根据腾讯御见威胁情报中心监测数据，2018年挖矿木马样本月产生数量在百万级别，且上半年呈现快速增长趋势，下半年上涨趋势有所减缓。由于挖矿的收益可以通过数字加密货币系统结算，使黑色产业变现链条十分方便快捷，少了中间商（洗钱团伙）赚差价。数字加密币交易系统的匿名性，给执法部门的查处工作带来极大难度。

当电脑运行挖矿病毒时，计算机CPU、GPU资源占用会上升，电脑因此变得卡慢，如果是笔记本电脑，会更容易观察到异常：比如电脑发烫、风扇转速增加，电脑噪声因此增加，电脑运行速度也因此变慢。但是也有挖矿木马故意控制挖矿时占用的CPU资源在一定范围内，并且设置为检测到任务管理器时，将自身退出的特性，以此来减少被用户发现的几率。

我们对2018年挖矿病毒样本进行归类，对挖矿木马使用的端口号、进程名、矿池的特点进行统计，发现以下特点：

挖矿木马喜欢将自身进程名命名为系统进程来迷惑用户，除了部分挖矿进程直接使用xxxminer外，最常使用的进程名为windows系统进程名：svchost.exe以及csrss.exe。

二、2018年挖矿木马传播特点

辅助外挂是2018年挖矿木马最喜爱的藏身软件之一。由于游戏用户对电脑性能要求较高，不法分子瞄准游戏玩家电脑，相当于找到了性能“绝佳”的挖矿机器。

2017年年底腾讯电脑管家发现一款名为“tlMiner”的挖矿木马，隐藏在《绝地求生》辅助程序中进行传播，单日影响机器量最高可达20万台。经溯源分析发现，该木马在2017年12月8号辅助新版发布后开始植入辅助工具，其间有过停用，但巨大的利益驱使不法分子在12月25号重新开放辅助及挖矿功能。

案例2：藏身《荒野行动》辅助的挖矿木马

2018年6月，致力于传播勒索病毒的病毒作者xiaoba也盯上了《荒野求生》辅助外挂，在网站xiaobaruanjian.xyz上提供荒野行动游戏辅助，并将挖矿木马等植入其中。一旦从该网站下载运行所谓的吃鸡辅助，电脑CPU会被大量占用挖矿。

案例3：通杀游戏外挂的520Miner挖矿木马

2．应用独特技术逃避拦截

2018年5月腾讯御见威胁情报中心感知到一款挖矿木马，其隐藏在美女图片当中，利用图片加密传递矿池相关信息，因此得名为“美人蝎”挖矿木马。该木马控制超过2万台肉鸡电脑，分配不同的肉鸡集群挖不少于4种数字加密币：BCX（比特无限），XMR（门罗币），BTV（比特票），SC（云储币）等。

3．挖矿木马版本快速升级

2018年7月腾讯御见威胁情报中心发现有黑客利用攻击工具检测网络上存在Apache struts2漏洞(CVE-2017-5638)服务器，发现存在漏洞的机器后通过远程执行各类指令进行提权、创建账户、系统信息搜集，然后将木马下载器植入，进而利用其下载挖矿木马netxmr4.0.exe。

通过多个相似样本进行对比，发现木马作者在一个月内更新发布了4个挖矿木马版本。

版本1：

版本2：

通过SQL爆破工具的解压路径“1433腾龙3.0”进行溯源，发现与攻击事件相关联的一个黑客技术论坛（腾龙技术论坛），并通过信息对比确认相关的论坛活跃成员“*aoli**22”，论坛传播的挖矿木马生成器“SuperMiner v1.3.6”,以及该成员注册C2域名使用的姓名和电话号码。

案例：多家三甲医院服务器遭暴力入侵，黑客赶走50余款挖矿木马独享挖矿资源

攻击者将挖矿木马伪装成远程协助工具Teamviewer运行，并且挖矿木马会检测多达50个常用挖矿程序的进程，将这些程序结束进程后独占服务器资源挖矿。木马还会通过修改注册表，破坏操作系统安全功能：禁用UAC（用户帐户控制）、禁用Windows Defender，关闭运行危险程序时的打开警告等等。已知样本分析发现，攻击者使用的挖矿木马拥有多个矿池，开挖的山寨加密币包括：门罗币（XMR）、以太坊（ETH）、零币（ZEC）等等，从矿池信息看，目前攻击者已累积获利达40余万元人民币。

自从NSA武器库工具泄露以来，一直倍受黑客垂青，该工具包经过简单的修改利用便可达到蠕虫式传播病毒的目的。2018年腾讯御见威胁情报中心发现大量的挖矿木马团伙应用NSA武器库工具传播挖矿木马，这使挖矿木马拥有蠕虫病毒的传播能力。

2018年9月腾讯御见威胁情报中心发现黑客通过1433端口爆破入侵SQL Server服务器，再植入远程控制木马并安装为系统服务，然后利用远程控制木马进一步加载挖矿木马进行挖矿。随后，黑客还会下载NSA武器攻击工具在内网中攻击扩散，若攻击成功，会继续在内网机器上安装该远程控制木马。

Eternalblue(永恒之蓝)、Doubleplsar(双脉冲星)、EternalChampion(永恒冠军)、Eternalromance（永恒浪漫）、Esteemaudit（RDP漏洞攻击）等漏洞攻击工具均被用来进行内网攻击，攻击主进程伪装成“Ftp系统核心服务”，还会利用FTP功能进行内网文件更新。其攻击内网机器后，植入远程控制木马，并继续从C2地址下载挖矿和攻击模块，进行内网扩散感染。

2018年9月腾讯御见威胁情报中心接到用户反馈，某学校内网水卡管理服务器被植入名为rundllhost.exe的挖矿木马。分析后发现该木马是NSASrvanyMiner挖矿木马的变种，此木马同样利用NSA武器工具在内网攻击传播，而该服务器存在未修复的ms17-010漏洞，因此受到攻击被利用挖矿。查询NSABuffMiner挖矿木马使用钱包信息，发现该钱包累计挖矿收益高达115万元人民币。

2018年10月腾讯御见威胁情报中心检测到利用ZombieboyTools传播的挖矿木马家族最新活动。木马对公开的黑客工具ZombieboyTools（集成NSA攻击模块）进行修改，然后将其中的NSA攻击模块进行打包利用，对公网以及内网IP进行攻击，并在中招机器执行Payload进一步植入挖矿、RAT（远程访问控制）木马。

6．同时针对多个平台进行攻击、植入不同版本的挖矿木马

2018年12月御见威胁情报中心通过蜜罐系统部发现了利用Aapche Struts2-045（CVE-2017-5638）漏洞攻击Linux服务器,并通过计划任务植入的挖矿木马。并通过进一步分析发现了针对Windows系统和Linux系统进行攻击的挖矿木马，且不同平台的挖矿木马最终均使用了相同的矿池及钱包。

挖矿木马的传播渠道不限于通过伪装成电脑软件下载，还普遍采用了网页挂马这种最高效率的传播方式，而以往利用网页挂马传播最多的是盗号木马。

2018年4月12日，腾讯御见威胁情报中心监测到国内一起大规模的网页挂马事件。当天包括多款知名播放器软件、视频网站客户端、常见的工具软件在内的50余款用户量千万级别的电脑软件遭遇大规模网页挂马攻击。

案例2：色情网站被挂马，利用Flash高危安全漏洞植入挖矿木马

当网民浏览这些网站时，由于部分系统存在Flash高危安全漏洞，打开网页会立刻中毒。之后，受害者电脑便会运行挖矿代码，电脑沦为一名矿工。攻击者会控制大量矿工电脑集中算力挖矿，并以此牟利。

随着各种数字加密货币的挖矿难度越来越大，通过普通用户的个人电脑难以实现利益最大化。而实施短时间内的大范围挖矿，除了网页挂马，最普遍的作法就是控制肉鸡电脑组建僵尸网络挖矿。服务器性能强、24小时在线的特征，吸引更多不法矿工将攻击目标转向企业、政府机构、事业单位的服务器实现云上挖矿。

9．网页挖矿：在正常网页插入挖矿代码，利用浏览器挖矿

案例1：JS挖矿机利用广告分发平台，大规模攻击江苏湖南网民

此次恶意Javascript代码存放在国内某电商平台服务器上。页面中导入恶意JS脚本为Coinhive Javascript Miner代码，该代码基于CryptoNight挖矿算法，挖取数字加密货币—门罗币。

案例2：C0594组织恶意挖矿攻击，攻陷数千个网站植入JS挖矿脚本

案例3：使用Drupal系统构建的网站遭遇大规模JS挖矿攻击

网页JS挖矿分布

三、挖矿僵尸网络

1．MyKings>/h3>

2018年5月御见威胁情报中心监测到MyKings僵尸网络开始传播新型挖矿木马，该木马利用Windows 系统下安装程序制作程序NSIS的插件和脚本功能实现了挖矿木马的执行、更新和写入启动项，同时该木马的NSIS脚本还具备通过SMB爆破进行局域网传播的能力。

2．WannaMiner

尽管早在2017.5月WannaCry事件爆发时，很多机器已经在安全软件帮助下安装了相应补丁。但本次WannaMiner攻击事件揭示，仍有部分企事业单位未安装补丁或者部署防护类措施。由于其在内网传播过程中通过SMB进行内核攻击，可能造成企业内网大量机器出现蓝屏现象。

四、2018年挖矿木马典型事件

数字加密货币在2018年经历了持续暴跌，比特币已从去年年底的2万美元，跌至现在不足4000美元，通过“炒币”暴富的希望似乎越来越渺茫，但这并没有影响挖矿木马的热度，相对于投资矿机来说，控制肉鸡电脑挖矿成本为0。

综合分析，我们估计2019年，挖矿木马产业会有以下特点：

漏洞利用攻击是木马传播的重要手段之一，挖矿木马将受害者机器作为新的攻击源，对系统中的其他机器进行扫描攻击，达到迅速传播的效果，例如WannaMiner挖矿木马的爆发，几天之内可以达到感染数万台设备，如何快速响应和阻止此类木马是安全厂商面临的考验。

企业设备上往往运行着数量庞大的应用程序，例如提供对外访问的web服务，对企业内部提供的远程登录服务等，这些服务作为企业服务的一个窗口，也成为了不法份子瞄准的弱点。一旦入侵内网，再利用大量廉价的攻击工具可以快速组成挖矿僵尸网络。

（3）隐藏技术更强，与安全软件对抗愈加激烈

例如在2018年12月发现的Mykings木马最新变种，加入了“暗云”MBR感染功能，通过修改系统系统启动引导扇区加载挖矿模块，使得其难以彻底清除。2019年数字加密货币安全形势依然严峻，挖矿木马的隐藏对抗或将更加激烈。

1、 不要下载来历不明的软件，谨慎使用破解工具、游戏辅助工具。

3、 服务器使用安全的密码策略 ，使用高强度密码，切勿使用弱口令，防止黑客暴力破解。

Apache Struts2漏洞、WebLogicXMLDecoder反序列化漏洞、Drupal的远程任意代码执行漏洞、JBoss反序列化命令执行漏洞、Couchdb的组合漏洞、Redis未授权访问漏洞、Hadoop未授权访问漏洞；

*本文作者：腾讯电脑管家，转载请注明来自FreeBuf.COM