挖矿木马是什么？怎么预防挖矿木马？

据工业和信息化部网站消息,网络安全管理局近日发布《 2018 年第二季度网络安全威胁态势分析与工作综述》(以下简称“工作综述”),工作综述称,非法“挖矿”已成为严重的网络安全问题。安全狗海青安全研究实验室通过持续对非法挖矿事件的追踪和分析,已经连续推出多篇非法挖矿木马事件和病毒的分析报告。
2017 年是勒索病毒爆发高峰期,勒索病毒感染率提高了40%,其主要驱动力是ms17- 010 漏洞被恶意利用。与此同时,挖矿木马同时也处于快速增长的状态,有报告称反病毒软件探测到的挖矿木马增长了8500%, 2018 年曝光挖矿木马事件同样在快速增长。现在,除了勒索病毒以外,对用户而言,挖矿木马也成为了不可忽视的安全威胁。
基于这个现状,安全狗海青安全研究实验室根据当前的安全状况,针对挖矿木马进行了总结性的分析研究,并整理出相关联的解决方案,以期协助用户面对这类安全威胁。
一、蓬勃发展的“采矿业”
勒索软件为网络犯罪分子提供了一种收益极高但却是一次性的牟利方式,与之相反,被感染挖矿木马的“矿工”将提供更低但可持续时间更长的收入。如今,暗地里已经围绕着数字货币形成了一条黑色产业链,即“黑色的采矿业”(区别于合法的矿工,下文均简称采矿业)。
“采矿业”作为网络犯罪分子一种新的非法牟利的新方式,已经开始“挤占”勒索病毒市场份额,勒索病毒已经开始被商业化网络犯罪所抛弃,取而代之的是复杂的挖矿木马。勒索软件直接从受害者身上非法牟利是十分扎眼的方式,会引来社会和媒体的广泛关注,给犯罪分子带来了不可控的麻烦,而“采矿业”则相对更加隐蔽,道德负担更小,更加难以被发现。
这是一个简单的“采矿业”的模型
犯罪分子利用控制的机器,种植挖矿木马挖掘数字货币,经过数次资金转移,然后通过交易将数字货币换成money存入银行,然后犯罪者从银行取出现金。(注:我国监管部门习惯用“虚拟货币”这个术语,专家学者则常常用“数字货币”指代,而国外一般称之为“加密货币”。)
受害者数量是很重要的因素,受害者越多,为挖矿提供的算力就越多,挖掘的数字货币收益就越大。在对挖矿木马感染情况进行一些调查后,我们发现受害者的数量始终保持上涨的趋势。
很明显,遇到挖矿木马的用户正在快速增加。近年来挖矿木马愈演愈烈,究其原因是近年数字货币价格飙升,比特币和Altcoins的价格在 2017 年持续超过记录。虽然经过相关监管部门干预和强力镇压,数字货币大幅度跳水,但仍然有利可图,这诱使黑客大量利用受害机器挖掘数字货币。
二、挖矿木马多维度特征
海青安全研究实验室对所分析的挖矿木马及公开资料的情况进行总结整理,得出以下几个维度的特征。
从木马的角度而言,有这些特征
1、黑客入侵后,直接将简单的开源程序及其包含钱包地址等配置的配置文件传入受害机器,然后运行挖矿。
2、黑客修改了开源程序,将配置文件,钱包地址等内置在可执行文件中,并有时加了一些简单的壳;钱包地址等配置或有加密,但仍可通过沙盒执行直接获得,但可能获取不全,需要稍稍深入分析一下才可获取全部矿池及钱包地址相关威胁情报。
3、基本与传统木马表现相同,“野火烧不尽,春风吹又生”。整体看过去,此种情况下挖矿木马可分为持久化模块与挖矿模块。如果出现多次杀毒都无法杀干净的情况,那就有可能就含有持久化模块。
4、挖矿蠕虫。海青安全实验室监控到两年前的photominerwww.kaifx.cn挖矿还在持续且广泛的传播,该蠕虫依靠弱口令、挂马、社会工程学等手段进行传播。Wanna系列的挖矿蠕虫也是层出不穷,由于ms17- 010 漏洞的广泛传播和利用,Wanna系列挖矿蠕虫其感染性远胜于之前的photominer等挖矿蠕虫。
到目前为止,更多的挖矿蠕虫已经转向整合各种漏洞进行传播的性质,相比起之前类似photominer的挖矿蠕虫,危害更大更广。
5、抓鸡挖矿。当计算机被植入远控等后门之后,攻击者通过远控执行命令或直接文件传输挖矿木马进行挖矿。甚至有自动化抓鸡成功后,自动种植挖矿程序进行挖矿。
此前出现过的多起redis等挖矿事件,是通过客户机器未授权访问redis认证的问题种植挖矿程序;而在检测了许多机器后,发现并无黑客过多入侵活动痕迹,可能只是恰巧被抓鸡了而已。此外,被藏了后门的破解软件、被劫持的WiFi等统统都可以用来抓肉鸡进行挖矿。

6、结合前沿黑客技术
在powershell和WMI被大牛们玩得飞起的时候,挖矿木马开始结合沿黑客技术并向其看齐。出现了许多利用WMI和powershell作为辅助模块的挖矿木马。如explorer挖矿木马,其核心模块就是纯粹的powershell脚本,只需要运行这个脚本就会远程下载挖矿模块进行挖矿并进行其他一系列操作。
7、网页挖矿木马
网站被攻击者恶意植入了网页挖矿木马,只要访问者通过浏览器浏览被恶意植入了网页挖矿木马的站点页面,浏览器会即刻执行挖矿指令,从而沦为僵尸矿机,无偿的为网页挖矿木马植入者提供算力,间接为其生产虚拟货币,这是一种资源盗用攻击。由于网页挖矿木马存在很广的传播面和很不错的经济效益。
8、移动设备挖矿木马
不像勒索病毒,移动设备挖矿木马瞄准的目标市场是发展中国家。移动端挖矿木马是一种新型威胁,虽然移动端功率不如传统服务端及个人PC端功率大,但由于用户数量规模巨大,用户安全意识薄弱,仍然不可忽视。
除了木马以外,黑客还可能使用矿池。矿池是一个把大家的算力纠合到一起挖矿软件,然后根据大家提供的算力大小来平均分配挖到的币。矿池挖矿的过程是把我们自己电脑的算力提供给矿主,矿主用我们的算力去挖矿,挖到的矿其实是存在矿主的钱包当中,然后矿主再根据我们提供算力的比例,给我们的钱包支付相应的扣除税率的费用。
三、黑客常用矿池分类
1、公开大矿池
如pool.minexmr.com等大矿池。直连矿池进行挖矿。存在矿池与执法人员合作追捕黑客的风险。
2、自建代理(黑客常用手段)
通过自建的代理中转到大矿池,将算力纠合到一起后给大矿池挖矿。这样既可以避免调查人员找到背后的大矿池,也避免了大矿池与执法人员合作调查的风险。
3、自建矿池
一般情况下,黑客不会这么做,因为算力往往不够,区块链同步难度也比较大。从收益来讲,算力可能血本无归,但这个可能性不能完全排除。
除了与挖矿直接相关联的手段外,币种也是很重要的因素。BTC、ETH、LTC、XRP、XMR…数字货币种类琳琅满目。但黑客最中意哪一种呢?
根据目前的分析,黑客最青睐的数字货币是monero(Xmr)、zcash、达世币等。这些货币确保了交易的匿名性,对于网络犯罪者来说非常方便,不必太担心被追踪。
1、Xmr(门罗币)
Xmr向着匿名的方向一路狂奔,其匿名性深受黑客喜欢,所有进行门罗币挖矿的人都能够在挖矿的时候保持完全的匿名,双方的身份和交易金额都被隐藏。由于它采用了一种名为“环签”的特殊签名方式,使得同一笔交易被查询时会出现很多个结果,仅仅通过查询结果不仅不能看到具体交易金额,也无法判定交易双方到底是谁。
2、zcash
zcash即大零币,采用零知识证明机制提供完全的支付保密性,是目前匿名性最强的数字资产。目前Zcash匿名转账的时间周期比较长,大概需要 20 分钟。网络可以选择普通转账或匿名转账,对隐私保护级别有所影响。
3、达世币
达世币中除了普通节点之外,还有一种节点叫“主节点”。主节点可以提供一系列服务,如:匿名交易和即时支付。想进行匿名交易的交易者发起匿名申请,由主节点进行混币,一般是 3 笔交易一起进行混币。
举个例子,一桌人把自己的钱都放在桌上,混在一起,然后再分别拿回相应面值的钱,这样就不知道你手里的钱到底是谁的了,这就是混币。同样,在混币后,网络就不知道究竟谁转账给了谁。
根据海青安全实验室捕获并分析的样本总结得出,所挖的币种大部分是门罗币,其他币种较少。
门罗币等匿名货币受到黑客欢迎主要有以下两点原因:
一是门罗币比比特币更加匿名。(不怕追踪)
二是不需要特定的设备就可以挖掘。(成本低)
这两个原因导致黑客更加倾向于挖掘门罗币等匿名货币,而不是比特币等其他币种。
四、如何防范挖矿木马僵尸网络？
挖矿木马僵尸网络的目标是服务器，黑客通过入侵服务器植入挖矿机程序获利。如果能对黑客的入侵行为进行有效防范，就能够将挖矿木马僵尸网络扼杀在摇篮中。作为服务器管理员，进行如下工作是防范挖矿木马僵尸网络的关键：
（1）避免使用弱口令。规模庞大的僵尸网络拥有完备的弱口令爆破模块，因此避免使用弱口令可以有效防范僵尸程序发起的弱口令爆破。管理员不仅应该在服务器登录帐户上使用强密码，在开放端口上的服务（例如MySQL服务）也应该使用强密码。
（2）及时为操作系统和相关服务打补丁。许多挖矿木马僵尸网络利用“永恒之蓝”漏洞利用武器进行传播，黑客对于1day，Nday漏洞的利用十分娴熟。由于大部分漏洞细节公布之前相应厂商已经推送相关补丁，如果服务器管理员能够及时为系统和相关服务打补丁就能有效避免漏洞利用攻击。服务器管理员需要为存在被攻击风险的服务器操作系统、Web服务端、开放的服务等及时打补丁。
（3）定期维护服务器。由于挖矿木马会持续驻留在计算机中，如果服务器管理员未定期查看服务器状态，那么挖矿木马就难以被发现。因此服务器管理员应定期维护服务器，内容包括但不限于：查看服务器操作系统CPU使用率是否异常、是否存在可疑进程、WMI中是否有可疑的类、计划任务中是否存在可疑项、是否有可疑的诸如PowerShell进程、mshta进程这类常被用于持续驻留的进程存在。
五、如何防范网页挖矿木马？
网页挖矿脚本一般针对PC，因此也较容易被发现，用户可以通过以下几方面防范网页挖矿脚本：
（1）浏览网页时留意CPU使用率。由于挖矿脚本的运行会导致CPU使用率飙升，如果用户在浏览网页时发现计算机CPU使用率飙升且大部分CPU使用来自于浏览器，那么网页中可能嵌入挖矿脚本（任务管理器——性能）。

（2）不访问浏览器或杀毒软件标记为高风险的网站。如今大部分杀软和主流浏览器都具备检测网页挖矿脚本的能力，若用户访问的网站是被标注为高风险的恶意网站，那么网站中可能嵌入了挖矿脚本。不访问被标记为高风险的网站也能避免挂马攻击。
六、如何防范客户端挖矿木马？
此类客户端挖矿脚本一般也是针对PC，因此也较容易被发现，用户可以通过以下几方面防范客户端挖矿脚本：
（1）启动客户端时留意CPU/GPU使用率。由于挖矿脚本的运行会导致CPU/GPU使用率飙升，如果用户在使用客户端时发现计算机CPU/GPU使用率飙升且大部分CPU使用来自于未知进程，那么客户端中可能嵌入挖矿脚本（任务管理器——性能）。


出现异常时，及时排查是哪个进程占用大量CPU资源，其很有可能就是挖矿程序。现在个人PC端，各类的杀毒软件均开始提供反挖矿的查杀服务，个人使用时也比较方便。对于选择何种杀毒软件，看你们个人习惯了，小编就不在这里打广告啦~
（2）不下载来源不明的客户顿，杜绝下载外挂等相关辅助软件。其大多都隐藏有挖矿软件。损人不利己的行为，咱还是提前避免的好一些。