在2018年經(jīng)歷了持續(xù)暴跌，比特幣已從去年年底的2萬(wàn)美元，跌至現(xiàn)在不足4000美元，通過(guò)“炒幣”暴富的希望似乎越來(lái)越渺茫，但這并沒(méi)有影響挖礦木馬的熱度，相對(duì)于投資礦機(jī)來(lái)說(shuō)，控制肉雞電腦挖礦成本為0。
　　而從2018年的挖礦木馬事件中發(fā)現(xiàn)，挖礦木馬可選擇的幣種越來(lái)越多，設(shè)計(jì)越來(lái)越復(fù)雜，隱藏也越來(lái)越深，因此我們認(rèn)為2019年挖礦木馬仍會(huì)持續(xù)活躍，與殺毒軟件的對(duì)抗也會(huì)愈演愈烈。除非幣圈持續(xù)爆跌到一文不值，挖礦黑產(chǎn)才會(huì)有新的變化。
　　綜合分析，我們估計(jì)2019年，挖礦木馬產(chǎn)業(yè)會(huì)有以下特點(diǎn)：
　　(1)利用多種攻擊方法，短時(shí)間快速傳播
　　漏洞利用攻擊是木馬傳播的重要手段之一，挖礦木馬將受害者機(jī)器作為新的攻擊源，對(duì)系統(tǒng)中的其他機(jī)器進(jìn)行掃描攻擊，達(dá)到迅速傳播的效果，例如WannaMiner挖礦木馬的爆發(fā)，幾天之內(nèi)可以達(dá)到感染數(shù)萬(wàn)臺(tái)設(shè)備，如何快速響應(yīng)和阻止此類(lèi)木馬是安全廠商面臨的考驗(yàn)。
　　(2)針對(duì)服務(wù)器攻擊，企業(yè)用戶受威脅
　　企業(yè)設(shè)備上往往運(yùn)行著數(shù)量龐大的應(yīng)用程序，例如提供對(duì)外訪問(wèn)的web服務(wù)，對(duì)企業(yè)內(nèi)部提供的遠(yuǎn)程登錄服務(wù)等，這些服務(wù)作為企業(yè)服務(wù)的一個(gè)窗口，也成為了不法份子瞄準(zhǔn)的弱點(diǎn)。一旦入侵內(nèi)網(wǎng)，再利用大量廉價(jià)的攻擊工具可以快速組成挖礦僵尸網(wǎng)絡(luò)。
　　例如對(duì)服務(wù)器遠(yuǎn)程登錄端口爆破，利用服務(wù)器組件攻擊傳播的挖礦木馬攻擊，未來(lái)需要更加有效的解決方案。
　　(3)隱藏技術(shù)更強(qiáng)，與安全軟件對(duì)抗愈加激烈
　　病毒發(fā)展至今，PC機(jī)上隱藏技術(shù)最強(qiáng)的無(wú)疑是Bootkit/Rootkit類(lèi)病毒，這類(lèi)木馬編寫(xiě)復(fù)雜，各模塊設(shè)計(jì)精密，可直接感染磁盤(pán)引導(dǎo)區(qū)或系統(tǒng)內(nèi)核，其權(quán)限視角與殺軟平行，屬于頑固難清除的一類(lèi)病毒，可以最大限度在受害電腦系統(tǒng)中存活。
　　例如在2018年12月發(fā)現(xiàn)的Mykings木馬最新變種，加入了“暗云”MBR感染功能，通過(guò)修改系統(tǒng)系統(tǒng)啟動(dòng)引導(dǎo)扇區(qū)加載挖礦模塊，使得其難以徹底清除。2019年數(shù)字加密貨幣安全形勢(shì)依然嚴(yán)峻，挖礦木馬的隱藏對(duì)抗或?qū)⒏蛹ち摇?br/>　　六、針對(duì)挖礦木馬的應(yīng)對(duì)措施
　　1、 不要下載來(lái)歷不明的軟件，謹(jǐn)慎使用破解工具、游戲輔助工具。
　　2、 及時(shí)安裝系統(tǒng)補(bǔ)丁，特別是微軟發(fā)布的高危漏洞補(bǔ)丁。
　　3、 服務(wù)器使用安全的密碼策略 ，使用高強(qiáng)度密碼，切勿使用弱口令，防止黑客暴力破解。
　　4、 企業(yè)用戶及時(shí)修復(fù)服務(wù)器組件漏洞，包括但不限于以下類(lèi)型：
　　Apache Struts2漏洞、WebLogic XMLDecoder反序列化漏洞、Drupal的遠(yuǎn)程任意代碼執(zhí)行漏洞、JBoss反序列化命令執(zhí)行漏洞、Couchdb的組合漏洞、Redis未授權(quán)訪問(wèn)漏洞、Hadoop未授權(quán)訪問(wèn)漏洞;
　　5、監(jiān)測(cè)設(shè)備的CPU、GPU占用情況，發(fā)現(xiàn)異常程序及時(shí)清除，部署更完善的安全防御系統(tǒng)。個(gè)人電腦使用殺毒軟件仍是明智之舉。
病毒知識(shí)相關(guān)文章：

1.電腦病毒知識(shí)

2.計(jì)算機(jī)病毒知識(shí)

3.電腦病毒防范常識(shí)

4.有關(guān)電腦病毒和進(jìn)程的七點(diǎn)知識(shí)

5.殺死電腦病毒

6.世界上最神秘的病毒有哪些