当心！你的电脑可能已经变成了黑客赚钱的矿机

阴影中的小偷

如果说勒索病毒是暴露在大众面前的“恶魔”，那么挖矿木马就是潜伏在暗处的“寄生虫”。 2017年是安全事件频发的一年，除了举世瞩目的“WannaCry”勒索病毒的出现，一大波挖矿木马也悄然涌现。

与明目张胆的勒索病毒不同，挖矿木马几乎隐藏在所有易受攻击的角落，悄悄消耗着计算机资源。 由于其隐蔽性强，大多数PC用户和服务器管理员很难发现挖矿木马的存在，这也导致挖矿木马的数量不断增加。 本文将从多方面介绍挖矿木马的种类、发展趋势、危害及防范措施。

什么是挖矿木马

2009 年，比特币诞生。 得益于去中心化的发币机制，比特币受到众多行业的青睐，交易价格也一路走高。 图1为2013年7月至2017年12月比特币交易价格（单位：美元）的变化趋势。

图1 2013-2017年比特币交易价格走势

由于比特币的成功，许多基于区块链技术的数字货币相继问世，如以太坊、门罗币等。 这类数字货币不是由特定的货币发行机构发行的，而是基于特定的算法通过大量计算得到的。 完成如此大量计算的工具就是矿机程序。

矿机程序利用计算机强大的计算能力进行大量计算，从而获得数字货币。 由于硬件性能的限制，数字货币玩家需要大量的计算机进行计算才能获得一定数量的数字货币。 因此，一些不法分子利用各种手段，将矿机程序植入受害人电脑中，利用受害人电脑的算力获取一定数量的数字货币。 权力挖矿，从而获得收益。 这种在用户不知情的情况下植入用户电脑进行挖矿的矿机程序就是挖矿木马。

挖矿木马最早出现于2013年。图2为2013年以来国内披露的大规模挖矿木马攻击次数。

图2 2013-2017年中国披露的挖矿木马攻击事件

随着数字货币交易价格的不断上涨，挖矿木马攻击也越来越频繁。 不难预测，未来挖矿木马的数量还会持续上升。

对于挖矿木马来说，选择交易价格高、算力要求适中的数字货币是短期内获得较大利润的保障。 图3显示了挖矿木马选择的币种比例。

图3 挖矿木马选择的币种比例

不难看出，门罗币是最受挖矿木马青睐的币种。 黑客选择门罗币作为目标的原因有几个：

(1)门罗币的交易价格还不错。 门罗币虽然在交易价格上不如比特币贵，但仍然保持着较高的交易价格。

(2) 门罗币是一种安全性较高的匿名货币。 匿名币是一种特殊的区块链代币，在交易过程中隐藏交易金额、发送方和接收方。 由于这样的特性，任何人都不可能在区块链浏览器中找到门罗币交易的金额和双方的地址。 这也方便了黑客转移门罗币。

(3) Monero基于CryptoNight算法计算，无需其他特定硬件支持，可通过计算机的CPU和GPU进行运算。

(4) 网上有很多优秀的开源门罗币挖矿项目，黑客可以立即使用。

(5) 暗网市场支持门罗币交易。

由于门罗币的这些“优势”，越来越多的挖矿木马选择门罗币作为攻击目标。

下面我们将根据挖矿木马的种类，对不同类型的挖矿木马进行详细的介绍和分析。

挖矿木马详解

1. 挖矿木马僵尸网络的兴起

僵尸网络（Botnet）是黑客通过入侵其他计算机，在其他计算机中植入恶意程序，并通过恶意程序继续侵入更多计算机而建立起来的一个庞大的傀儡计算机网络。 僵尸网络中的每一台计算机都是被黑客控制的节点，也是发起攻击的节点。 黑客入侵计算机并植入挖矿木马，然后利用被攻陷的计算机继续向其他计算机植入挖矿木马，构建僵尸网络即挖矿木马僵尸网络。

2017年是挖矿木马僵尸网络大规模爆发的一年。 出现了“Bondnet”、“Adylkuzz”、“Concealer”等多个大规模挖矿木马僵尸网络，其中很大一部分挖矿木马僵尸网络来自中国。

(1) 僵尸网络的建立

僵尸网络能否扩大规模取决于僵尸网络的初始建立。 黑客需要一种能够进行大规模入侵的攻击武器来控制更多的计算机。

“永恒之蓝”漏洞攻击武器的出现助长了挖矿木马僵尸网络的建立。 2017年4月，影子经纪人发布了NSA（美国国家安全局）方程式组织的漏洞攻击武器“永恒之蓝”。 2017年5月爆发、影响空前的“WannaCry”勒索病毒就是通过“永恒之蓝”传播的。 在“WannaCry”爆发之前，已经有利用“永恒之蓝”的挖矿木马进行传播。 “永恒之蓝”有两个其他漏洞利用工具无法比拟的优势：

(1) 攻击不需要载体。 与利用浏览器漏洞或办公软件漏洞的“被动攻击”不同，“永恒之蓝”漏洞利用攻击属于“主动攻击”。 黑客只需要向目标发送攻击数据包，而不需要目标进行额外的操作即可完成攻击。

(2)攻击目标广泛。 只要目标计算机开放445端口，不及时打补丁，黑客就可以成功入侵目标计算机。 黑客可以完全扫描整个网络来捕捉他们的猎物。

正因如此，“永恒之蓝”一时间成为挖矿木马僵尸网络的标配。 表1显示，2017年爆发的数个大型挖矿木马僵尸网络都配备了“永恒之蓝”漏洞利用武器。

表1 挖矿木马僵尸网络“永恒之蓝”模块配置

挖矿木马僵尸网络家族

是否搭载“永恒之蓝”模组

阿迪库兹

√

隐

√

伙伴矿工

√

字体矿工

√

债券网

X

山药矿工

X

其中一些僵尸网络完全依靠“永恒之蓝”漏洞攻击武器站稳脚跟，比如“隐匿”僵尸网络。 图4显示了“Stealth”僵尸网络僵尸网络传输量的变化趋势。 不难看出，借助“永恒之蓝”漏洞攻击利器，“隐匿者”在2017年4月底爆发。（详见报道：）

图4 “Hidden”僵尸网络僵尸网络各版本传输量

随着更多漏洞细节的公开，各种“永恒之蓝”漏洞利用工具相继问世。 2017年9月出现并不断壮大的“mateMiner”僵尸网络集成了Powershell编写的“永恒之蓝”漏洞攻击模块。 图 5 显示了部分攻击代码。

图5 “mateMiner”僵尸网络“永恒之蓝”模块部分代码片段

除了“永恒之蓝”漏洞攻击利器，其他类型的Nday漏洞也受到挖矿木马僵尸网络的青睐。 “yamMiner”僵尸网络利用Java反序列化漏洞入侵服务器。

“yamMiner”僵尸网络于2016年底出现，2017年呈增长趋势，至今仍在活跃。 僵尸网络在建立时，通过Java Commons Collections反序列化漏洞入侵服务器。 漏洞如下：

漏洞

描述

CVE-2015-7450

IBM WebSphere Java Comments Collections 组件反序列化漏洞

CVE-2015-4852

Oracle WebLogic Server Java 反序列化漏洞

有关详细信息，请参阅：

使用 Nday 漏洞的入侵攻击对未打补丁的计算机具有立竿见影的效果。 然而，国内有相当多的计算机没有及时打补丁，这也是此类挖矿木马僵尸网络持续活跃的重要原因之一。

(2) 僵尸网络的扩张

当僵尸网络形成后，黑客需要通过现有的傀儡机攻击更多的计算机，将流量的积累转化为看得见的收益。 因此，僵尸网络中的每一台傀儡机都是攻击的始作俑者，他们的攻击目标是互联网中的所有计算机。

“永恒之蓝”漏洞攻击利器在僵尸网络的扩张中发挥着重要作用。 “永恒之蓝”漏洞攻击武器在僵尸网络的建立中所起的重要作用如上所示，对僵尸网络的扩张也起到了一定的作用，这里不再赘述。

端口扫描和爆破也是僵尸网络扩张的帮手。 “隐匿”挖矿木马僵尸网络具有全网扫描模块。 僵尸程序将持续扫描指定端口上的随机 IP。 如果端口是打开的，它会尝试爆破它。 爆破成功后，会登录目标电脑，植入挖矿木马。 和机器人，继续进一步扩大。 “隐匿”挖矿木马僵尸网络端口扫描模块代码片段如图6所示。 “隐藏”僵尸网络爆破模块、爆破对象及当前支持情况如表2所示。

图6 “Stealth”僵尸网络端口扫描模块代码片段

表2 “隐藏”僵尸网络爆破模块概览

爆破模块

爆炸目标（端口）

当前支持

破解者：mssql

微软数据库 (1433)

支持

破解者：Telnet

远程登录 (23)

支持

饼干：RDP

远程数据处理 (3389)

支持并不完美

破解者：央视

闭路电视摄像机（可变）

支持并不完美

破解者：MySQL

MySQL (3306)

删除

饼干：WMI

西米 (135)

删除

破解者：SSH

SSH (22)

删除

高级内网渗透攻击开始出现在挖矿木马僵尸网络的扩张中。 我们在“mateMiner”僵尸网络中发现了一个使用“pass the hash”攻击进行内网渗透的模块。 该僵尸网络发布了凭证窃取工具mimikatz，获取存储在计算机中的凭证，并利用它们进行“传递哈希”攻击。 图 7 显示了“mateMiner”僵尸网络凭证收集模块的代码片段。

图7 “mateMiner”僵尸网络凭证获取模块代码片段

“mateMiner”僵尸网络首先会尝试使用这些凭据登录内联网上的其他计算机。 一旦登录成功，就会在这些电脑中植入挖矿木马和僵尸程序。 只有登录失败才会使用“永恒之蓝”漏洞攻击武器进行入侵。

可以看出，随着“永恒之蓝”漏洞攻击成功率的降低，mimikatz等高级内网渗透工具开始被挖矿木马僵尸网络所采用。 图8为“mateMiner”僵尸网络进行内网渗透的代码片段。

图8 “mateMiner”僵尸网络内网渗透模块代码片段

(3) 机器人的持续存在

黑客能否继续控制傀儡机，关键在于傀儡机中的bot能否继续驻留。 挖矿木马僵尸网络也用尽各种方法让bot程序持续驻留在傀儡机中。

直接将bot程序寄生在系统进程中是最好的选择。 “yamMiner”僵尸网络利用Java反序列化漏洞入侵计算机后，直接在Java进程中执行命令。 “Hidden One”僵尸网络通过爆破MSSQL服务入侵其他计算机后，以SQLServer Job的形式运行矿机，并在SQLServer中写入多段shellcode。 图 9 显示了一段由“Hidden Man”在 SQLServer 中编写的 shellcode。

图9 SQL Server中“Stealth”僵尸网络编写的shellcode

通过将bot程序寄生在系统进程中，可以有效规避杀毒软件的拦截，保证bot程序的持续存在。

WMI、PowerShell都是持久化的好帮手。 许多僵尸网络使用 WMI 在目标计算机上实现持久的僵尸存在，并使用 PowerShell 来帮助他们的工作。

SQL Server中“Stealth”僵尸网络的shellcode包含使用WMI定时更新矿机配置文件的功能。 图 10 显示了此 shellcode 的内容。

图 10 “Stealth”僵尸网络使用 WMI 定期更新 shellcode 片段

“mateMiner”僵尸网络只使用一个PowerShell脚本作为bot，这也是它最大的特点。 这个PowerShell脚本完成了包括入侵、持久化、挖矿在内的所有功能。 图 11 显示了“mateMiner”僵尸网络下载命令行以从黑客服务器执行 PowerShell 脚本。

图11 “mateMiner”僵尸网络执行PowerShell命令行片段

《mateMiner》除了使用PowerShell脚本来完成工作外，还最大限度地发挥了WMI的灵活性。 它不仅利用WMI的__EventFilter类实现持续持久化，还将shellcode保存为WMI类属性的值，需要时加载到内存中。 执行，真正的“无文件”攻击。 图 12 显示了“mateMiner”使用 WMI 类属性存储 shellcode 的代码片段。

图 12 “mateMiner”使用 WMI 存储 shellcode 片段

由于PowerShell和WMI具有极高的灵活性，僵尸网络可以通过两者对傀儡机进行有效的管理，减少恶意文件的发布，避开杀毒软件的查杀。

先进的控制和命令方法是持久存在的关键。 每个僵尸网络都有一个最终控制终端，负责向僵尸网络中的各个节点下发控制指令。 由于控制端的生存时间不长，其ip地址会经常变化，因此挖矿木马僵尸网络需要一个完整的控制系统来保证随时与控制端联系。

“Stealth”僵尸网络拥有完整的控制系统。 图 13 显示了“Stealth”僵尸网络中僵尸程序与控制终端之间的交互。

图13 “Hidden”僵尸网络bot程序与控制端交互图

“隐匿者”拥有多个不同功能的控制服务器，分别负责挖矿木马的更新、僵尸程序的更新、远程控制木马的分发。 当傀儡机中的bot启动时比特币挖矿机电脑配置，它会进行自检，判断是否存在新版本的bot。 同时，“隐藏者”还在SQL Server中编写了这么一段自测shellcode，以确保在杀掉bot后，可以从控制终端下载新的bot。 但是bot请求的控制端ip地址是不固定的。 “隐匿者”通过访问指定博客获取博文内容，通过解密博文内容获取控制端ip。 控制端只需修改博文内容即可实现控制端IP的更换。

当然，“yamMiner”挖矿木马僵尸网络是控制端ip快速更新最形象的体现。 控制端的ip地址基本保持每周更新的频率。 图14为2017年11月至12月“yamMiner”僵尸网络控制端IP地址更新时间线。

图14 2017年11月至12月“yamMiner”僵尸网络更新概览

通过观察“yamMiner”僵尸网络在 2017 年 11 月至 12 月期间向控制终端发起的请求数量，我们发现了一个有趣的细节。这可以从图 15 中看出。

图15 2017年11月至12月“yamMiner”僵尸网络发送请求数概览

不难看出，当“yamMiner”的控制端ip发生变化时，puppet机器中的bot可以立即连接到新的ip地址，所以当有请求旧控制端的ip地址时控制端的新ip地址出现了图中数字降为0的现象。

实现这样的效果需要puppet程序能够实时知道ip地址的变化，而“yamMiner”利用Java Commons Collections反序列化漏洞定期在puppet机器上执行命令修改控件的ip连接到人偶程序的终端。

由于该功能是在Java进程中实现的，因此可以有效避开杀毒软件的查杀。 一般情况下，僵尸网络控制终端的ip地址是不会长期存活的。 优秀的挖矿木马僵尸网络会利用漏洞在傀儡机上执行命令更改控制端的ip或将控制端的ip存储在博客内容中，修改容易但不易。 它被发现的位置。 如果傀儡机的拥有者不修补计算机系统的漏洞或删除一些在计算机中继续工作的项目（如SQL Server中的恶意作业），机器人就可以继续存在于傀儡机中。

（四）总结

矿机僵尸网络是2017年大规模爆发的安全威胁，其危害程度从黑客获利的多少可见一斑。 图 16 和 17 分别显示了“yamMiner”僵尸网络的门罗币钱包之一和“Stealth”僵尸网络的门罗币钱包。

图 16 “yamMiner”僵尸网络 Monero 钱包之一的概述

图17 “Hidden Man”僵尸网络门罗币钱包概况

截至发稿，“邪不压正”僵尸网络共从傀儡机中挖出 2010 枚门罗币，价值 61 万美元。

“yamMiner”僵尸网络其中一个钱包获利4万美元，“yamMiner”拥有多个门罗币钱包，获利总额可想而知。 挖矿木马带来的巨额利润导致了各种僵尸网络之间的激烈竞争，包括对其他僵尸网络的攻击。 例如“mateMiner”僵尸网络会根据其他僵尸网络的矿池端口结束相应的进程，如图18所示。

图18 “mateMiner”僵尸网络终止其他挖矿木马进程代码片段

当然，这种竞争还会继续下去，数字货币交易价格的不断上涨，必将让更多的不法分子加入到僵尸网络大战中。

Web 挖掘脚本横空出世

2017年9月，知名BitTorrent网站、盗版资源集散地海盗湾被发现网页内嵌挖矿脚本，网络挖矿开始走入大众视野。

当用户访问网页时，用户的浏览器负责解析网站中的资源和脚本，并将解析结果展示在用户面前。 当用户访问的网页中植入挖矿脚本时，浏览器会解析并执行挖矿脚本，利用用户的计算机资源进行挖矿，从而获利。 挖矿脚本的执行会导致用户电脑资源被严重占用，导致电脑速度变慢，甚至死机，严重影响用户电脑的正常使用。

网页挖掘脚本有很多种。 目前嵌入网页的挖矿脚本有Coinhive、JSEcoin、easedoper、LMODR.BIZ、MineCrunch、MarineTraffic、Crypto-Loot、ProjectPoi等，大部分挖矿脚本项目都是开源的，也方便一些站长或网站入侵者在网页中植入挖矿脚本。 图19为2017年11月至12月不同网页挖矿脚本占比。

图19 2017年11月-12月不同挖矿脚本占比

可见Coinhive是大多数不法分子的选择，这也是得益于Coinhive的便捷性。 入侵网站的黑客或唯利是图的站长无需将挖矿js代码写入网页，而是在网页中调用Coinhive官网的js文件coinhive.min.js，并指定唯一标识。 . 图 20 显示了 Coinhive 的代码示例。

图20 “Coinhive”挖矿脚本代码示例

随着网络挖矿脚本的兴起，许多网站开始使用一些特殊的技术来掩盖挖矿过程中产生的大量系统资源消耗。 2017年9月，安全研究人员发现后缀为.com.com的域名含有挖矿代码。 这些网站使用“安全检查”作为掩护，以隐藏系统在挖矿过程中的缓慢。 如图 21 所示。

图21 挖矿脚本混淆用户“安全检查”

无独有偶，前段时间，malwarebytes安全研究人员发现，部分含有挖矿代码的网页会在用户关闭浏览器窗口后隐藏在任务栏右下角继续挖矿。 如图 22 所示。

图22 挖矿脚本利用任务栏隐藏自身

在植入挖矿脚本的网站中，有的是营利性站长主动在自己的网页中嵌入挖矿脚本，有的则是黑客入侵网站后植入挖矿脚本。 2017年11月，我们发现有一批网站被植入了相同标识符的ProjectPoi挖矿脚本，但这些网站之间没有任何联系。 可以推测，挖矿脚本是黑客入侵网站后植入的。 图 23 显示了嵌入在这些网站中的挖掘脚本。

图23 部分被黑站点植入的挖矿脚本

与通过入侵服务器构建挖矿木马僵尸网络不同，网页挖矿脚本更容易被用户察觉，但仍有不少网站出于盈利目的植入挖矿脚本。

图24为2017年9月至12月网页嵌入挖矿脚本数量变化趋势，不难看出网页挖矿脚本数量仍在增加，尤其是进入12月后，数量有明显的上升趋势.

图24 2017年11月-12月Web挖矿脚本数量趋势

网络挖矿脚本之所以如此活跃，主要原因是大多数挖矿脚本都来自色情网站等特殊站点。 由于此类网站的高流量，挖矿脚本的数量不断增加。

图 25 显示了 Web 挖掘脚本在各种网站中的比例。 不难看出，色情网站是挖矿脚本的重灾区。

图25 各网站植入挖矿脚本比例

与挖矿木马僵尸网络相比，Web挖矿脚本是后起之秀比特币挖矿机电脑配置，但迟到的出现并不妨碍此类挖矿木马的兴起。 巨大的利益驱使，促使更多黑市从业者投身矿业。

但由于网页挖矿的隐蔽性低，未来黑产从业者可能会将挖矿目标转移到网页游戏和客户端游戏上，利用游戏的高资源消耗率来掩盖矿机的运行。 移动平台也可能是挖矿木马的重要目标。

预防与总结

挖矿木马的兴起源于数字货币交易价格的持续上涨。 从目前的情况来看，数字货币交易价格将继续上涨，这也可能导致挖矿木马数量激增。 因此，如何防范挖矿木马是重中之重。

1. 防范挖矿木马僵尸网络

挖矿木马僵尸网络的目标是服务器，黑客通过入侵服务器植入矿机程序获利。 如果能够有效阻止黑客的入侵，就可以将挖矿木马僵尸网络扼杀在萌芽状态。 作为服务器管理员，以下工作是防止挖木马僵尸网络的关键：

(1) 避免使用弱口令。 由上可知，“隐匿”等大型僵尸网络都有完备的弱口令爆破模块，因此避免使用弱口令可以有效防止Bot发起的弱口令爆破。 管理员不仅应该在服务器登录帐户上使用强密码，还应该在开放端口上的服务（如 MSSQL 服务、MySQL 服务）上使用强密码。

（二）及时为操作系统及相关服务打补丁。 不少挖矿木马僵尸网络利用“永恒之蓝”漏洞利用武器进行传播，“隐匿”在“永恒之蓝”漏洞利用武器泄露几天后就开始利用其进行真实攻击。 可见黑客对于For 1day、Nday漏洞的利用是非常有技巧的。 由于大部分漏洞细节已经发布，相应的厂商也已经推送了相关补丁。 如果服务器管理员能够及时对系统及相关服务进行修补，则可以有效避免漏洞利用攻击。 服务器管理员需要及时为存在被攻击风险的服务器操作系统、Web服务器和开放服务打补丁。

(3)定期维护服务器。 由于挖矿木马存在于计算机上，如果服务器管理员不定期检查服务器状态，则很难检测到它们。 因此，服务器管理员应定期对服务器进行维护，包括但不限于：检查服务器操作系统CPU使用率是否异常，是否有可疑进程，WMI是否有可疑类，scheduled是否有可疑项tasks，是否存在可疑的进程，比如PowerShell进程，经常用来持久化的mshta进程是否存在。

2. 防止网页挖矿脚本

Web挖矿脚本一般针对PC，因此更容易被发现。 用户可以通过以下方式防止网页挖矿脚本：

(1) 浏览网页时注意CPU使用率。 由于挖矿脚本的运行会导致CPU使用率飙升，如果用户在浏览网页时发现电脑CPU使用率飙升，而且大部分CPU使用率来自于浏览器，那么挖矿脚本可能被嵌入了网页页。

(2) 不要访问被浏览器或杀毒软件标记为高风险的网站。 现在大多数杀毒软件和主流浏览器都具备检测挖矿脚本的能力。 如果用户访问的网站是标记为高风险的恶意网站，则该网站中可能嵌入了挖矿脚本。 不访问标记为高风险的网站也可以避免木马攻击。

2017年是挖矿木马爆发的一年，2018年可能是挖矿木马从隐蔽角落走向大众视野的一年。 防止挖矿木马的兴起是杀毒软件的重要职责，防止挖矿木马的入侵是每一位服务器管理员和PC用户关注的焦点。 防范挖矿木马，保护用户电脑安全，任重而道远！

参考链接

[1] 利用服务器漏洞非法挖矿案例分析；

[2] 悄然兴起的矿机僵尸网络： 命中服务器挖数百万门罗币；

[3] 持续的偷渡式加密挖矿进入您附近的浏览器；

[4] 《门罗最近有没有下跌？是什么原因？》 “艾俊强”问题的答案；